Data Domain: IU da Web inacessível devido a certificado https expirado

Summary: Quando o certificado https ou "ca trusted-ca" expira em um Data Domain, ele causa problemas ao tentar acessar a interface do usuário da Web. Gerar um novo certificado resolve o problema. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • Você pode ver 404 HTTP erros ou outro serviço da web Apache quando o certificado expirar:
    http certficate UI erro
  • Outros erros podem ser exibidos, como recurso indisponível.
  • Em geral, a interface do usuário está inacessível.
  • O problema também é apresentado como falha de login do usuário na interface do usuário.

Cause

Quando a propriedade do HTTPS ou o certificado CA expira em um Data Domain, causando problemas com o Apache Web Server. Isso desativa a interface do usuário e a torna inacessível.

Resolution

Nota: Se o certificado da CA tiver expirado, você precisará de credenciais sysadmin para qualquer Data Domain ou PowerProtect DD Management Center que tenha estabelecido anteriormente confiança com esse DD. Certifique-se de que as credenciais estejam disponíveis antes de tentar este procedimento.


Se esse Data Domain estiver em uma configuração de cofre do Integrated Data Protection Appliance ou do Cyber Recovery, considere como esses sistemas monitoram o Data Domain usando certificados. O suporte pode ser necessário quando um certificado expira e, em seguida, um novo certificado é adicionado.

Isso não preocupa o Data Domains em uma solução DLm, pois o DLm não exige nem usa HTTP or HTTPS para se comunicar com o Data Domain. As atualizações de certificado no Data Domain podem ser realizadas sem interrupção do processamento de montagem em fita do DLm.

  1. Verifique se o HTTPS ou CA, ou ambos os certificados expiram:
# adminaccess certificate show
Saída de AdminAccess para estado do certificado

  1. Se eles não expirarem, a interface do usuário pode estar inativa devido aos problemas abaixo:

  2. Se o certificado da CA tiver expirado, verifique as relações de confiança estabelecidas:
# adminaccess trust show
Saída do acesso de administrador para confiança

Você verá o certificado do Data Domain atual (pelo nome do host) e os certificados de outros Data Domains ou do PowerProtect DD Management Center. Se essas relações de confiança precisarem ser restabelecidas, um usuário exigirá que as senhas sysadmin de todos os Data Domains ou Data Domain Management Centers no par de confiança sejam restabelecidas depois de gerar um novo certificado de CA. Algumas relações de confiança podem estar obsoletas em contextos de replicação antigos e não exigem a adição de volta.

  1. Verifique se o HTTPS cert for um certificado autoassinado ou se o usuário o assinar com uma autoridade de certificação (CA):
# adminaccess certificate show imported-host application https

Se esse comando retornar alguma coisa, o usuário assinará o certificado externamente com uma CA. Caso contrário, se não houver certificado de host importado, o certificado será autoassinado.

Mesmo que o certificado importado seja válido e não vencido, se o certificado autoassinado tiver expirado, você deverá renová-lo como nas próximas etapas. Um certificado de host autoassinado também é usado internamente para que a interface do usuário do DD se comunique com o serviço SMS internamente. 
 

NOTA IMPORTANTE: Os certificados autoassinados do host e da CA devem estar no sistema, mesmo que não estejam em uso. Você não poderá excluir ou remover os certificados autoassinados caso o sistema precise retornar a eles. Isto é previsto.

  1. Se a solicitação do HTTPS certificado é assinado externamente, gere uma nova solicitação de assinatura de certificado (CSR). O usuário passa isso para sua CA para assinatura e importa o certificado assinado de volta para o Data Domain. Siga o artigo Data Domain: Como gerar uma solicitação de assinatura de certificado e usar certificados assinados externamente.

    1. O DDOS oferece suporte a um certificado de host para HTTPS. Se o sistema estiver usando um certificado de host, inclusive autoassinado, e o usuário quiser usar um certificado de host diferente, exclua o certificado atual antes de adicionar o novo certificado.

      Etapas:

      1. Faça logout da sessão do navegador antes de excluir um HTTPS Certificado de host. 
      2. Execute o comando da CLI para excluir o certificado 
        adminaccess certificate delete imported-host-application https
  2. Se o certificado da CA tiver expirado, gere novamente um novo HTTPS e CA cert com este comando:
# adminaccess certificate generate self-signed-cert regenerate-ca

Observe que, após a geração, a data de início válida para o HTTPS cert é de um mês no passado e o certificado de CA é de um ano no passado, isso é por design.

Em seguida, vá para a etapa 9 para reiniciar os serviços de interface do usuário.
  1. Se o certificado for autoassinado e somente o HTTPS O certificado expirou, gere novamente um novo HTTPS cert com:
# adminaccess certificate generate self-signed-cert
  1. Se o certificado da CA foi gerado novamente, o usuário deverá restabelecer qualquer confiança necessária. O PowerProtect DD Management Center requer confiança para monitoramento e quando a replicação é configurada usando a interface do usuário. Em caso afirmativo, um usuário deve estabelecer uma relação de confiança para que isso funcione.
  2. Para todos os Data Domains ou Data Domain Management Centers que precisam de confiança, execute esse comando para excluir a confiança antiga e, em seguida, restabelecer a confiança usando o novo certificado no Data Domain atual (solicita a senha do sysadmin nos outros Data Domains ou Data Domain Management Centers. Certifique-se de que um usuário tenha todos os Data Domains ou Data Domain Management Centers ou exclua a confiança de todos os Data Domains ou Data Domain Management Centers desativados sem adicioná-los novamente. Use o comando sem o comando type mutual ao fazer isso.
# adminaccess trust del host <hostname of other DD/DDMC> type mutual

Em seguida, execute este comando para estabelecer uma nova confiança:

# adminaccess trust add host <hostname of other DD/DDMC> type mutual

Para o exemplo acima, execute o script add e del para TODOS os outros Data Domains ou Data Domain Management Centers por sua vez.

# adminaccess trust del host sc-dd2500-2.lss.emc.com type mutual
# adminaccess trust add host sc-dd2500-2.lss.emc.com type mutual

Se um usuário não precisar adicionar a confiança de volta porque o Data Domain foi desativado:

# adminaccess trust del host dd690.dssupport.emea
  1. Depois que a confiança for restabelecida, se necessário, reinicie os serviços da interface do usuário:
# adminaccess disable http
# adminaccess disable https
# adminaccess enable https
# adminaccess enable http
  • A partir da versão 8.3 e posteriores, HTTP é desabilitado por padrão. Não é necessário ativá-lo se não for usado.
  • HTTPS é o método preferencial e seguro para acessar a interface do usuário.
  1. A interface do usuário deve estar acessível agora.

 

Como reiniciar HTTP ou HTTPS serviços quando a IU está indisponível — Dell Data Domain.

Duração: 00:03:17 (hh:mm:ss)
Quando disponíveis, as configurações de idioma de legendas podem ser escolhidas usando o ícone CC neste player de vídeo.

Você também pode assistir a este vídeo no YouTube.Esse hiperlink direcionará você para um site fora da Dell Technologies.

Affected Products

Data Domain
Article Properties
Article Number: 000198864
Article Type: Solution
Last Modified: 01 Dec 2025
Version:  20
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.