Data Domain:由于 https 证书过期,Web UI 无法访问
Resumo: 当 https 或“ca trusted-ca”证书在 Data Domain 上过期时,会在尝试访问 Web UI 时导致问题。 生成新证书可解决此问题。
Este artigo aplica-se a
Este artigo não se aplica a
Este artigo não está vinculado a nenhum produto específico.
Nem todas as versões do produto estão identificadas neste artigo.
Sintomas
- 您可能会看到
404 HTTP证书过期时的错误或其他 Apache Web 服务:
- 可能会出现其他错误,例如资源不可用。
- 通常情况下,UI 无法访问。
- 问题还表现为用户在 UI 上登录失败。
Causa
在 HTTPS 或 Data Domain 上的 CA 证书到期,这会导致 Apache Web 服务器出现问题。它会导致 UI 关闭并使其无法访问。
Resolução
提醒:如果 CA 证书已过期,您将需要以前与此 DD 建立信任的任何 Data Domain 或 PowerProtect DD Management Center 的 sysadmin 凭据。在尝试此过程之前,请确保凭据可用。
如果此 Data Domain 采用融合备份一体机或 Cyber Recovery 数据避风港存储区配置,请考虑这些系统如何使用证书监视 Data Domain。当证书过期,然后添加新证书时,可能需要支持。
这不是 DLm 解决方案中 Data Domain 的问题,因为 DLm 不需要或使用 HTTP or HTTPS 与 Data Domain 通信的访问权限。可以在不中断 DLm 磁带装载处理的情况下在 Data Domain 上执行证书更新。
- 检查
HTTPS或 CA 证书,或两个证书均已过期:
sysadmin@DD6400# adminaccess certificate show
Subject Type Application Valid From Valid Until Fingerprint
-------------------------------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
DD6400.ddsupport host https Thu Sep 11 22:30:27 2025 Sun Oct 11 22:30:27 2026 30:89:8A:9D:BD:67:75:DC:D8:98:84:C6:CD:8F:9F:21:34:24:1B:87
DD6400.ddsupport ca trusted-ca Tue Oct 08 07:42:22 2024 Mon Oct 07 07:42:22 2030 81:5B:70:A8:36:02:02:FD:55:13:DA:7C:38:BC:FF:1B:EA:92:3E:96
https 主机证书的有效期为 1 年,CA 证书的有效期为 6 年。
-
如果未过期,UI 可能会因以下问题而关闭:
- 如果证书足够旧,它将不符合新的证书安全标准,并且 GUI 将不会显示。我们需要生成新证书,就像在后续步骤中一样。
- Data Domain:升级到 DDOS 或 DDMC 6.2.1.90、7.2.0.95 或 7.7.2.x 或更高版本后,无法再访问 UI
- 如果 CA 证书已过期,请检查已建立的信任:
sysadmin@DD6400# adminaccess trust show
Subject Type Valid From Valid Until Fingerprint
----------------------- ---------- ------------------------ ------------------------ -----------------------------------------------------------
DD6400.ddsupport trusted-ca Tue Oct 08 07:42:22 2024 Mon Oct 07 07:42:22 2030 81:5B:70:A8:36:02:02:FD:55:13:DA:7C:38:BC:FF:1B:EA:92:3E:96
DDMCLAB-2.201 trusted-ca Mon Jul 08 03:02:34 2024 Sun Jul 07 03:02:34 2030 E8:C1:79:5B:B4:2A:02:3A:55:4A:9A:52:AB:FC:D2:01:E7:7A:6C:CA
CorkDDMC.localdomain trusted-ca Tue Aug 06 04:29:41 2024 Mon Aug 05 04:29:41 2030 4B:29:2B:D3:DB:3E:62:16:98:D1:6C:36:4C:DF:2F:94:3C:A1:A8:27
DD6900-2.ddsupport.emea trusted-ca Sat Feb 03 20:49:25 2024 Fri Feb 01 20:49:25 2030 DC:95:CC:4A:F4:AC:58:58:5E:19:2D:05:F3:99:D9:86:14:32:7F:88
DD9900-HA-P0.ddsupport trusted-ca Sat Oct 05 05:08:35 2024 Fri Oct 04 05:08:35 2030 38:FD:E8:B6:C6:2F:30:42:17:93:73:F5:AE:25:3D:53:3E:F5:5C:C4
----------------------- ---------- ------------------------ ------------------------ -----------------------------------------------------------
您可以看到当前 Data Domain 的证书(按其主机名)以及其他 Data Domain 或 PowerProtect DD Management Center 的证书。如果必须重新建立这些信任,则用户需要在生成新的 CA 证书后重新建立信任对中任何 Data Domain 或 Data Domain Management Center 的 sysadmin 密码。某些信任可能因旧复制上下文而过时,不需要重新添加。
- 检查
HTTPScert 是自签名证书,或者如果用户使用证书颁发机构 (CA) 进行签名:
# adminaccess certificate show imported-host application https
如果此命令返回任何内容,用户将使用 CA 在外部签署证书。否则,如果没有导入的主机证书,则证书是自签名证书。
即使导入的证书有效且未过期,如果自签名证书已过期,也必须像接下来的几个步骤一样续订它。自签名主机证书也在内部用于 DD UI 与 SMS 服务内部通信。
重要说明:自签名主机和 CA 证书必须位于系统上,即使它们未在使用中,您也无法删除或移除自签名证书,以防系统必须回退到它们。这是设计的本意。
- 如果
HTTPS证书在外部签名,生成新的证书签名请求 (CSR)。用户将此证书传递给其 CA 进行签名,然后将签名证书导入回 Data Domain。遵循文章 Data Domain:如何生成证书签名请求和使用外部签名的证书。-
DDOS 支持一个用于以下项的主机证书:
HTTPS。如果系统正在使用主机证书(包括自签名),并且用户想要使用其他主机证书,请在添加新证书之前删除当前证书。步骤:
- 在删除之前从浏览器会话中注销
HTTPS主机证书。 - 运行 CLI 命令以删除证书
adminaccess certificate delete imported-host-application https
- 在删除之前从浏览器会话中注销
-
- 如果 CA 证书已过期,并且这是 HA 系统,则需要联系支持人员来修复证书。否则,重新生成新的
HTTPS和 CA cert 与以下命令:
# adminaccess certificate generate self-signed-cert regenerate-ca
请注意,在生成之后,有效的开始日期 HTTPS cert 是过去一个月,CA 证书是过去一年,这是设计使然。
然后转至步骤 8 以重新启动 UI 服务。
- 如果证书是自签名的,并且只有
HTTPS证书已过期,这是一个 HA 系统,请遵循以下知识库文章:
Data Domain:HA 系统在降级状态下运行,自签名主机证书已过期
否则,重新生成新的HTTPS证书:
# adminaccess certificate generate self-signed-cert
请注意,在生成之后,有效的开始日期 HTTPS 证书是过去的一个月,根据设计,有效期为 1 年。
- 如果重新生成了 CA 证书,用户必须重新建立所需的任何信任。PowerProtect DD Management Center 需要信任来进行监视以及使用 UI 配置复制时。如果是这样,用户必须建立信任才能使其正常工作。
- 对于任何需要信任的 Data Domain 或 Data Domain Management Center,请运行此命令以删除旧信任,然后使用当前 Data Domain 上的新证书重新建立信任(这需要其他 Data Domain 或 Data Domain Management Center 上的 sysadmin 密码。确保用户拥有所有 Data Domain 或 Data Domain Management Center,或者删除对已停用的任何 Data Domain 或 Data Domain Management Center 的信任,而不重新添加它们。使用该命令时不带
type mutual执行此操作时。
# adminaccess trust del host <hostname of other DD/DDMC> type mutual
然后运行此命令以建立新的信任:
# adminaccess trust add host <hostname of other DD/DDMC> type mutual
在上面的示例中,请运行 add 和 del 对于所有其他 Data Domain 或 Data Domain Management Center 。
# adminaccess trust del host sc-dd2500-2.lss.emc.com type mutual # adminaccess trust add host sc-dd2500-2.lss.emc.com type mutual
如果由于 Data Domain 已停用,用户不得重新添加信任:
# adminaccess trust del host dd690.dssupport.emea
- 如果需要,重新建立信任后,重新启动 UI 服务:
# adminaccess disable http # adminaccess disable https # adminaccess enable https # adminaccess enable http
提醒:从版本 8.3 及更高版本开始, HTTP 默认情况下处于禁用状态。如果未使用,则不需要启用它。HTTPS 是访问 UI 的首选安全方法。
- 用户界面现在应该可以访问了。
如何重新启动 HTTP 或 HTTPS UI 不可用时的服务 — Dell Data Domain。
持续时间:00:03:17 (hh:mm:ss)
如果可用,可以使用此视频播放器上的 CC 图标选择隐藏式字幕(字幕)语言设置。
您也可以在 YouTube 上观看此视频。
Produtos afetados
Data DomainPropriedades do artigo
Número do artigo: 000198864
Tipo de artigo: Solution
Último modificado: 10 mar. 2026
Versão: 21
Encontre as respostas de outros usuários da Dell para suas perguntas.
Serviços de suporte
Verifique se o dispositivo está coberto pelos serviços de suporte.