Data Domain: 만료된 https 인증서로 인해 웹 UI에 액세스할 수 없음

• 당신은 볼 수 있습니다 404 HTTP 오류 또는 인증서가 만료될 때 다른 Apache 웹 서비스:
  
• 리소스를 사용할 수 없는 것과 같은 다른 오류가 표시될 수 있습니다.
• 일반적으로 UI에 액세스할 수 없습니다.
• UI에서 사용자 로그인 실패로도 표시됩니다.

때 HTTPS 또는 Data Domain에서 CA 인증서가 만료되면 Apache Web Server에 문제가 발생합니다. UI가 다운되어 액세스할 수 없게 됩니다.

이 Data Domain이 Integrated Data Protection Appliance 또는 Cyber Recovery 볼트 구성에 있는 경우 해당 시스템이 인증서를 사용하여 Data Domain을 모니터링하는 방법을 고려하십시오. 인증서가 만료된 후 새 인증서가 추가되면 지원이 필요할 수 있습니다.

DLm은 이를 요구하거나 사용하지 않으므로 DLm 솔루션의 Data Domains에서는 문제가 되지 않습니다. HTTP or HTTPS Data Domain과 통신하기 위한 액세스 권한. Data Domain의 인증서 업데이트는 DLm 테이프 마운트 처리를 중단하지 않고 수행할 수 있습니다.

1. 확인 여부 HTTPS 또는 CA 또는 두 인증서가 모두 만료된 경우:

# adminaccess certificate show

2. 만료되지 않은 경우 아래 문제로 인해 UI가 다운될 수 있습니다.

   • Data Domain: DDOS 또는 DDMC 7.1.x 이상으로 업그레이드한 후 UI에 더 이상 액세스할 수 없습니다.
   • Data Domain: DDOS 또는 DDMC 6.2.1.90, 7.2.0.95 또는 7.7.2.x 이상으로 업그레이드한 후 UI에 더 이상 액세스할 수 없음
3. CA 인증서가 만료된 경우 설정된 트러스트를 확인합니다.

# adminaccess trust show

현재 Data Domain에 대한 인증서(호스트 이름별)와 다른 Data Domain 또는 PowerProtect DD Management Center의 인증서가 표시됩니다. 이러한 트러스트를 다시 설정해야 하는 경우 새 CA 인증서를 생성한 후 다시 설정하려면 트러스트 쌍의 Data Domain 또는 Data Domain Management Center에 대한 sysadmin 암호가 필요합니다. 일부 트러스트는 이전 복제 컨텍스트에서 오래되었을 수 있으며 다시 추가할 필요가 없습니다.

4. 확인 여부 HTTPS cert가 자체 서명된 인증서이거나 사용자가 CA(Certificate Authority)로 서명한 경우:

# adminaccess certificate show imported-host application https

이 명령이 반환하는 항목이 있으면 사용자는 CA를 사용하여 외부에서 인증서에 서명합니다. 그렇지 않고 가져온 호스트 인증서가 없는 경우 인증서가 자체 서명됩니다.

가져온 인증서가 유효하고 만료되지 않은 경우에도 자체 서명된 인증서가 만료된 경우 다음 몇 단계에서와 같이 갱신해야 합니다. 자체 서명된 호스트 인증서도 DD UI가 SMS 서비스와 내부적으로 통신하는 데 내부적으로 사용됩니다. 
 

5. 만일 HTTPS 인증서가 외부에서 서명된 경우 새 CSR(Certificate Signing Request)을 생성합니다. 사용자는 서명을 위해 이 인증서를 CA에 전달하고 서명된 인증서를 Data Domain으로 다시 가져옵니다. Data Domain: 문서를 참조하십시오. 인증서 서명 요청을 생성하고 외부에서 서명된 인증서를 사용하는 방법

   1. DDOS는 다음에 대해 하나의 호스트 인증서를 지원합니다. HTTPS. 시스템이 자체 서명을 포함한 호스트 인증서를 사용 중이고 사용자가 다른 호스트 인증서를 사용하려는 경우 새 인증서를 추가하기 전에 현재 인증서를 삭제합니다.

      단계:

      1. 삭제하기 전에 브라우저 세션에서 로그아웃합니다. HTTPS 호스트 인증서입니다. 
      2. CLI 명령을 실행하여 인증서 삭제

         adminaccess certificate delete imported-host-application https

6. CA 인증서가 만료된 경우 새 인증서를 재생성합니다. HTTPS 및 CA cert를 다음 명령으로 사용합니다.

# adminaccess certificate generate self-signed-cert regenerate-ca

생성 후 유효한 시작 날짜는 HTTPS cert는 과거 1개월이고 CA 인증서는 1년 전이며, 이는 의도적으로 설계된 것입니다.

7. 인증서가 자체 서명되어 있고 HTTPS 인증서가 만료되었습니다. 새 인증서를 다시 생성하십시오. HTTPS 인증서 포함:

# adminaccess certificate generate self-signed-cert

8. CA 인증서가 다시 생성된 경우 사용자는 필요한 트러스트를 다시 설정해야 합니다. PowerProtect DD Management Center는 UI를 사용하여 모니터링을 수행하고 복제를 구성할 때 신뢰가 필요합니다. 이 경우 사용자가 트러스트를 설정해야 작동합니다.
9. 신뢰가 필요한 모든 Data Domain 또는 Data Domain Management Center의 경우 이 명령을 실행하여 이전 트러스트를 삭제한 다음 현재 Data Domain에서 새 인증서를 사용하여 트러스트를 다시 설정합니다(다른 Data Domain 또는 Data Domain Management Center에서 sysadmin 암호를 요청합니다. 사용자에게 모든 Data Domains 또는 Data Domain Management Center가 있는지 확인하거나 다시 추가하지 않고 사용 중지된 Data Domain 또는 Data Domain Management Center에 대한 트러스트를 삭제합니다. 를 사용하지 않고 명령을 type mutual 이 작업을 수행할 때.

# adminaccess trust del host <hostname of other DD/DDMC> type mutual

그런 다음 다음 명령을 실행하여 새 트러스트를 설정합니다.

# adminaccess trust add host <hostname of other DD/DDMC> type mutual

위의 예에서 add 및 del 차례로 다른 모든 Data Domain 또는 Data Domain Management Center에 대한 것입니다.

# adminaccess trust del host sc-dd2500-2.lss.emc.com type mutual
# adminaccess trust add host sc-dd2500-2.lss.emc.com type mutual

Data Domain이 사용 중지되었기 때문에 사용자가 신뢰를 다시 추가하지 않아야 하는 경우:

# adminaccess trust del host dd690.dssupport.emea

10. 트러스트가 다시 설정되면 필요한 경우 UI 서비스를 재시작합니다.

# adminaccess disable http
# adminaccess disable https
# adminaccess enable https
# adminaccess enable http

• 버전 8.3 이상부터는 HTTP 기본적으로 비활성화되어 있습니다. 사용하지 않는 경우에는 활성화할 필요가 없습니다.
• HTTPS 는 UI에 액세스하기 위한 기본 설정되고 안전한 방법입니다.

11. 이제 사용자 인터페이스에 액세스할 수 있어야 합니다.

이 비디오는 YouTube에서도 볼 수 있습니다.