Data Domain. Веб-интерфейс недоступен из-за истечения срока действия сертификата https

Summary: Когда в Data Domain истекает срок действия сертификата https или «ca trusted-ca», это вызывает проблемы при попытке доступа к веб-интерфейсу. Создание нового сертификата решает проблему. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • Вы можете увидеть 404 HTTP ошибки или другой веб-сервис Apache по истечении срока действия сертификата:
    Ошибка пользовательского интерфейса сертификата http
  • Могут отображаться другие ошибки, например ресурс недоступен.
  • Как правило, пользовательский интерфейс недоступен.
  • Проблема также проявляется в виде ошибки входа пользователя в пользовательский интерфейс.

Cause

Если у HTTPS или срок действия сертификата CA истекает в Data Domain, это вызывает проблемы с веб-сервером Apache. Это приводит к отключению пользовательского интерфейса и делает его недоступным.

Resolution

Примечание. Если срок действия сертификата CA истек, вам потребуются учетные данные системного администратора для любого Data Domain или PowerProtect DD Management Center, которые ранее установили доверие к этой системе DD. Перед выполнением этой процедуры убедитесь, что учетные данные доступны.


Если этот Data Domain находится в конфигурации Integrated Data Protection Appliance или хранилища Cyber Recovery, подумайте о том, как эти системы отслеживают Data Domain с помощью сертификатов. Поддержка может потребоваться по истечении срока действия сертификата и добавления нового сертификата.

Это не является проблемой для Data Domain в решении DLm, так как DLm не требует и не использует HTTP or HTTPS доступ для связи с Data Domain. Обновления сертификатов в системе Data Domain можно выполнять без прерывания процесса монтирования лент DLm.

  1. Проверьте, является ли HTTPS или CA, или оба сертификата просрочены:
# adminaccess certificate show
Выходные данные AdminAccess для состояния сертификата

  1. Если срок их действия не истек, возможно, пользовательский интерфейс не работает по следующим причинам:

  2. Если срок действия сертификата CA истек, проверьте установленные трасты:
# adminaccess trust show
Выходные данные о доступе администратора для доверия

Вы увидите сертификат текущего Data Domain (по имени хоста) и сертификаты других Data Domain или PowerProtect DD Management Center. Если эти доверия необходимо восстановить, пользователю потребуется восстановить пароли системного администратора для всех Data Domain или центров управления Data Domain в паре доверия, чтобы восстановить после создания нового сертификата CA. Некоторые типы доверия могут быть устаревшими из старых контекстов репликации и не требовать их обратного добавления.

  1. Проверьте, является ли HTTPS cert является самозаверяющим сертификатом, или если пользователь подписывает его в центре сертификации (CA):
# adminaccess certificate show imported-host application https

Если эта команда возвращает какие-либо данные, пользователь подписывает сертификат вне центра сертификации. В противном случае, если импортированный сертификат хоста отсутствует, сертификат самозаверяющий.

Даже если импортированный сертификат действителен и срок его действия еще не истек, если срок действия самозаверяющего сертификата истек, его необходимо обновить, как описано в следующих нескольких шагах. Самозаверяющий сертификат хоста также используется внутри системы для взаимодействия пользовательского интерфейса DD со службой SMS. 
 

ВАЖНОЕ ПРИМЕЧАНИЕ. Самозаверяющие сертификаты хоста и ЦС должны быть в системе, даже если они не используются. Вы не сможете удалить или удалить самозаверяющие сертификаты, если система будет вынуждена вернуться к ним. Это предусмотрено конструкцией.

  1. Если HTTPS сертификат подписан извне, создайте новый запрос на подпись сертификата (CSR). Пользователь передает его на подпись своему CA, а затем импортирует подписанный сертификат обратно в Data Domain. Подробнее см. в статье Data Domain. Создание запроса на подпись сертификата и использование сертификатов с внешней подписью.

    1. DDOS поддерживает один сертификат хоста для HTTPS. Если в системе используется сертификат хоста, в том числе самозаверяющий, и пользователь хочет использовать другой сертификат хоста, удалите текущий сертификат перед добавлением нового.

      Действия

      1. Выйдите из сеанса браузера перед удалением HTTPS Сертификат хоста. 
      2. Выполните команду интерфейса командной строки для удаления сертификата 
        adminaccess certificate delete imported-host-application https
  2. Если срок действия сертификата источника сертификатов истек, создайте его заново HTTPS и сертификат CA с помощью следующей команды:
# adminaccess certificate generate self-signed-cert regenerate-ca

Обратите внимание, что после создания допустимая дата начала для HTTPS cert был создан на один месяц назад, а сертификат CA — на один год назад, это сделано специально.

Затем перейдите к шагу 9, чтобы перезапустить службы пользовательского интерфейса.
  1. Если сертификат самозаверяющий и только сертификат HTTPS Срок действия сертификата истек, создайте новый HTTPS Сертификат с:
# adminaccess certificate generate self-signed-cert
  1. Если сертификат источника сертификатов был создан повторно, пользователь должен повторно установить требуемое доверие. PowerProtect DD Management Center требует доверия для мониторинга и настройки репликации с помощью пользовательского интерфейса. Если это так, пользователь должен установить доверие, чтобы это сработало.
  2. Для любых доменов Data Domain или центров управления Data Domain, которым требуется доверие, выполните эту команду, чтобы удалить старое доверие, а затем восстановить доверие с помощью нового сертификата в текущем Data Domain (при этом запрашивается пароль системного администратора в других Data Domain или центрах управления Data Domain). Убедитесь, что у пользователя есть все Data Domain или Data Domain Management Center, или удалите доверие для всех выведенных из эксплуатации Data Domain или центров управления Data Domain, не добавляя их обратно. Используйте команду без оператора type mutual при этом.
# adminaccess trust del host <hostname of other DD/DDMC> type mutual

Затем выполните эту команду, чтобы установить новое доверие:

# adminaccess trust add host <hostname of other DD/DDMC> type mutual

В приведенном выше примере запустите команду add и del для ВСЕХ остальных Data Domain или центров управления Data Domain по очереди.

# adminaccess trust del host sc-dd2500-2.lss.emc.com type mutual
# adminaccess trust add host sc-dd2500-2.lss.emc.com type mutual

Если пользователю не нужно возвращать доверие, так как Data Domain выведен из эксплуатации, выполните следующие действия.

# adminaccess trust del host dd690.dssupport.emea
  1. После восстановления доверия, если необходимо, перезапустите службы пользовательского интерфейса.
# adminaccess disable http
# adminaccess disable https
# adminaccess enable https
# adminaccess enable http
  • Начиная с версии 8.3 и выше, HTTP отключено по умолчанию. Если он не используется, его включать не требуется.
  • HTTPS является предпочтительным и безопасным методом доступа к пользовательскому интерфейсу.
  1. Теперь пользовательский интерфейс должен быть доступен.

 

Как перезапустить компьютер HTTP или HTTPS службы, когда пользовательский интерфейс недоступен — Dell Data Domain.

Продолжительность: 00:03:17 (чч:мм:сс)При
наличии языковых настроек для скрытых субтитров можно выбрать с помощью значка CC в этом видеопроигрывателе.

Вы также можете посмотреть это видео на YouTube.Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

Affected Products

Data Domain
Article Properties
Article Number: 000198864
Article Type: Solution
Last Modified: 01 Dec 2025
Version:  20
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.