Data Domain : Interface utilisateur Web inaccessible en raison d’un certificat https expiré

Summary: Lorsque le certificat https ou « ca trusted-ca » expire sur un système Data Domain, cela entraîne des problèmes lors des tentatives d’accès à l’interface utilisateur Web. La génération d’un nouveau certificat résout le problème. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • Vous verrez peut-être 404 HTTP erreurs ou d’autres services Web Apache lorsque le certificat expire :
    Erreur d’interface utilisateur de certificat http
  • D’autres erreurs peuvent se produire, telles que l’indisponibilité des ressources.
  • En général, l’interface utilisateur est inaccessible.
  • Le problème se présente également sous la forme d’un échec de connexion utilisateur sur l’interface utilisateur.

Cause

lorsque la propriété HTTPS ou si le certificat CA expire sur un Data Domain, cela entraîne des problèmes avec le serveur Web Apache. Cela arrête l’interface utilisateur et la rend inaccessible.

Resolution

Remarque : Si le certificat CA a expiré, vous avez besoin des informations d’identification sysadmin pour tous les Data Domain ou PowerProtect DD Management Center qui ont précédemment établi une relation de confiance avec ce DD. Assurez-vous que les informations d’identification sont disponibles avant de tenter cette procédure.


Si ce système Data Domain se trouve dans une configuration Integrated Data Protection Appliance ou Cyber Recovery Vault, réfléchissez à la façon dont ces systèmes surveillent le système Data Domain à l’aide de certificats. Un support peut être nécessaire lorsqu’un certificat expire, puis qu’un nouveau certificat est ajouté.

Ce n’est pas un problème pour les systèmes Data Domain dans une solution DLm, car DLm ne nécessite pas ou n’utilise pas HTTP or HTTPS pour communiquer avec le système Data Domain. Les mises à jour de certificat sur le Data Domain peuvent être effectuées sans interruption de l'opération de montage de bande DLm.

  1. Vérifiez si l’option HTTPS ou CA, ou les deux certificats ont expiré :
# adminaccess certificate show
Sortie de AdminAccess pour l’état du certificat

  1. S’ils n’ont pas expiré, l’interface utilisateur peut être arrêtée en raison des problèmes ci-dessous :

  2. Si le certificat CA a expiré, vérifiez les approbations établies :
# adminaccess trust show
Résultat de l’accès administrateur pour la confiance

Le certificat du Data Domain actif (par son nom d’hôte) et les certificats des autres Data Domains ou PowerProtect DD Management Center s’affichent. Si ces approbations doivent être rétablies, un utilisateur a besoin des mots de passe sysadmin pour tous les systèmes Data Domain ou centres de gestion Data Domain de la paire de confiance à rétablir après la génération d’un nouveau certificat d’autorité de certification. Certaines approbations peuvent être obsolètes dans d’anciens contextes de réplication et n’ont pas besoin d’être ajoutées à nouveau.

  1. Vérifiez si l’option HTTPS cert est un certificat auto-signé ou, si l’utilisateur le signe avec une autorité de certification (AC) :
# adminaccess certificate show imported-host application https

Si cette commande renvoie quelque chose, l’utilisateur signe le certificat en externe avec une autorité de certification. Dans le cas contraire, s’il n’existe aucun certificat hôte importé, le certificat est auto-signé.

Même si le certificat importé est valide et n’a pas expiré, si le certificat auto-signé a expiré, vous devez le renouveler comme indiqué dans les deux étapes suivantes. Un certificat d’hôte auto-signé est également utilisé en interne pour que l’interface utilisateur DD communique avec le service SMS en interne. 
 

Remarque importante : Les certificats d’hôte et d’autorité de certification auto-signés doivent être sur le système même s’ils ne sont pas utilisés. Vous ne pouvez pas supprimer ou retirer les certificats auto-signés au cas où le système devrait y revenir. Cela est normal.

  1. Si la demande HTTPS Le certificat est signé en externe, générez une nouvelle demande de signature de certificat (CSR). L’utilisateur le transmet à son autorité de certification pour signature, puis réimporte le certificat signé dans Data Domain. Suivez l’article Data Domain : Comment générer une demande de signature de certificat et utiliser des certificats signés en externe.

    1. DDOS prend en charge un seul certificat d’hôte pour HTTPS. Si le système utilise un certificat d’hôte, y compris un certificat auto-signé, et que l’utilisateur souhaite utiliser un certificat d’hôte différent, supprimez le certificat actuel avant d’ajouter le nouveau certificat.

      Étapes :

      1. Déconnectez-vous de la session de navigateur avant de supprimer un HTTPS Certificat de l’hôte. 
      2. Exécutez la commande CLI pour supprimer le certificat 
        adminaccess certificate delete imported-host-application https
  2. Si le certificat d’autorité de certification a expiré, régénérez un nouveau HTTPS et CA cert avec cette commande :
# adminaccess certificate generate self-signed-cert regenerate-ca

Notez qu’après la génération, la date de début valide pour le HTTPS Le certificat est antérieur d’un mois et le certificat CA est antérieur d’un an, c’est par conception.

Passez ensuite à l’étape 9 pour redémarrer les services de l’interface utilisateur.
  1. Si le certificat est auto-signé et que seul le HTTPS Le certificat a expiré, régénérez un nouveau certificat HTTPS Certificat avec :
# adminaccess certificate generate self-signed-cert
  1. Si le certificat de l’autorité de certification a été régénéré, un utilisateur doit rétablir toute relation de confiance requise. PowerProtect DD Management Center nécessite une confiance pour la surveillance et lorsque la réplication est configurée à l’aide de l’interface utilisateur. Si c’est le cas, un utilisateur doit établir une relation de confiance pour que cela fonctionne.
  2. Pour tous les systèmes Data Domain ou centres de gestion Data Domain nécessitant une approbation, exécutez cette commande pour supprimer l’ancienne approbation, puis rétablissez la confiance avec à l’aide du nouveau certificat sur le système Data Domain actuel (cela demande le mot de passe sysadmin sur les autres systèmes Data Domain ou Data Domain Management Center. Assurez-vous qu’un utilisateur dispose de tous les systèmes Data Domain ou centres de gestion Data Domain, ou supprimez la relation de confiance pour tous les systèmes Data Domain ou centres de gestion Data Domain qui sont mis hors service sans les ajouter à nouveau. Utilisez la commande sans l’attribut type mutual en faisant cela.
# adminaccess trust del host <hostname of other DD/DDMC> type mutual

Exécutez ensuite cette commande pour établir une nouvelle relation de confiance :

# adminaccess trust add host <hostname of other DD/DDMC> type mutual

Pour l’exemple ci-dessus, exécutez la commande add et del pour TOUS les autres Data Domain ou Data Domain Management Center à tour de rôle.

# adminaccess trust del host sc-dd2500-2.lss.emc.com type mutual
# adminaccess trust add host sc-dd2500-2.lss.emc.com type mutual

Si un utilisateur ne doit pas rajouter la relation de confiance, car le système Data Domain est désactivé :

# adminaccess trust del host dd690.dssupport.emea
  1. Une fois la relation de confiance rétablie, si nécessaire, redémarrez les services de l’interface utilisateur :
# adminaccess disable http
# adminaccess disable https
# adminaccess enable https
# adminaccess enable http
  • À partir de la version 8.3 et des versions ultérieures, HTTP Cette option est désactivée par défaut. Il n’est pas obligatoire de l’activer s’il n’est pas utilisé.
  • HTTPS est la méthode préférée et sécurisée pour accéder à l’interface utilisateur.
  1. L’interface utilisateur devrait être accessible maintenant.

 

Comment redémarrer HTTP ou HTTPS lorsque l’interface utilisateur n’est pas disponible - Dell Data Domain.

Durée : 00:03:17 (hh :mm :ss)
Lorsqu’ils sont disponibles, les paramètres de langue des sous-titres peuvent être choisis à l’aide de l’icône CC de ce lecteur vidéo.

Vous pouvez également visionner cette vidéo sur YouTube.Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

Affected Products

Data Domain
Article Properties
Article Number: 000198864
Article Type: Solution
Last Modified: 01 Dec 2025
Version:  20
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.