「Data Domain：https証明書の有効期限が切れているためWeb UIにアクセスできません

• あなたは見るかもしれません 404 HTTP 証明書の有効期限が切れた場合のエラーまたはその他のApache Webサービス:
  
• リソースが使用できないなど、その他のエラーが表示される場合があります。
• 一般に、UIにはアクセスできません。
• この問題は、UIでのユーザー ログインの失敗としても発生します。

ここで、 HTTPS またはData DomainでCA証明書の有効期限が切れると、Apache Webサーバーで問題が発生します。UIがダウンし、アクセスできなくなります。

このData DomainがIntegrated Data Protection ApplianceまたはCyber Recoveryヴォールト構成にある場合は、それらのシステムが証明書を使用してData Domainを監視する方法を検討します。証明書の有効期限が切れてから新しい証明書が追加された場合は、サポートが必要になることがあります

DLmはこれを必要とせず、これを使用しないため、これはDLmソリューションのData Domainに関する懸念事項ではありません HTTP or HTTPS Data Domainと通信するためのアクセス。Data Domain上の証明書の更新は、DLmテープ マウント処理を中断することなく実行できます。

1. かどうかを確認します HTTPS またはCA、または両方の証明書の有効期限が切れている場合:

# adminaccess certificate show

2. 有効期限が切れていない場合は、次の問題が原因でUIがダウンしている可能性があります。

   • 「Data Domain：DDOSまたはDDMC 7.1.x以降にアップグレードした後は、UIにアクセスできなくなります
   • 「Data Domain：DDOSまたはDDMC 6.2.1.90、7.2.0.95、7.7.2.x以降にアップグレードした後、UIにアクセスできなくなります
3. CA証明書の有効期限が切れている場合は、確立されている信頼を確認します。

# adminaccess trust show

現在のData Domainの証明書(ホスト名別)と、他のData DomainまたはPowerProtect DD Management Centerの証明書が表示されます。これらの信頼を再確立する必要がある場合、ユーザーは、新しいCA証明書を生成した後に再確立する信頼ペア内のData DomainまたはData Domain Management Centerのsysadminパスワードを要求します。一部の信頼は、古いレプリケーション コンテキストから古くなっている可能性があり、再度追加する必要はありません。

4. かどうかを確認します HTTPS 証明書は自己署名証明書であるか、ユーザーが認証局(CA)で署名している場合は次のようになります。

# adminaccess certificate show imported-host application https

このコマンドが何かを返した場合、ユーザーはCAを使用して外部で証明書に署名します。それ以外の場合、インポートされたホスト証明書がない場合、証明書は自己署名されます。

インポートされた証明書が有効で、有効期限が切れていない場合でも、自己署名証明書の有効期限が切れている場合は、次のいくつかの手順のように更新する必要があります。自己署名ホスト証明書は、DD UIがSMSサービスと内部的に通信するために内部的にも使用されます。 
 

5. ここで、 HTTPS 証明書が外部で署名されている場合は、新しい証明書署名要求(CSR)を生成します。ユーザーはこれをCAに渡して署名を依頼し、署名済み証明書をData Domainにインポートして戻します。記事「 Data Domain: 証明書署名要求を生成し、外部署名付き証明書を使用する方法。

   1. DDOSは、次のホスト証明書を1つサポートします。 HTTPSの詳細を確認してください。システムで自己署名を含むホスト証明書を使用していて、ユーザーが別のホスト証明書を使用する場合は、現在の証明書を削除してから新しい証明書を追加します。

      手順：

      1. を削除する前に、ブラウザー セッションからログアウトします。 HTTPS ホスト証明書。 
      2. CLIコマンドを実行して証明書を削除します

         adminaccess certificate delete imported-host-application https

6. CA証明書の有効期限が切れている場合は、新しい証明書を再生成します HTTPS CA証明書を次のコマンドで作成します。

# adminaccess certificate generate self-signed-cert regenerate-ca

生成後、 HTTPS 証明書は過去1か月で、CA証明書は過去1年です。これは仕様によるものです。

7. 証明書が自己署名で、 HTTPS 証明書の有効期限が切れています。新しい証明書を再生成してください HTTPS 証明書を次のように指定します。

# adminaccess certificate generate self-signed-cert

8. CA証明書が再生成された場合、ユーザーは必要な信頼を再確立する必要があります。PowerProtect DD Management Centerでは、UIを使用してレプリケーションを構成する場合とモニタリングを行う際に信頼が必要です。その場合、ユーザーはそれが機能するために信頼を確立する必要があります。
9. 信頼を必要とするData DomainまたはData Domain Management Centerの場合は、このコマンドを実行して古い信頼を削除してから、現在のData Domainで新しい証明書を使用して信頼を再確立します(これにより、他のData DomainまたはData Domain Management Centerでsysadminパスワードが要求されます。ユーザーがすべてのData DomainまたはData Domain Management Centerを持っていることを確認するか、追加せずに廃止されたData DomainまたはData Domain Management Centerの信頼関係を削除します。コマンドを type mutual これを行うとき。

# adminaccess trust del host <hostname of other DD/DDMC> type mutual

次に、次のコマンドを実行して、新しい信頼を確立します。

# adminaccess trust add host <hostname of other DD/DDMC> type mutual

上記の例では、 add と del を、他のすべてのData DomainまたはData Domain Management Centerに対して順 番に実行します。

# adminaccess trust del host sc-dd2500-2.lss.emc.com type mutual
# adminaccess trust add host sc-dd2500-2.lss.emc.com type mutual

Data Domainが廃止されたため、ユーザーが信頼を再度追加してはならない場合:

# adminaccess trust del host dd690.dssupport.emea

10. 必要に応じて信頼が再確立されたら、UIサービスを再起動します。

# adminaccess disable http
# adminaccess disable https
# adminaccess enable https
# adminaccess enable http

• バージョン 8.3 以降では、 HTTP はデフォルトで無効になっています。使用しない場合は、有効にする必要はありません。
• HTTPS は、UI にアクセスするための推奨される安全な方法です。

11. これで、ユーザー インターフェイスにアクセスできるようになります。

このビデオは YouTubeでも視聴できます。