Data Domain: No se puede acceder a la interfaz de usuario web debido a un certificado https vencido

Summary: Cuando el certificado https o "ca trusted-ca" vence en un Data Domain, causa problemas cuando se intenta acceder a la interfaz de usuario web. Generar un nuevo certificado resuelve el problema. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • Es posible que veas 404 HTTP errores u otro servicio web Apache cuando vence el certificado:
    Error en la interfaz de usuario de certificado HTTP
  • Es posible que se observen otros errores, como recurso no disponible.
  • En general, no se puede acceder a la interfaz de usuario.
  • El problema también se presenta como un error de inicio de sesión del usuario en la IU.

Cause

Cuando se borra la propiedad de HTTPS o el certificado de CA vence en un Data Domain, causa problemas con el servidor web Apache. Esto desactiva la interfaz de usuario y la hace inaccesible.

Resolution

Nota: Si el certificado de CA venció, necesita credenciales de sysadmin para cualquier Data Domain o PowerProtect DD Management Center que previamente haya establecido la confianza con este DD. Asegúrese de que las credenciales estén disponibles antes de intentar realizar este procedimiento.


Si este Data Domain se encuentra en una configuración de Integrated Data Protection Appliance o Cyber Recovery Vault, considere cómo esos sistemas monitorean Data Domain mediante certificados. Es posible que se requiera soporte cuando un certificado vence y, a continuación, se agrega uno nuevo.

Esto no es una preocupación para Data Domain en una solución DLm, ya que DLm no requiere ni utiliza HTTP or HTTPS acceso para comunicarse con el Data Domain. Las actualizaciones de certificados en Data Domain se pueden realizar sin interrupción del procesamiento del montaje en cinta de DLm.

  1. Compruebe si el HTTPS o CA, o ambos certificados están vencidos:
# adminaccess certificate show
Resultado de adminaccess para el estado del certificado

  1. Si no están vencidas, es posible que la interfaz del usuario esté inactiva debido a los siguientes problemas:

  2. Si el certificado de CA venció, verifique las confianzas que se establecen:
# adminaccess trust show
Resultado del acceso de administrador para la confianza

Puede ver el certificado del Data Domain actual (por su nombre de host) y los certificados de otros Data Domain o de PowerProtect DD Management Center. Si esas confianzas se deben restablecer, un usuario requiere que se restablezcan las contraseñas de sysadmin de todos los Data Domain o Data Domain Management Centers del par de confianza después de generar un nuevo certificado de CA. Es posible que algunas confianzas estén obsoletas desde contextos de replicación antiguos y no es necesario volver a agregarlas.

  1. Compruebe si el HTTPS cert es un certificado autofirmado o si el usuario lo firma con una autoridad de certificación (CA):
# adminaccess certificate show imported-host application https

Si este comando devuelve algo, el usuario firma el certificado externamente con una CA. De lo contrario, si no hay ningún certificado de host importado, el certificado se autofirma.

Incluso si el certificado importado es válido y no está vencido, si el certificado autofirmado está vencido, debe renovarlo como en los siguientes pasos. Un certificado de host autofirmado también se utiliza internamente para que la interfaz del usuario de DD se comunique con el servicio SMS internamente. 
 

NOTA IMPORTANTE: Los certificados autofirmados de host y CA deben estar en el sistema incluso si no están en uso. No puede eliminar ni quitar los certificados autofirmados en caso de que el sistema deba revertirse a ellos. Esto es por diseño.

  1. Si la solicitud en HTTPS El certificado está firmado externamente, genere una nueva solicitud de firma de certificado (CSR). El usuario pasa esto a su CA para la firma e importa el certificado firmado nuevamente a Data Domain. Siga el artículo Data Domain: Cómo generar una solicitud de firma de certificado y usar certificados firmados externamente.

    1. DDOS soporta un certificado de host para HTTPS. Si el sistema utiliza un certificado de host que incluye el autofirmado y el usuario desea utilizar un certificado de host diferente, elimine el certificado actual antes de agregar el nuevo certificado.

      Pasos:

      1. Cierre sesión en el navegador antes de eliminar un HTTPS Certificado de host. 
      2. Ejecute el comando de la CLI para eliminar el certificado 
        adminaccess certificate delete imported-host-application https
  2. Si el certificado de CA venció, vuelva a generar uno nuevo HTTPS y CA cert con este comando:
# adminaccess certificate generate self-signed-cert regenerate-ca

Tenga en cuenta que después de la generación, la fecha de inicio válida para el HTTPS El certificado es un mes en el pasado y el certificado de CA es en un año en el pasado, esto es por diseño.

A continuación, vaya al paso 9 para reiniciar los servicios de la interfaz de usuario.
  1. Si el certificado está autofirmado y solo el HTTPS El certificado venció, vuelva a generar uno nuevo HTTPS Certificado con:
# adminaccess certificate generate self-signed-cert
  1. Si se volvió a generar el certificado de CA, el usuario debe restablecer la confianza necesaria. PowerProtect DD Management Center requiere confianza para el monitoreo y cuando la replicación se configura mediante la interfaz de usuario. Si es así, un usuario debe establecer una confianza para que eso funcione.
  2. Para cualquier Data Domain o Data Domain Management Center que necesite confianza, ejecute este comando para eliminar la confianza antigua y, a continuación, restablezca la confianza con el uso del nuevo certificado en el Data Domain actual (se solicita la contraseña de sysadmin en los otros Data Domain o Data Domain Management Centers. Asegúrese de que un usuario tenga todos los Data Domain o Data Domain Management Centers, o elimine la confianza para todos los Data Domain o Data Domain Management Centers que se desactiven sin volver a agregarlos. Utilice el comando sin el comando type mutual Al hacer esto.
# adminaccess trust del host <hostname of other DD/DDMC> type mutual

A continuación, ejecute este comando para establecer una nueva confianza:

# adminaccess trust add host <hostname of other DD/DDMC> type mutual

En el ejemplo anterior, ejecute el comando add y del para TODOS los demás Data Domains o Data Domain Management Centers a su vez.

# adminaccess trust del host sc-dd2500-2.lss.emc.com type mutual
# adminaccess trust add host sc-dd2500-2.lss.emc.com type mutual

Si un usuario no debe volver a agregar la confianza porque Data Domain está fuera de servicio:

# adminaccess trust del host dd690.dssupport.emea
  1. Una vez que se restablezca la confianza, si es necesario, reinicie los servicios de la interfaz de usuario:
# adminaccess disable http
# adminaccess disable https
# adminaccess enable https
# adminaccess enable http
  • A partir de la versión 8.3 y superior, HTTP está desactivada de forma predeterminada. No es necesario habilitarlo si no se utiliza.
  • HTTPS es el método preferido y seguro para acceder a la interfaz de usuario.
  1. La interfaz de usuario debería ser accesible ahora.

 

Cómo reiniciar HTTP o HTTPS cuando la interfaz de usuario no está disponible: Dell Data Domain.

Duración: 00:03:17 (hh:mm:ss)
Cuando esté disponible, se puede elegir la configuración de idioma de los subtítulos cerrados (subtítulos) mediante el ícono CC en este reproductor de video.

También puedes ver este video en YouTube.Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies.

Affected Products

Data Domain
Article Properties
Article Number: 000198864
Article Type: Solution
Last Modified: 01 Dec 2025
Version:  20
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.