Data Domain:Web UI 因 https 憑證過期而無法存取

Summary: 當 Data Domain 上的 https 或「ca trusted-ca」憑證到期時,在嘗試存取 Web UI 時會導致問題。 產生新憑證可解決此問題。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • 您可能會看到 404 HTTP 憑證到期時發生錯誤或其他 Apache Web 服務:
    HTTP 憑證 UI 錯誤
  • 可能會出現其他錯誤,例如資源無法使用。
  • 通常,UI 是不可訪問的。
  • 問題也會顯示為使用者在 UI 上登入失敗。

Cause

HTTPS 或 Data Domain 上的 CA 憑證到期,這會導致 Apache Web 伺服器發生問題。這會使UI關閉並使其無法訪問。

Resolution

注意:如果 CA 憑證已過期,您需要任何先前與此 DD 建立信任的 Data Domain 或 PowerProtect DD Management Center 的 sysadmin 登入資料。在嘗試執行此程序之前,請確定登入資料可用。


如果此 Data Domain 位於整合式 Data Protection Appliance 或 Cyber Recovery 存放庫組態中,請考慮這些系統如何使用憑證監控 Data Domain。憑證到期並新增憑證後,可能需要支援。

不需要擔心 DLm 解決方案中的 Data Domains,因為 DLm 不需要也不使用 HTTP or HTTPS 與 Data Domain 通訊的權限。Data Domain 上的憑證更新可在不中斷 DLm 磁帶掛載程序的情況下執行。

  1. 檢查是否 HTTPS 或 CA,或兩個憑證都已過期:
# adminaccess certificate show
憑證狀態的 adminaccess 輸出

  1. 如果未過期,UI 可能會因為以下問題而關閉:

  2. 如果 CA 憑證已過期,請檢查已建立的信任:
# adminaccess trust show
信任管理員存取權限的輸出

您會看到目前 Data Domain 的憑證 (按其主機名稱),以及其他 Data Domain 或 PowerProtect DD Management Center 的憑證。如果必須重新建立這些信任,則使用者需要在產生新的 CA 憑證後,為信任配對中的任何 Data Domain 或 Data Domain Management Center 提供 sysadmin 密碼。某些信任可能已從舊的複製上下文中過時,不需要重新添加。

  1. 檢查是否 HTTPS 憑證是自我簽署憑證,或者如果使用者使用認證機構 (CA) 簽署憑證:
# adminaccess certificate show imported-host application https

如果此命令返回任何內容,則使用者使用 CA 對證書進行外部簽名。如果沒有匯入的主機憑證,則代表憑證為自我簽署。

即使匯入的憑證有效且未過期,如果自我簽署憑證已到期,您仍須按照接下來的幾個步驟續約。DD UI 內部也會使用自我簽署主機憑證,以在內部與 SMS 服務通訊。 
 

重要注意事項:自我簽署主機和 CA 憑證必須位於系統上,即使它們未在使用中,您也無法刪除或移除自我簽署憑證,以防系統必須回復至它們。這是根據設計運作。

  1. 如果 HTTPS 憑證已在外部簽署,請產生新的憑證簽署要求 (CSR)。使用者會將此資訊傳送到其 CA 進行簽署,然後將已簽署的憑證匯入回 Data Domain。請遵循文章 Data Domain:如何產生憑證簽署要求和使用外部簽署憑證

    1. DDOS 支援一個主機憑證可用於 HTTPS。如果系統使用的是包含自簽名的主機證書,並且使用者想要使用其他主機證書,請先刪除當前證書,然後再添加新證書。

      步驟:

      1. 在刪除 HTTPS 主機證書。 
      2. 執行命令行介面 (CLI) 命令以刪除憑證 
        adminaccess certificate delete imported-host-application https
  2. 如果 CA 憑證已過期,請重新產生新的 HTTPS 和使用此命令的 CA 憑證:
# adminaccess certificate generate self-signed-cert regenerate-ca

請注意,生成後,有效的開始日期為 HTTPS 憑證是過去一個月,CA 憑證是過去一年,這是設計使然。

然後前往步驟 9 以重新啟動 UI 服務。
  1. 如果憑證為自我簽署,且只有 HTTPS 憑證已過期,請重新產生新的憑證 HTTPS 憑證:
# adminaccess certificate generate self-signed-cert
  1. 如果重新生成 CA 證書,用戶必須重新建立所需的任何信任。PowerProtect DD Management Center 需要信任才能進行監控,以及何時使用 UI 設定複寫。如果是這樣,用戶必須建立信任才能正常工作。
  2. 針對任何需要信任的 Data Domain 或 Data Domain Management Center,請執行此命令以刪除舊的信任,然後使用目前 Data Domain 上的新憑證重新建立信任 (這會要求其他 Data Domain 或 Data Domain Management Center 上的 sysadmin 密碼。請確定使用者擁有所有的 Data Domain 或 Data Domain Management Center,或刪除已解除代理的任何 Data Domain 或 Data Domain Management Center 的信任,而不加回。使用不帶 type mutual 執行此操作時。
# adminaccess trust del host <hostname of other DD/DDMC> type mutual

然後執行此命令以建立新的信任:

# adminaccess trust add host <hostname of other DD/DDMC> type mutual

對於上述範例,請執行 adddel 所有其他 Data Domain 或 Data Domain Management Center 依次發生。

# adminaccess trust del host sc-dd2500-2.lss.emc.com type mutual
# adminaccess trust add host sc-dd2500-2.lss.emc.com type mutual

如果使用者因為 Data Domain 已解除代理而不得再次新增信任:

# adminaccess trust del host dd690.dssupport.emea
  1. 重新建立信任後 (如有需要),請重新啟動 UI 服務:
# adminaccess disable http
# adminaccess disable https
# adminaccess enable https
# adminaccess enable http
  • 從版本 8.3 及更新版本開始, HTTP 預設為停用。如果未使用,則不需要啟用。
  • HTTPS 是訪問UI的首選和安全方法。
  1. 使用者介面現在應該可以訪問。

 

如何重新開機 HTTPHTTPS 無法使用 UI 時的服務 - Dell Data Domain。

持續時間:00:03:17 (小時:分鐘:秒)
當可用時,您可以使用此影像播放器上的 CC 圖示來選擇隱藏式輔助字幕 (字幕) 語言設定。

您也可以在 YouTube上觀看此視頻。此超連結會帶您前往 Dell Technologies 以外的網站。

Affected Products

Data Domain
Article Properties
Article Number: 000198864
Article Type: Solution
Last Modified: 01 Dec 2025
Version:  20
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.