Data Domain:由于 https 证书过期,Web UI 无法访问

Summary: 当 https 或“ca trusted-ca”证书在 Data Domain 上过期时,会在尝试访问 Web UI 时导致问题。 生成新证书可解决此问题。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • 您可能会看到 404 HTTP 证书过期时的错误或其他 Apache Web 服务:
    http certficate UI 错误
  • 可能会出现其他错误,例如资源不可用。
  • 通常情况下,UI 无法访问。
  • 问题还表现为用户在 UI 上登录失败。

Cause

HTTPS 或 Data Domain 上的 CA 证书到期,这会导致 Apache Web 服务器出现问题。它会导致 UI 关闭并使其无法访问。

Resolution

提醒:如果 CA 证书已过期,则对于之前与此 DD 建立信任的任何 Data Domain 或 PowerProtect DD Management Center,您需要 sysadmin 凭据。在尝试此过程之前,请确保凭据可用。


如果此 Data Domain 采用融合备份一体机或 Cyber Recovery 数据避风港存储区配置,请考虑这些系统如何使用证书监视 Data Domain。当证书过期,然后添加新证书时,可能需要支持。

这不是 DLm 解决方案中 Data Domain 的问题,因为 DLm 不需要或使用 HTTP or HTTPS 与 Data Domain 通信的访问权限。可以在不中断 DLm 磁带装载处理的情况下在 Data Domain 上执行证书更新。

  1. 检查 HTTPS 或 CA 证书,或两个证书均已过期:
# adminaccess certificate show
证书状态的 AdminAccess 输出

  1. 如果未过期,UI 可能会因以下问题而关闭:

  2. 如果 CA 证书已过期,请检查已建立的信任:
# adminaccess trust show
信任管理员访问权限的输出

您可以看到当前 Data Domain 的证书(按其主机名)以及其他 Data Domain 或 PowerProtect DD Management Center 的证书。如果必须重新建立这些信任,则用户需要在生成新的 CA 证书后重新建立信任对中任何 Data Domain 或 Data Domain Management Center 的 sysadmin 密码。某些信任可能因旧复制上下文而过时,不需要重新添加。

  1. 检查 HTTPS cert 是自签名证书,或者如果用户使用证书颁发机构 (CA) 进行签名:
# adminaccess certificate show imported-host application https

如果此命令返回任何内容,用户将使用 CA 在外部签署证书。否则,如果没有导入的主机证书,则证书是自签名证书。

即使导入的证书有效且未过期,如果自签名证书已过期,也必须像接下来的几个步骤一样续订它。自签名主机证书也在内部用于 DD UI 与 SMS 服务内部通信。 
 

重要说明:自签名主机和 CA 证书必须位于系统上,即使它们未在使用中,您也无法删除或移除自签名证书,以防系统必须回退到它们。这是设计的本意。

  1. 如果必须恢复 HTTPS 证书在外部签名,生成新的证书签名请求 (CSR)。用户将此证书传递给其 CA 进行签名,然后将签名证书导入回 Data Domain。遵循文章 Data Domain:如何生成证书签名请求和使用外部签名的证书

    1. DDOS 支持一个用于以下项的主机证书: HTTPS。如果系统正在使用主机证书(包括自签名),并且用户想要使用其他主机证书,请在添加新证书之前删除当前证书。

      步骤:

      1. 在删除之前从浏览器会话中注销 HTTPS 主机证书。 
      2. 运行 CLI 命令以删除证书 
        adminaccess certificate delete imported-host-application https
  2. 如果 CA 证书已过期,请重新生成新的 HTTPS 和 CA cert 与以下命令:
# adminaccess certificate generate self-signed-cert regenerate-ca

请注意,在生成之后,有效的开始日期 HTTPS cert 是过去一个月,CA 证书是过去一年,这是设计使然。

然后转至步骤 9 以重新启动 UI 服务。
  1. 如果证书是自签名的,并且只有 HTTPS 证书已过期,请重新生成新的 HTTPS 证书:
# adminaccess certificate generate self-signed-cert
  1. 如果重新生成了 CA 证书,用户必须重新建立所需的任何信任。PowerProtect DD Management Center 需要信任来进行监视以及使用 UI 配置复制时。如果是这样,用户必须建立信任才能使其正常工作。
  2. 对于任何需要信任的 Data Domain 或 Data Domain Management Center,请运行此命令以删除旧信任,然后使用当前 Data Domain 上的新证书重新建立信任(这需要其他 Data Domain 或 Data Domain Management Center 上的 sysadmin 密码。确保用户拥有所有 Data Domain 或 Data Domain Management Center,或者删除对已停用的任何 Data Domain 或 Data Domain Management Center 的信任,而不重新添加它们。使用该命令时不带 type mutual 执行此作时。
# adminaccess trust del host <hostname of other DD/DDMC> type mutual

然后运行此命令以建立新的信任:

# adminaccess trust add host <hostname of other DD/DDMC> type mutual

在上面的示例中,请运行 adddel 对于所有其他 Data Domain 或 Data Domain Management Center

# adminaccess trust del host sc-dd2500-2.lss.emc.com type mutual
# adminaccess trust add host sc-dd2500-2.lss.emc.com type mutual

如果由于 Data Domain 已停用,用户不得重新添加信任:

# adminaccess trust del host dd690.dssupport.emea
  1. 如果需要,重新建立信任后,重新启动 UI 服务:
# adminaccess disable http
# adminaccess disable https
# adminaccess enable https
# adminaccess enable http
  • 从版本 8.3 及更高版本开始, HTTP 默认情况下处于禁用状态。如果未使用,则不需要启用它。
  • HTTPS 是访问 UI 的首选安全方法。
  1. 用户界面现在应该可以访问了。

 

如何重新启动 HTTPHTTPS UI 不可用时的服务 — Dell Data Domain。

持续时间:00:03:17 (hh:mm:ss)
如果可用,可以使用此视频播放器上的 CC 图标选择隐藏式字幕(字幕)语言设置。

您也可以在 YouTube 上观看此视频。本超链接将引导您访问非 Dell Technologies 运营的网站。

Affected Products

Data Domain
Article Properties
Article Number: 000198864
Article Type: Solution
Last Modified: 01 Dec 2025
Version:  20
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.