Data Domain: Webové uživatelské rozhraní je nedostupné kvůli vypršení platnosti certifikátu https

Summary: Když v systému Data Domain vyprší platnost certifikátu https nebo "ca trusted-ca", dochází k problémům při pokusu o přístup k webovému uživatelskému rozhraní. Problém vyřeší vygenerování nového certifikátu. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • Můžete vidět 404 HTTP chyby nebo jiná webová služba Apache po vypršení platnosti certifikátu:
    Chyba uživatelského rozhraní certifikátu http
  • Mohou se zobrazit i další chyby, jako například "resource unavailable".
  • Uživatelské rozhraní je obecně nepřístupné.
  • Problém se projevuje také selháním přihlášení uživatele v uživatelském rozhraní.

Cause

Až se HTTPS nebo vyprší platnost certifikátu CA v systému Data Domain, způsobuje to problémy s webovým serverem Apache. Uživatelské rozhraní se vypne a znepřístupní.

Resolution

Poznámka: Pokud platnost certifikátu certifikační autority vypršela, budete potřebovat přihlašovací údaje uživatele sysadmin pro všechny systémy Data Domain nebo PowerProtect DD Management Center, které dříve u tohoto systému DD udělily důvěru. Před vyzkoušením tohoto postupu se ujistěte, že máte k dispozici přihlašovací údaje.


Pokud se systém Data Domain nachází v konfiguraci Integrated Data Protection Appliance nebo trezoru Cyber Recovery, zvažte, jak tyto systémy monitorují systém Data Domain pomocí certifikátů. Podpora může být vyžadována, když vyprší platnost certifikátu a poté je přidán nový certifikát.

Nejedná se o problém se systémy Data Domain v řešení DLm, protože DLm nevyžaduje ani nepoužívá HTTP or HTTPS přístup ke komunikaci s Data Domain. Aktualizace certifikátu v systému Data Domain lze provádět bez přerušení zpracovávání připojení pásky DLm.

  1. Zkontrolujte, zda je HTTPS certifikační autority nebo vypršela platnost obou certifikátů:
# adminaccess certificate show
Výstup AdminAccess pro stav certifikátu

  1. Pokud jejich platnost nevypršela, uživatelské rozhraní může být mimo provoz kvůli následujícím problémům:

  2. Pokud platnost certifikátu certifikační autority vypršela, zkontrolujte vytvořené vztahy důvěryhodnosti:
# adminaccess trust show
Výstup přístupu správce pro důvěryhodnost

Zobrazí se certifikát pro aktuální systém Data Domain (podle názvu hostitele) a certifikáty ostatních systémů Data Domain nebo PowerProtect DD Management Center. Je-li nutné tyto vztahy důvěryhodnosti znovu vytvořit, uživatel vyžaduje po vygenerování nového certifikátu certifikační autority hesla uživatele sysadmin pro všechny systémy Data Domain nebo Data Domain Management Center ve dvojici důvěryhodnosti. Některé vztahy důvěryhodnosti mohou být zastaralé ze starých kontextů replikace a není nutné je přidávat zpět.

  1. Zkontrolujte, zda je HTTPS cert je certifikát podepsaný držitelem nebo pokud jej uživatel podepíše certifikační autoritou (CA):
# adminaccess certificate show imported-host application https

Pokud tento příkaz něco vrátí, uživatel podepíše certifikát externě pomocí certifikační autority. Pokud se v opačném případě nezobrazí žádný importovaný hostitelský certifikát, certifikát je podepsán držitelem.

I když je importovaný certifikát platný a nevypršela jeho platnost, pokud vypršela platnost certifikátu podepsaného držitelem, je nutné jej obnovit jako v několika dalších krocích. Hostitelský certifikát podepsaný držitelem se také interně používá pro uživatelské rozhraní systému DD ke interní komunikaci se službou SMS. 
 

DŮLEŽITÁ POZNÁMKA: Hostitel podepsaný držitelem a certifikáty certifikační autority musí být v systému, i když se nepoužívají. Certifikáty podepsané držitelem nelze odstranit ani odebrat v případě, že se k nim systém bude muset vrátit. Jedná se o záměrné chování.

  1. V případě, že se HTTPS certifikát je podepsán externě, vygenerujte novou žádost o podpis certifikátu (CSR). Uživatel jej předá své certifikační autoritě k podepsání a naimportuje podepsaný certifikát zpět do systému Data Domain. Postupujte podle článku Data Domain: Jak vygenerovat žádost o podpis certifikátu a používat externě podepsané certifikáty.

    1. Systém DDOS podporuje jeden hostitelský certifikát pro HTTPS. Pokud systém používá hostitelský certifikát, který obsahuje podepsaný držitelem, a uživatel chce použít jiný hostitelský certifikát, odstraňte aktuální certifikát před přidáním nového certifikátu.

      Postup:

      1. Před odstraněním se odhlaste z relace prohlížeče HTTPS Hostitelský certifikát. 
      2. Spuštěním příkazu CLI odstraňte certifikát. 
        adminaccess certificate delete imported-host-application https
  2. Pokud platnost certifikátu certifikační autority vypršela, znovu vygenerujte nový HTTPS a CA cert pomocí tohoto příkazu:
# adminaccess certificate generate self-signed-cert regenerate-ca

Všimněte si, že po vygenerování bude platné počáteční datum pro HTTPS cert je jeden měsíc v minulosti a CA cert je jeden rok v minulosti, to je záměrné.

Poté přejděte ke kroku 9 a restartujte služby uživatelského rozhraní.
  1. Pokud je certifikát podepsán držitelem a pouze HTTPS platnost certifikátu vypršela, znovu vygenerujte nový HTTPS cert s:
# adminaccess certificate generate self-signed-cert
  1. Pokud byl certifikát certifikační autority znovu vygenerován, musí uživatel znovu obnovit požadovanou důvěryhodnost. Nástroj PowerProtect DD Management Center vyžaduje důvěryhodnost pro monitorování a v případě, že je replikace nakonfigurována pomocí uživatelského rozhraní. Pokud ano, musí uživatel vytvořit vztah důvěryhodnosti, aby to fungovalo.
  2. U všech systémů Data Domain nebo Data Domain Management Center, které potřebují důvěřovat, spusťte tento příkaz, čímž odstraníte starý vztah důvěryhodnosti a poté znovu upevníte důvěru pomocí nového certifikátu v aktuální části Data Domain (Tím budete požádáni o heslo uživatele sysadmin v ostatních systémech Data Domains nebo Data Domain Management Center. Ujistěte se, že uživatel má všechny systémy Data Domain nebo Data Domain Management Center, nebo odstraňte důvěru pro všechny systémy Data Domain nebo Data Domain Management Center, které jsou vyřazeny z provozu, aniž byste je znovu přidali. Použijte příkaz bez type mutual při tom.
# adminaccess trust del host <hostname of other DD/DDMC> type mutual

Spuštěním tohoto příkazu vytvořte nový vztah důvěryhodnosti:

# adminaccess trust add host <hostname of other DD/DDMC> type mutual

Ve výše uvedeném příkladu spusťte add a del pro VŠECHNY ostatní systémy Data Domain nebo Data Domain Management Center.

# adminaccess trust del host sc-dd2500-2.lss.emc.com type mutual
# adminaccess trust add host sc-dd2500-2.lss.emc.com type mutual

Pokud uživatel nemůže přidat důvěryhodnost zpět, protože systém Data Domain je vyřazen z provozu:

# adminaccess trust del host dd690.dssupport.emea
  1. Po obnovení důvěryhodnosti v případě potřeby restartujte služby uživatelského rozhraní:
# adminaccess disable http
# adminaccess disable https
# adminaccess enable https
# adminaccess enable http
  • Počínaje verzí 8.3 a vyšší HTTP je ve výchozím nastavení zakázána. Pokud se nepoužívá, není nutné jej povolovat.
  • HTTPS je upřednostňovaný a bezpečný způsob přístupu k uživatelskému rozhraní.
  1. Nyní by mělo být přístupné uživatelské rozhraní.

 

Jak restartovat HTTP nebo HTTPS služby, když uživatelské rozhraní není k dispozici – Dell Data Domain.

Délka: 00:03:17 (hh:mm:ss)
Je-li k dispozici, lze jazyková nastavení titulků (titulků) zvolit pomocí ikony CC v tomto přehrávači videa.

Toto video můžete také zhlédnout na YouTube.Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies.

Affected Products

Data Domain
Article Properties
Article Number: 000198864
Article Type: Solution
Last Modified: 01 Dec 2025
Version:  20
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.