Data Domain: Verkkokäyttöliittymää ei voi käyttää vanhentuneen https-varmenteen vuoksi

• Saatat nähdä 404 HTTP virheet tai muu Apache-verkkopalvelu varmenteen vanhentuessa:
  
• Muita virheitä saattaa ilmetä, kuten resurssi ei ole käytettävissä.
• Käyttöliittymä ei yleensä ole käytettävissä.
• Ongelma ilmenee myös käyttäjän kirjautumisvirheenä käyttöliittymässä.

Kun HTTPS tai CA-varmenne vanhenee Data Domainissa, se aiheuttaa ongelmia Apache-verkkopalvelimessa. Se kaataa käyttöliittymän ja tekee siitä saavuttamattoman.

Jos tämä Data Domain on Integrated Data Protection Appliance- tai Cyber Recovery -säilökokoonpanossa, mieti, miten kyseiset järjestelmät valvovat Data Domainia varmenteiden avulla. Tukea voidaan tarvita, kun varmenne vanhenee ja uusi varmenne lisätään.

Tämä ei koske DLm-ratkaisun tietotoimialueita, koska DLm ei edellytä tai käytä HTTP or HTTPS käyttöoikeus viestintään Data Domainin kanssa. Data Domainin varmennepäivitykset voidaan tehdä ilman keskeytyksiä DLm-nauhojen kiinnityksen käsittelyyn.

1. Tarkista, onko HTTPS tai CA, tai molemmat varmenteet ovat vanhentuneet:

# adminaccess certificate show

2. Jos ne eivät ole vanhentuneet, käyttöliittymä ei ehkä ole toiminnassa seuraavien ongelmien vuoksi:

   • Data Domain: Kun olet päivittänyt DDOS- tai DDMC 7.1.x -versioon tai uudempaan, käyttöliittymää ei voi enää käyttää
   • Data Domain: Kun olet päivittänyt DDOS- tai DDMC 6.2.1.90-, 7.2.0.95- tai 7.7.2.x-versioon tai uudempaan, käyttöliittymää ei voi enää käyttää
3. Jos CA-varmenne on vanhentunut, tarkista perustetut trustit:

# adminaccess trust show

Näet nykyisen Data Domainin varmenteen (isäntänimen mukaan) ja muiden Data Domainien tai PowerProtect DD Management Centerin varmenteet. Jos nämä luottamussuhteet on muodostettava uudelleen, käyttäjä edellyttää, että luottamusparin Data Domainien tai Data Domain Management Centerien sysadmin-salasanat muodostetaan uudelleen uuden CA-varmenteen luomisen jälkeen. Jotkin luottamussuhteet saattavat olla vanhentuneita vanhoista replikointikonteksteista, eikä niitä tarvitse lisätä takaisin.

4. Tarkista, onko HTTPS varmenne on itse allekirjoitettu varmenne tai jos käyttäjä allekirjoittaa sen varmenteen myöntäjän (CA) kanssa:

# adminaccess certificate show imported-host application https

Jos tämä komento palauttaa jotain, käyttäjä allekirjoittaa varmenteen ulkoisesti varmenteen myöntäjän kanssa. Muussa tapauksessa varmenne allekirjoitetaan itse, jos tuotua isäntävarmennetta ei ole.

Vaikka tuotu varmenne olisi kelvollinen eikä vanhentunut, jos itse allekirjoitettu varmenne on vanhentunut, se on uusittava kuten parissa seuraavassa vaiheessa. Itse allekirjoitettua isäntävarmennetta käytetään myös sisäisesti, kun DD-käyttöliittymä viestii tekstiviestipalvelun kanssa sisäisesti. 
 

5. Jos HTTPS varmenne allekirjoitetaan ulkoisesti, luo uusi varmenteen allekirjoituspyyntö (CSR). Käyttäjä välittää tämän varmenteiden myöntäjälle allekirjoittamista varten ja tuo allekirjoitetun varmenteen takaisin Data Domainiin. Seuraa artikkelia Data Domain: Varmenteen allekirjoituspyynnön luominen ja ulkoisesti allekirjoitettujen varmenteiden käyttäminen.

   1. DDOS tukee yhtä isäntävarmennetta seuraaville: HTTPS. Jos järjestelmä käyttää isäntävarmennetta, myös itse allekirjoitettua, ja käyttäjä haluaa käyttää toista isäntävarmennetta, poista nykyinen varmenne ennen uuden varmenteen lisäämistä.

      Vaiheet:

      1. Kirjaudu ulos selainistunnosta ennen HTTPS Isännän varmenne. 
      2. Poista varmenne komentorivikomennolla

         adminaccess certificate delete imported-host-application https

6. Jos CA-varmenne on vanhentunut, luo uusi HTTPS ja CA-varmenne seuraavalla komennolla:

# adminaccess certificate generate self-signed-cert regenerate-ca

Huomaa, että sukupolven jälkeen HTTPS cert on yksi kuukausi menneisyydessä ja CA-sertifikaatti on yksi vuosi menneisyydessä, tämä on suunniteltu.

7. Jos varmenne on itse allekirjoitettu ja vain HTTPS Varmenne on vanhentunut, luo uusi HTTPS varmenne, jossa on:

# adminaccess certificate generate self-signed-cert

8. Jos CA-varmenne on luotu uudelleen, käyttäjän on muodostettava uudelleen tarvittava luottamussuhde. PowerProtect DD Management Center edellyttää luottamusta valvontaa varten ja replikoinnin määrittämisessä käyttöliittymän avulla. Jos näin on, käyttäjän on luotava luottamus, jotta tämä toimisi.
9. Jos Data Domains tai Data Domain Management Center edellyttää luottamusta, poista vanha luottamussuhde tällä komennolla ja muodosta sitten luottamussuhde uudelleen käyttämällä nykyistä Data Domainia uudella varmenteella (Tämä pyytää sysadmin-salasanaa muissa Data Domain- tai Data Domain Management Center -keskuksissa. Varmista, että käyttäjällä on kaikki Data Domainit tai Data Domain Management Centerit, tai poista käytöstä poistettujen Data Domain- tai Data Domain Management Centerien luottamussuhde lisäämättä niitä uudelleen. Käytä komentoa ilman type mutual kun teet tämän.

# adminaccess trust del host <hostname of other DD/DDMC> type mutual

Muodosta sitten uusi luottamussuhde suorittamalla tämä komento:

# adminaccess trust add host <hostname of other DD/DDMC> type mutual

Suorita yllä olevassa esimerkissä add ja del KAIKILLE muille Data Domaineille tai Data Domain Management Centereille vuorotellen.

# adminaccess trust del host sc-dd2500-2.lss.emc.com type mutual
# adminaccess trust add host sc-dd2500-2.lss.emc.com type mutual

Jos käyttäjä ei saa lisätä luottamussuhdetta takaisin, koska Data Domain on poistettu käytöstä:

# adminaccess trust del host dd690.dssupport.emea

10. Kun luottamussuhde on muodostettu uudelleen, käynnistä käyttöliittymäpalvelut tarvittaessa uudelleen:

# adminaccess disable http
# adminaccess disable https
# adminaccess enable https
# adminaccess enable http

• Versiosta 8.3 alkaen HTTP on oletusarvoisesti pois käytöstä. Sitä ei tarvitse ottaa käyttöön, jos sitä ei käytetä.
• HTTPS on ensisijainen ja turvallinen tapa käyttää käyttöliittymää.

11. Käyttöliittymän pitäisi olla nyt käytettävissä.

Voit katsoa tämän videon myös YouTubessa.