Data Domain: Interfaccia utente web inaccessibile a causa di un certificato https scaduto

Summary: Quando il certificato https o "ca trusted-ca" scade su un Data Domain, si verificano problemi quando si tenta di accedere all'interfaccia utente web. La generazione di un nuovo certificato risolve il problema. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • È possibile che vengano visualizzati 404 HTTP errori o altri servizi web Apache alla scadenza del certificato:
    Errore dell'interfaccia utente del certificato http
  • Potrebbero essere visualizzati altri errori, ad esempio di risorsa non disponibile.
  • In generale, l'interfaccia utente è inaccessibile.
  • Il problema si presenta anche come errore di accesso dell'utente nell'interfaccia utente.

Cause

quando la proprietà del HTTPS o il certificato CA scade su un Data Domain, causa problemi con il server web Apache. Disattiva l'interfaccia utente rendendola inaccessibile.

Resolution

Nota: Se il certificato CA è scaduto, sono necessarie le credenziali sysadmin per qualsiasi Data Domain o PowerProtect DD Management Center che abbia precedentemente stabilito un trust con questo DD. Accertarsi che le credenziali siano disponibili prima di tentare questa procedura.


Se questo Data Domain si trova in una configurazione Integrated Data Protection Appliance o Cyber Recovery vault, considerare il modo in cui questi sistemi monitorano Data Domain utilizzando i certificati. Potrebbe essere richiesto il supporto quando un certificato scade e in seguito viene aggiunto un nuovo certificato.

Non si tratta di un problema per Data Domain in una soluzione DLm in quanto DLm non richiede o utilizza HTTP or HTTPS per comunicare con Data Domain. Gli aggiornamenti dei certificati sul Data Domain possono essere eseguiti senza interruzione dell'elaborazione del mount del nastro DLm.

  1. Verificare se l'opzione HTTPS o CA oppure entrambi i certificati sono scaduti:
# adminaccess certificate show
Output di AdminAccess per lo stato del certificato

  1. Se non sono scaduti, l'interfaccia utente potrebbe essere inattiva a causa dei seguenti problemi:

  2. Se il certificato CA è scaduto, controllare i trust stabiliti:
# adminaccess trust show
Output dell'accesso amministratore per l'attendibilità

Viene visualizzato il certificato per il Data Domain corrente (in base al relativo nome host) e i certificati di altri Data Domain o di PowerProtect DD Management Center. Se tali trust devono essere ristabiliti, un utente richiede le password sysadmin per qualsiasi Data Domain o Data Domain Management Center nella coppia di trust per ristabilirle dopo aver generato un nuovo certificato CA. Alcuni trust potrebbero essere obsoleti da contesti di replica precedenti e non richiedono la reaggiunta.

  1. Verificare se l'opzione HTTPS cert è un certificato autofirmato o se l'utente lo firma con un'autorità di certificazione (CA):
# adminaccess certificate show imported-host application https

Se questo comando restituisce qualcosa, l'utente firma il certificato esternamente con una CA. In caso contrario, se non è presente alcun certificato host importato, il certificato è autofirmato.

Anche se il certificato importato è valido e non è scaduto, se il certificato autofirmato è scaduto, è necessario rinnovarlo come nei passaggi successivi. Un certificato host autofirmato viene utilizzato anche internamente per consentire alla UI DD di comunicare internamente con il servizio SMS. 
 

NOTA IMPORTANTE: L'host autofirmato e i certificati CA devono essere presenti nel sistema anche se non sono in uso; non è possibile eliminare o rimuovere i certificati autofirmati nel caso in cui il sistema debba ricorrervi sopra. Si tratta del funzionamento previsto per progettazione.

  1. Se HTTPS certificato firmato esternamente, generare una nuova richiesta di firma del certificato (CSR). L'utente lo passa alla propria CA per la firma e importa nuovamente il certificato firmato in Data Domain. Consultare l'articolo Data Domain: Come generare una richiesta di firma del certificato e utilizzare certificati firmati esternamente.

    1. DDOS supporta un certificato host per HTTPS. Se il sistema utilizza un certificato host, anche autofirmato e l'utente desidera utilizzare un certificato host diverso, eliminare il certificato corrente prima di aggiungerne uno nuovo.

      Procedura:

      1. Disconnettersi dalla sessione del browser prima di eliminare un HTTPS Certificato host. 
      2. Eseguire il comando CLI per eliminare il certificato 
        adminaccess certificate delete imported-host-application https
  2. Se il certificato CA è scaduto, rigenerare un nuovo HTTPS e certificato CA con questo comando:
# adminaccess certificate generate self-signed-cert regenerate-ca

Si noti che, dopo la generazione, la data di inizio valida per HTTPS cert è un mese nel passato e il certificato CA è un anno nel passato, questo è per impostazione predefinita.

Andare quindi al passaggio 9 per riavviare i servizi dell'interfaccia utente.
  1. Se il certificato è autofirmato e solo il HTTPS cert è scaduto, rigenerare un nuovo HTTPS Certificato con:
# adminaccess certificate generate self-signed-cert
  1. Se il certificato CA è stato rigenerato, l'utente deve ristabilire l'eventuale attendibilità richiesta. PowerProtect DD Management Center richiede affidabilità per il monitoraggio e quando la replica viene configurata tramite l'interfaccia utente. In tal caso, un utente deve stabilire un trust affinché funzioni.
  2. Per qualsiasi Data Domain o Data Domain Management Center che necessita di attendibilità, eseguire questo comando per eliminare l'attendibilità precedente e quindi ristabilire l'attendibilità utilizzando il nuovo certificato sul Data Domain corrente (in questo modo viene richiesta la password sysadmin sugli altri Data Domain o Data Domain Management Center. Assicurarsi che un utente disponga di tutti i Data Domain o Data Domain Management Center o eliminare l'attendibilità per i Data Domain o i Data Domain Management Center disattivati senza aggiungerli di nuovo. Utilizzare il comando senza type mutual quando si esegue questa operazione.
# adminaccess trust del host <hostname of other DD/DDMC> type mutual

Quindi eseguire questo comando per stabilire un nuovo trust:

# adminaccess trust add host <hostname of other DD/DDMC> type mutual

Per l'esempio precedente, eseguire il comando add e del per TUTTI gli altri Data Domain o Data Domain Management Center.

# adminaccess trust del host sc-dd2500-2.lss.emc.com type mutual
# adminaccess trust add host sc-dd2500-2.lss.emc.com type mutual

Se un utente non deve aggiungere nuovamente il trust, perché Data Domain è disattivato:

# adminaccess trust del host dd690.dssupport.emea
  1. Una volta ristabilita l'attendibilità, se necessario, riavviare i servizi dell'interfaccia utente:
# adminaccess disable http
# adminaccess disable https
# adminaccess enable https
# adminaccess enable http
  • A partire dalla versione 8.3, HTTP è disabilitato per impostazione predefinita. Non è necessario abilitarlo se non viene utilizzato.
  • HTTPS è il metodo preferito e sicuro per accedere all'interfaccia utente.
  1. L'interfaccia utente dovrebbe essere accessibile ora.

 

Come riavviare HTTP oppure HTTPS servizi quando l'interfaccia utente non è disponibile - Dell Data Domain.

Durata: 00:03:17 (hh:mm:ss)
Se disponibile, è possibile scegliere le impostazioni della lingua dei sottotitoli (sottotitoli) utilizzando l'icona CC su questo lettore video.

Puoi visualizzare questo video anche su YouTube.Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies.

Affected Products

Data Domain
Article Properties
Article Number: 000198864
Article Type: Solution
Last Modified: 01 Dec 2025
Version:  20
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.