Data Domain: Webbrugergrænsefladen er ikke tilgængelig på grund af udløbet https-certifikat

• Du kan muligvis se 404 HTTP fejl eller anden Apache-webtjeneste, når certifikatet udløber:
  
• Andre fejl kan ses, f.eks. at ressourcen ikke er tilgængelig.
• Generelt er brugergrænsefladen utilgængelig.
• Problemet vises også som fejl ved brugerlogin på brugergrænsefladen.

Når HTTPS eller CA-certifikatet udløber på et Data Domain, forårsager det problemer med Apache-webserveren. Det bringer brugergrænsefladen ned og gør den utilgængelig.

Hvis dette Data Domain er i en Integrated Data Protection Appliance- eller Cyber Recovery-bokskonfiguration, skal du overveje, hvordan disse systemer overvåger Data Domain ved hjælp af certifikater. Support kan være påkrævet, når et certifikat udløber, og der derefter tilføjes et nyt certifikat.

Dette er ikke et problem for Data Domains i en DLm-løsning, da DLm ikke kræver eller bruger HTTP or HTTPS adgang til at kommunikere med Data Domain. Certifikatopdateringer på Data Domain kan udføres uden afbrydelse af DLm-båndmonteringsbeslagets behandling.

1. Kontroller, om HTTPS eller CA, eller begge certifikater er udløbet:

# adminaccess certificate show

2. Hvis de ikke er udløbet, kan brugergrænsefladen være nede på grund af nedenstående problemer:

   • Data Domain: Efter opgradering til DDOS eller DDMC 7.1.x eller nyere kan brugergrænsefladen ikke længere tilgås
   • Data Domain: Efter opgradering til DDOS eller DDMC 6.2.1.90, 7.2.0.95 eller 7.7.2.x eller nyere kan brugergrænsefladen ikke længere åbnes
3. Hvis CA-certifikatet er udløbet, skal du kontrollere de truster, der er oprettet:

# adminaccess trust show

Du kan se certifikatet for det aktuelle Data Domain (efter dets værtsnavn) og certifikater fra andre Data Domains eller PowerProtect DD Management Center. Hvis disse tillidsforhold skal genoprettes, kræver en bruger, at sysadmin-adgangskoderne for alle Data Domains eller Data Domain Management Centers i tillidsparret genoprettes efter generering af et nyt CA-certifikat. Nogle tillid kan være forældede fra gamle replikeringskontekster og kræver ikke at blive tilføjet igen.

4. Kontroller, om HTTPS Certifikatet er et selvsigneret certifikat, eller hvis brugeren signerer det med et nøglecenter:

# adminaccess certificate show imported-host application https

Hvis denne kommando returnerer noget, signerer brugeren certifikatet eksternt med et nøglecenter. Hvis der ikke er noget importeret værtscertifikat, signeres certifikatet selv.

Selvom det importerede certifikat er gyldigt og ikke er udløbet, skal du forny det som i de næste par trin, hvis det selvsignerede certifikat er udløbet. Et selvsigneret værtscertifikat bruges også internt til DD-brugergrænsefladen til at kommunikere med SMS-tjenesten internt. 
 

5. Hvis ikonet HTTPS certifikatet signeres eksternt, skal du generere en ny anmodning om certifikatsignering (CSR). Brugeren sender dette til sit nøglecenter til signering og importerer det signerede certifikat tilbage til Data Domain. Følg artiklen Data Domain: Sådan genererer du en anmodning om certifikatsignering og bruger eksternt signerede certifikater.

   1. DDOS understøtter ét værtscertifikat til HTTPS. Hvis systemet bruger et værtscertifikat, herunder selvsigneret, og brugeren ønsker at bruge et andet værtscertifikat, skal du slette det aktuelle certifikat, før du tilføjer det nye certifikat.

      Trin:

      1. Log ud af browsersessionen, før du sletter en HTTPS værtscertifikat. 
      2. Kør CLI-kommandoen for at slette certifikatet

         adminaccess certificate delete imported-host-application https

6. Hvis CA-certifikatet er udløbet, skal du regenerere en ny HTTPS og CA cert med denne kommando:

# adminaccess certificate generate self-signed-cert regenerate-ca

Bemærk, at efter generationen vil den gyldige startdato for HTTPS cert er en måned i fortiden, og CA-certifikatet er et år i fortiden, dette er tilsigtet.

7. Hvis certifikatet er selvsigneret, og kun HTTPS cert er udløbet. Regenerer en ny HTTPS Cert med:

# adminaccess certificate generate self-signed-cert

8. Hvis CA-certifikatet blev regenereret, skal en bruger genoprette den nødvendige tillid. PowerProtect DD Management Center kræver tillid til overvågning, og når replikering konfigureres ved hjælp af brugergrænsefladen. I så fald skal en bruger oprette en tillid for at det kan fungere.
9. For alle Data Domains eller Data Domain Management Centers, der har brug for tillid, skal du køre denne kommando for at slette det gamle tillidsforhold og derefter genoprette tillid ved hjælp af det nye certifikat på det aktuelle Data Domain (Dette beder om sysadmin-adgangskoden på de andre Data Domains eller Data Domain Management Centers. Kontrollér, at en bruger har alle Data Domains eller Data Domain Management Centers, eller slet tilliden til alle Data Domains eller Data Domain Management Centers, der nedlægges, uden at tilføje dem igen. Brug kommandoen uden type mutual når du gør dette.

# adminaccess trust del host <hostname of other DD/DDMC> type mutual

Kør derefter denne kommando for at oprette en ny tillid:

# adminaccess trust add host <hostname of other DD/DDMC> type mutual

I ovenstående eksempel skal du køre add og del for ALLE de andre Data Domains eller Data Domain Management Centers efter tur.

# adminaccess trust del host sc-dd2500-2.lss.emc.com type mutual
# adminaccess trust add host sc-dd2500-2.lss.emc.com type mutual

Hvis en bruger ikke må tilføje tilliden igen, fordi Data Domain er nedlagt:

# adminaccess trust del host dd690.dssupport.emea

10. Når tilliden er genoprettet, skal du genstarte brugergrænsefladetjenesterne:

# adminaccess disable http
# adminaccess disable https
# adminaccess enable https
# adminaccess enable http

• Fra og med version 8.3 og derover HTTP er deaktiveret som standard. Det er ikke nødvendigt at aktivere det, hvis det ikke bruges.
• HTTPS er den foretrukne og sikre metode til at få adgang til brugergrænsefladen.

11. Brugergrænsefladen skal være tilgængelig nu.

Du kan også se denne video på YouTube.