Data Domain: Sieciowy interfejs użytkownika jest niedostępny z powodu wygaśnięcia certyfikatu https

Summary: Gdy certyfikat https lub "ca trusted-ca" wygaśnie w Data Domain, powoduje to problemy podczas próby uzyskania dostępu do internetowego interfejsu użytkownika. Wygenerowanie nowego certyfikatu rozwiązuje problem. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • Możesz zobaczyć 404 HTTP błędy lub inna usługa internetowa Apache po wygaśnięciu certyfikatu:
    Błąd interfejsu użytkownika certyfikatu http
  • Mogą wystąpić inne błędy, takie jak niedostępne zasoby.
  • Ogólnie rzecz biorąc, interfejs użytkownika jest niedostępny.
  • Problem objawia się również jako błąd logowania użytkownika w interfejsie użytkownika.

Cause

Po zakończeniu HTTPS lub certyfikat CA wygasa w Data Domain, powoduje problemy z serwerem WWW Apache. Obniża to interfejs użytkownika i czyni go niedostępnym.

Resolution

Uwaga: Jeśli certyfikat CA wygasł, wymagane są poświadczenia sysadmin dla każdego systemu Data Domain lub PowerProtect DD Management Center, które wcześniej ustanowiły zaufanie z tym DD. Przed wykonaniem tej procedury upewnij się, że poświadczenia są dostępne.


Jeśli ta domena danych znajduje się w konfiguracji magazynu Integrated Data Protection Appliance lub magazynu Cyber Recovery, należy zastanowić się, w jaki sposób te systemy monitorują system Data Domain za pomocą certyfikatów. Pomoc techniczna może być wymagana po wygaśnięciu certyfikatu, a następnie dodaniu nowego certyfikatu.

Nie jest to problem dla Data Domain w rozwiązaniu DLm, ponieważ DLm nie wymaga ani nie używa HTTP or HTTPS dostęp do komunikacji z Data Domain. Aktualizacje certyfikatów w Data Domain mogą być wykonywane bez zakłóceń przetwarzania montażu taśm DLm.

  1. Sprawdź, czy ikona HTTPS lub CA, albo oba certyfikaty wygasły:
# adminaccess certificate show
Dane wyjściowe polecenia adminaccess dla stanu certyfikatu

  1. Jeśli nie wygasły, interfejs użytkownika może być wyłączony z powodu poniższych problemów:

  2. Jeśli certyfikat CA wygasł, sprawdź ustanowione zaufane relacje:
# adminaccess trust show
Dane wyjściowe dostępu administratora na potrzeby zaufania

Zobaczysz certyfikat bieżącej domeny danych (według nazwy hosta) oraz certyfikaty innych systemów Data Domain lub PowerProtect DD Management Center. Jeśli te relacje zaufania muszą zostać ponownie ustanowione, użytkownik wymaga ponownego ustanowienia haseł sysadmin dla wszystkich domen Data Domain lub Data Domain Management Center w parze zaufania po wygenerowaniu nowego certyfikatu urzędu certyfikacji. Niektóre relacje zaufania mogą być przestarzałe ze starych kontekstów replikacji i nie wymagają ponownego dodania.

  1. Sprawdź, czy ikona HTTPS cert jest certyfikatem z podpisem własnym lub, jeśli użytkownik podpisze go w urzędzie certyfikacji (CA):
# adminaccess certificate show imported-host application https

Jeśli to polecenie zwróci cokolwiek, użytkownik podpisze certyfikat zewnętrznie przy użyciu urzędu certyfikacji. W przeciwnym razie, jeśli nie ma zaimportowanego certyfikatu hosta, certyfikat jest z podpisem własnym.

Nawet jeśli zaimportowany certyfikat jest ważny i nie wygasł, jeśli certyfikat z podpisem własnym wygasł, należy go odnowić, tak jak w kilku następnych krokach. Certyfikat hosta z podpisem własnym jest również używany wewnętrznie przez interfejs użytkownika systemu DD do wewnętrznej komunikacji z usługą SMS. 
 

WAŻNA UWAGA: Certyfikaty hosta i CA z podpisem własnym muszą znajdować się w systemie, nawet jeśli nie są używane. Nie można usunąć ani usunąć certyfikatów z podpisem własnym w przypadku, gdy system musi się do nich odwołać. Jest to zamierzone.

  1. Jeśli trzeba odzyskać HTTPS certyfikat jest podpisany zewnętrznie, wygeneruj nowe żądanie podpisania certyfikatu (CSR). Użytkownik przekazuje go do swojego urzędu certyfikacji w celu podpisania i importuje podpisany certyfikat z powrotem do Data Domain. Postępuj zgodnie z artykułem Data Domain: Generowanie żądania podpisania certyfikatu i korzystanie z certyfikatów podpisanych zewnętrznie.

    1. DDOS obsługuje jeden certyfikat hosta dla HTTPS. Jeśli system używa certyfikatu hosta, w tym certyfikatu z podpisem własnym, a użytkownik chce użyć innego certyfikatu hosta, przed dodaniem nowego certyfikatu usuń bieżący certyfikat.

      Czynności:

      1. Wyloguj się z sesji przeglądarki przed usunięciem HTTPS Certyfikat hosta. 
      2. Uruchom polecenie CLI, aby usunąć certyfikat 
        adminaccess certificate delete imported-host-application https
  2. Jeśli certyfikat CA wygasł, wygeneruj ponownie nowy HTTPS i CA cert za pomocą tego polecenia:
# adminaccess certificate generate self-signed-cert regenerate-ca

Zwróć uwagę, że po wygenerowaniu prawidłowa data początkowa dla HTTPS cert jest miesiąc temu, a CA cert jest rok temu, jest to zgodne z projektem.

Następnie przejdź do kroku 9, aby ponownie uruchomić usługi interfejsu użytkownika.
  1. Jeśli certyfikat jest samopodpisany i tylko HTTPS certyfikat wygasł, wygeneruj ponownie nowy HTTPS Certyfikat z:
# adminaccess certificate generate self-signed-cert
  1. Jeśli certyfikat urzędu certyfikacji został ponownie wygenerowany, użytkownik musi ponownie ustanowić wymagane zaufanie. PowerProtect DD Management Center wymaga zaufania podczas monitorowania i konfiguracji replikacji przy użyciu interfejsu użytkownika. Jeśli tak, użytkownik musi ustanowić zaufanie, aby to zadziałało.
  2. W przypadku wszystkich systemów Data Domain lub Data Domain Management Center, które wymagają zaufania, uruchom to polecenie, aby usunąć stare zaufanie, a następnie ponownie ustanów zaufanie za pomocą nowego certyfikatu w bieżącej Data Domain (spowoduje to monit o hasło sysadmin w innych domenach Data Domain lub Data Domain Management Center). Upewnij się, że użytkownik ma wszystkie domeny Data Domain lub Data Domain Management Center, lub usuń relację zaufania dla wszystkich Data Domains lub Data Domain Management Center, które zostały zlikwidowane bez dodawania ich ponownie. Użyj polecenia bez type mutual robiąc to.
# adminaccess trust del host <hostname of other DD/DDMC> type mutual

Następnie uruchom to polecenie, aby ustanowić nowe zaufanie:

# adminaccess trust add host <hostname of other DD/DDMC> type mutual

W powyższym przykładzie uruchom polecenie add i del dla WSZYSTKICH innych Data Domain lub Data Domain Management Center po kolei.

# adminaccess trust del host sc-dd2500-2.lss.emc.com type mutual
# adminaccess trust add host sc-dd2500-2.lss.emc.com type mutual

Jeśli użytkownik nie może dodać zaufania z powrotem, ponieważ Data Domain jest likwidowany:

# adminaccess trust del host dd690.dssupport.emea
  1. Po ponownym ustanowieniu zaufania, jeśli to konieczne, uruchom ponownie usługi interfejsu użytkownika:
# adminaccess disable http
# adminaccess disable https
# adminaccess enable https
# adminaccess enable http
  • Począwszy od wersji 8.3 i nowszych, HTTP jest domyślnie wyłączona. Nie jest wymagane włączanie go, jeśli nie jest używany.
  • HTTPS jest preferowaną i bezpieczną metodą uzyskiwania dostępu do interfejsu użytkownika.
  1. Interfejs użytkownika powinien być już dostępny.

 

Jak ponownie uruchomić HTTP lub HTTPS usługi, gdy interfejs użytkownika jest niedostępny — Dell Data Domain.

Czas trwania: 00:03:17 (gg:mm:ss)
Jeśli są dostępne, ustawienia języka napisów kodowanych można wybrać za pomocą ikony CC w tym odtwarzaczu wideo.

Możesz również obejrzeć ten film na YouTube.Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.

Affected Products

Data Domain
Article Properties
Article Number: 000198864
Article Type: Solution
Last Modified: 01 Dec 2025
Version:  20
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.