Data Domain. Веб-интерфейс недоступен из-за истечения срока действия сертификата https

• Вы можете увидеть 404 HTTP ошибки или другой веб-сервис Apache по истечении срока действия сертификата:
  
• Могут отображаться другие ошибки, например ресурс недоступен.
• Как правило, пользовательский интерфейс недоступен.
• Проблема также проявляется в виде ошибки входа пользователя в пользовательский интерфейс.

Если у HTTPS или срок действия сертификата CA истекает в Data Domain, это вызывает проблемы с веб-сервером Apache. Это приводит к отключению пользовательского интерфейса и делает его недоступным.

Если этот Data Domain находится в конфигурации Integrated Data Protection Appliance или хранилища Cyber Recovery, подумайте о том, как эти системы отслеживают Data Domain с помощью сертификатов. Поддержка может потребоваться по истечении срока действия сертификата и добавления нового сертификата.

Это не является проблемой для Data Domain в решении DLm, так как DLm не требует и не использует HTTP or HTTPS доступ для связи с Data Domain. Обновления сертификатов в системе Data Domain можно выполнять без прерывания процесса монтирования лент DLm.

1. Проверьте, является ли HTTPS или CA, или оба сертификата просрочены:

sysadmin@DD6400# adminaccess certificate show
Subject                                              Type            Application   Valid From                 Valid Until                Fingerprint
--------------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
DD6400.ddsupport                                     host            https         Thu Sep 11 22:30:27 2025   Sun Oct 11 22:30:27 2026   30:89:8A:9D:BD:67:75:DC:D8:98:84:C6:CD:8F:9F:21:34:24:1B:87
DD6400.ddsupport                                     ca              trusted-ca    Tue Oct 08 07:42:22 2024   Mon Oct 07 07:42:22 2030   81:5B:70:A8:36:02:02:FD:55:13:DA:7C:38:BC:FF:1B:EA:92:3E:96

Сертификат хоста https будет действителен в течение одного года, а сертификат CA — в течение 6 лет.

2. Если срок их действия не истек, возможно, пользовательский интерфейс не работает по следующим причинам:

   1. Если сертификат достаточно старый, он не будет соответствовать новым стандартам безопасности сертификата, и графический интерфейс пользователя не будет отображаться. Необходимо создать новый сертификат, как описано в дальнейших шагах.

   2. Data Domain. После модернизации до DDOS или DDMC 7.1.x или более поздней версии доступ к пользовательскому интерфейсу становится невозможен

   3. Data Domain. После модернизации до DDOS или DDMC 6.2.1.90, 7.2.0.95 или 7.7.2.x или более поздней версии доступ к пользовательскому интерфейсу больше невозможен
3. Если срок действия сертификата CA истек, проверьте установленные трасты:

sysadmin@DD6400# adminaccess trust show
Subject                   Type         Valid From                 Valid Until                Fingerprint
-----------------------   ----------   ------------------------   ------------------------   -----------------------------------------------------------
DD6400.ddsupport          trusted-ca   Tue Oct 08 07:42:22 2024   Mon Oct 07 07:42:22 2030   81:5B:70:A8:36:02:02:FD:55:13:DA:7C:38:BC:FF:1B:EA:92:3E:96
DDMCLAB-2.201             trusted-ca   Mon Jul 08 03:02:34 2024   Sun Jul 07 03:02:34 2030   E8:C1:79:5B:B4:2A:02:3A:55:4A:9A:52:AB:FC:D2:01:E7:7A:6C:CA
CorkDDMC.localdomain      trusted-ca   Tue Aug 06 04:29:41 2024   Mon Aug 05 04:29:41 2030   4B:29:2B:D3:DB:3E:62:16:98:D1:6C:36:4C:DF:2F:94:3C:A1:A8:27
DD6900-2.ddsupport.emea   trusted-ca   Sat Feb 03 20:49:25 2024   Fri Feb 01 20:49:25 2030   DC:95:CC:4A:F4:AC:58:58:5E:19:2D:05:F3:99:D9:86:14:32:7F:88
DD9900-HA-P0.ddsupport    trusted-ca   Sat Oct 05 05:08:35 2024   Fri Oct 04 05:08:35 2030   38:FD:E8:B6:C6:2F:30:42:17:93:73:F5:AE:25:3D:53:3E:F5:5C:C4
-----------------------   ----------   ------------------------   ------------------------   -----------------------------------------------------------

Вы увидите сертификат текущего Data Domain (по имени хоста) и сертификаты других Data Domain или PowerProtect DD Management Center. Если эти доверия необходимо восстановить, пользователю потребуется восстановить пароли системного администратора для всех Data Domain или центров управления Data Domain в паре доверия, чтобы восстановить после создания нового сертификата CA. Некоторые типы доверия могут быть устаревшими из старых контекстов репликации и не требовать их обратного добавления.

4. Проверьте, является ли HTTPS cert является самозаверяющим сертификатом, или если пользователь подписывает его в центре сертификации (CA):

# adminaccess certificate show imported-host application https

Если эта команда возвращает какие-либо данные, пользователь подписывает сертификат вне центра сертификации. В противном случае, если импортированный сертификат хоста отсутствует, сертификат самозаверяющий.

Даже если импортированный сертификат действителен и срок его действия еще не истек, если срок действия самозаверяющего сертификата истек, его необходимо обновить, как описано в следующих нескольких шагах. Самозаверяющий сертификат хоста также используется внутри системы для взаимодействия пользовательского интерфейса DD со службой SMS. 
 

5. Если HTTPS сертификат подписан извне, создайте новый запрос на подпись сертификата (CSR). Пользователь передает его на подпись своему CA, а затем импортирует подписанный сертификат обратно в Data Domain. Подробнее см. в статье Data Domain. Создание запроса на подпись сертификата и использование сертификатов с внешней подписью.

   1. DDOS поддерживает один сертификат хоста для HTTPS. Если в системе используется сертификат хоста, в том числе самозаверяющий, и пользователь хочет использовать другой сертификат хоста, удалите текущий сертификат перед добавлением нового.

      Действия

      1. Выйдите из сеанса браузера перед удалением HTTPS Сертификат хоста. 
      2. Выполните команду интерфейса командной строки для удаления сертификата

         adminaccess certificate delete imported-host-application https

6. Если срок действия сертификата источника сертификатов истек и это система высокой доступности, необходимо обратиться в службу поддержки для исправления сертификатов. В противном случае повторно создайте новый файл HTTPS и сертификат CA с помощью следующей команды:

# adminaccess certificate generate self-signed-cert regenerate-ca

         Обратите внимание, что после создания допустимая дата начала для HTTPS cert был создан на один месяц назад, а сертификат CA — на один год назад, это сделано специально.

7. Если сертификат самозаверяющий и только сертификат HTTPS Срок действия сертификата истек, и это система высокой доступности, следуйте инструкциям в статье базы знаний:
   Data Domain: Система высокой доступности работает в состоянии ограниченной функциональности, срок действия самозаверяющего сертификата хоста истек
   В противном случае повторно создайте новый файл HTTPS Сертификат с:

# adminaccess certificate generate self-signed-cert

Обратите внимание, что после создания допустимая дата начала для HTTPS Сертификат выдан один месяц назад и будет действителен в течение 1 года, что предусмотрено проектом.

8. Если сертификат источника сертификатов был создан повторно, пользователь должен повторно установить требуемое доверие. PowerProtect DD Management Center требует доверия для мониторинга и настройки репликации с помощью пользовательского интерфейса. Если это так, пользователь должен установить доверие, чтобы это сработало.
9. Для любых доменов Data Domain или центров управления Data Domain, которым требуется доверие, выполните эту команду, чтобы удалить старое доверие, а затем восстановить доверие с помощью нового сертификата в текущем Data Domain (при этом запрашивается пароль системного администратора в других Data Domain или центрах управления Data Domain). Убедитесь, что у пользователя есть все Data Domain или Data Domain Management Center, или удалите доверие для всех выведенных из эксплуатации Data Domain или центров управления Data Domain, не добавляя их обратно. Используйте команду без оператора type mutual при этом.

# adminaccess trust del host <hostname of other DD/DDMC> type mutual

Затем выполните эту команду, чтобы установить новое доверие:

# adminaccess trust add host <hostname of other DD/DDMC> type mutual

В приведенном выше примере запустите команду add и del для ВСЕХ остальных Data Domain или центров управления Data Domain по очереди.

# adminaccess trust del host sc-dd2500-2.lss.emc.com type mutual
# adminaccess trust add host sc-dd2500-2.lss.emc.com type mutual

Если пользователю не нужно возвращать доверие, так как Data Domain выведен из эксплуатации, выполните следующие действия.

# adminaccess trust del host dd690.dssupport.emea

10. После восстановления доверия, если необходимо, перезапустите службы пользовательского интерфейса.

# adminaccess disable http
# adminaccess disable https
# adminaccess enable https
# adminaccess enable http

Примечание. Начиная с версии 8.3 и выше, HTTP отключено по умолчанию. Если он не используется, его включать не требуется.
HTTPS является предпочтительным и безопасным методом доступа к пользовательскому интерфейсу.

11. Теперь пользовательский интерфейс должен быть доступен.

Вы также можете посмотреть это видео на YouTube.