Data Domain: Auf die Webnutzeroberfläche kann aufgrund eines abgelaufenen HTTPS-Zertifikats nicht zugegriffen werden.

Summary: Wenn das HTTPS- oder "ca trusted-ca"-Zertifikat auf einer Data Domain abläuft, verursacht dies Probleme beim Versuch, auf die Webnutzeroberfläche zuzugreifen. Das Erzeugen eines neuen Zertifikats behebt das Problem. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • Möglicherweise wird Folgendes angezeigt: 404 HTTP Fehler oder anderen Apache-Webdienst, wenn das Zertifikat abläuft:
    Fehler der HTTP-Zertifikat-Benutzeroberfläche
  • Andere Fehler können auftreten, z. B. die Nichtverfügbarkeit von Ressourcen.
  • Im Allgemeinen kann auf die Benutzeroberfläche nicht zugegriffen werden.
  • Das Problem tritt auch als Nutzeranmeldefehler auf der Benutzeroberfläche auf.

Cause

Wenn die HTTPS oder das CA-Zertifikat auf einer Data Domain abläuft, führt dies zu Problemen mit dem Apache-Webserver. Dadurch wird die Benutzeroberfläche heruntergefahren und unzugänglich.

Resolution

Hinweis: Wenn das CA-Zertifikat abgelaufen ist, benötigen Sie sysadmin-Zugangsdaten für jedes Data Domain- oder PowerProtect DD Management Center, das zuvor eine Vertrauensstellung mit dieser DD hergestellt hat. Stellen Sie sicher, dass die Zugangsdaten verfügbar sind, bevor Sie dieses Verfahren ausführen.


Wenn sich diese Data Domain in einer Integrated Data Protection Appliance- oder Cyber Recovery-Vault-Konfiguration befindet, überlegen Sie, wie diese Systeme die Data Domain mithilfe von Zertifikaten überwachen. Unterstützung kann erforderlich sein, wenn ein Zertifikat abläuft und dann ein neues Zertifikat hinzugefügt wird.

Dies ist kein Problem für Data Domains in einer DLm-Lösung, da DLm nicht benötigt oder verwendet wird HTTP or HTTPS Zugriff auf die Kommunikation mit der Data Domain. Zertifikatupdates auf der Data Domain können ohne Unterbrechung der DLm-Bandinstallationsverarbeitung durchgeführt werden.

  1. Überprüfen Sie, ob die HTTPS oder CA oder beide Zertifikate abgelaufen sind:
# adminaccess certificate show
Ausgabe von adminaccess für Zertifikatstatus

  1. Wenn sie nicht abgelaufen sind, ist die Benutzeroberfläche möglicherweise aufgrund der folgenden Probleme inaktiv:

  2. Wenn das CA-Zertifikat abgelaufen ist, überprüfen Sie die Vertrauensstellungen, die eingerichtet wurden:
# adminaccess trust show
Ausgabe des Administratorzugriffs für die Vertrauensstellung

Sie sehen das Zertifikat für die aktuelle Data Domain (anhand ihres Hostnamens) und Zertifikate anderer Data Domains oder des PowerProtect DD Management Center. Wenn diese Vertrauensbeziehungen wiederhergestellt werden müssen, müssen die sysadmin-Kennwörter für alle Data Domains oder Data Domain Management Center im Trust-Paar nach dem Erzeugen eines neuen CA-Zertifikats wiederhergestellt werden. Einige Vertrauensstellungen sind möglicherweise aus alten Replikationskontexten veraltet und müssen nicht wieder hinzugefügt werden.

  1. Überprüfen Sie, ob die HTTPS cert ist ein selbstsigniertes Zertifikat oder, wenn der Nutzer es mit einer Zertifizierungsstelle (CA) signiert:
# adminaccess certificate show imported-host application https

Wenn mit diesem Befehl etwas zurückgegeben wird, signiert der Nutzer das Zertifikat extern mit einer Zertifizierungsstelle. Wenn andernfalls kein importiertes Hostzertifikat vorhanden ist, ist das Zertifikat selbstsigniert.

Selbst wenn das importierte Zertifikat gültig und nicht abgelaufen ist, müssen Sie das selbstsignierte Zertifikat wie in den nächsten Schritten erneuern, wenn es abgelaufen ist. Ein selbstsigniertes Hostzertifikat wird auch intern für die interne Kommunikation mit dem SMS-Service über die DD-Benutzeroberfläche verwendet. 
 

WICHTIGER HINWEIS: Der selbstsignierte Host und die CA-Zertifikate müssen auf dem System vorhanden sein, auch wenn sie nicht verwendet werden. Sie können die selbstsignierten Zertifikate nicht löschen oder entfernen, falls das System auf sie zurückgreifen muss. Dies ist beabsichtigt.

  1. Wenn die HTTPS Zertifikat extern signiert ist, erzeugen Sie eine neue Zertifikatsignieranforderung (CSR). Der Nutzer leitet dies zur Signierung an seine CA weiter und importiert das signierte Zertifikat zurück in Data Domain. Befolgen Sie den Artikel Data Domain: So erzeugen Sie eine Zertifikatsignieranforderung und verwenden extern signierte Zertifikate.

    1. DDOS unterstützt ein Hostzertifikat für HTTPS. Wenn das System ein Hostzertifikat einschließlich selbstsigniertes Zertifikat verwendet und der Nutzer ein anderes Hostzertifikat verwenden möchte, löschen Sie das aktuelle Zertifikat, bevor Sie das neue Zertifikat hinzufügen.

      Schritte:

      1. Melden Sie sich von der Browsersitzung ab, bevor Sie eine HTTPS Hostzertifikat. 
      2. Führen Sie den CLI-Befehl aus, um das Zertifikat zu löschen. 
        adminaccess certificate delete imported-host-application https
  2. Wenn das CA-Zertifikat abgelaufen ist, erzeugen Sie ein neues HTTPS und CA-Zertifikat mit diesem Befehl:
# adminaccess certificate generate self-signed-cert regenerate-ca

Beachten Sie, dass nach der Generierung das gültige Startdatum für die HTTPS cert einen Monat in der Vergangenheit und das CA-Zertifikat ein Jahr in der Vergangenheit liegt. Dies ist beabsichtigt.

Fahren Sie dann mit Schritt 9 fort, um die UI-Services neu zu starten.
  1. Wenn das Zertifikat selbstsigniert ist und nur das HTTPS Zertifikat abgelaufen ist, erzeugen Sie ein neues HTTPS Zertifikat mit:
# adminaccess certificate generate self-signed-cert
  1. Wenn das CA-Zertifikat neu erstellt wurde, muss ein Nutzer die erforderliche Vertrauensbeziehung wiederherstellen. Das PowerProtect DD Management Center erfordert Vertrauensstellung für das Monitoring und wenn die Replikation über die Benutzeroberfläche konfiguriert wird. Wenn dies der Fall ist, muss ein Benutzer eine Vertrauensstellung einrichten, damit dies funktioniert.
  2. Führen Sie für alle Data Domains oder Data Domain Management Center, die eine Vertrauensstellung benötigen, diesen Befehl aus, um die alte Vertrauensstellung zu löschen und dann die Vertrauensstellung mithilfe des neuen Zertifikats auf der aktuellen Data Domain wiederherzustellen (Dabei wird das sysadmin-Kennwort für die anderen Data Domains oder Data Domain Management Center abgefragt. Stellen Sie sicher, dass ein Nutzer über alle Data Domains oder Data Domain Management Center verfügt, oder löschen Sie die Vertrauensstellung für alle Data Domains oder Data Domain Management Center, die außer Betrieb genommen werden, ohne sie erneut hinzuzufügen. Verwenden Sie den Befehl ohne type mutual wenn Sie dies tun.
# adminaccess trust del host <hostname of other DD/DDMC> type mutual

Führen Sie dann diesen Befehl aus, um eine neue Vertrauensstellung herzustellen:

# adminaccess trust add host <hostname of other DD/DDMC> type mutual

Führen Sie für das obige Beispiel den Befehl add und del für ALLE anderen Data Domains oder Data Domain Management Center der Reihe nach.

# adminaccess trust del host sc-dd2500-2.lss.emc.com type mutual
# adminaccess trust add host sc-dd2500-2.lss.emc.com type mutual

Wenn ein Nutzer die Vertrauensstellung nicht wiederherstellen darf, weil Data Domain außer Betrieb genommen wird:

# adminaccess trust del host dd690.dssupport.emea
  1. Sobald die Vertrauensstellung wiederhergestellt wurde, starten Sie bei Bedarf die UI-Services neu:
# adminaccess disable http
# adminaccess disable https
# adminaccess enable https
# adminaccess enable http
  • Ab Version 8.3 und höher HTTP ist standardmäßig deaktiviert. Es ist nicht erforderlich, sie zu aktivieren, wenn sie nicht verwendet wird.
  • HTTPS ist die bevorzugte und sichere Methode für den Zugriff auf die Benutzeroberfläche.
  1. Die Benutzeroberfläche sollte jetzt zugänglich sein.

 

Anleitung zum Neustart HTTP oder HTTPS Services, wenn die Benutzeroberfläche nicht verfügbar ist – Dell Data Domain.

Dauer: 00:03:17 (hh:mm:ss)
Wenn verfügbar, können Spracheinstellungen für Untertitel über das CC-Symbol in diesem Videoplayer ausgewählt werden.

Sie können sich dieses Video auch auf YouTube ansehen.Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.

Affected Products

Data Domain
Article Properties
Article Number: 000198864
Article Type: Solution
Last Modified: 01 Dec 2025
Version:  20
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.