Data Domain:由于 https 证书过期,Web UI 无法访问

摘要: 当 https 或“ca trusted-ca”证书在 Data Domain 上过期时,会在尝试访问 Web UI 时导致问题。 生成新证书可解决此问题。

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

症狀

  • 您可能会看到 404 HTTP 证书过期时的错误或其他 Apache Web 服务:
    http certficate UI 错误
  • 可能会出现其他错误,例如资源不可用。
  • 通常情况下,UI 无法访问。
  • 问题还表现为用户在 UI 上登录失败。

原因

HTTPS 或 Data Domain 上的 CA 证书到期,这会导致 Apache Web 服务器出现问题。它会导致 UI 关闭并使其无法访问。

解析度

提醒:如果 CA 证书已过期,则对于之前与此 DD 建立信任的任何 Data Domain 或 PowerProtect DD Management Center,您需要 sysadmin 凭据。在尝试此过程之前,请确保凭据可用。


如果此 Data Domain 采用融合备份一体机或 Cyber Recovery 数据避风港存储区配置,请考虑这些系统如何使用证书监视 Data Domain。当证书过期,然后添加新证书时,可能需要支持。

这不是 DLm 解决方案中 Data Domain 的问题,因为 DLm 不需要或使用 HTTP or HTTPS 与 Data Domain 通信的访问权限。可以在不中断 DLm 磁带装载处理的情况下在 Data Domain 上执行证书更新。

  1. 检查 HTTPS 或 CA 证书,或两个证书均已过期:
# adminaccess certificate show
证书状态的 AdminAccess 输出

  1. 如果未过期,UI 可能会因以下问题而关闭:

  2. 如果 CA 证书已过期,请检查已建立的信任:
# adminaccess trust show
信任管理员访问权限的输出

您可以看到当前 Data Domain 的证书(按其主机名)以及其他 Data Domain 或 PowerProtect DD Management Center 的证书。如果必须重新建立这些信任,则用户需要在生成新的 CA 证书后重新建立信任对中任何 Data Domain 或 Data Domain Management Center 的 sysadmin 密码。某些信任可能因旧复制上下文而过时,不需要重新添加。

  1. 检查 HTTPS cert 是自签名证书,或者如果用户使用证书颁发机构 (CA) 进行签名:
# adminaccess certificate show imported-host application https

如果此命令返回任何内容,用户将使用 CA 在外部签署证书。否则,如果没有导入的主机证书,则证书是自签名证书。

即使导入的证书有效且未过期,如果自签名证书已过期,也必须像接下来的几个步骤一样续订它。自签名主机证书也在内部用于 DD UI 与 SMS 服务内部通信。 
 

重要说明:自签名主机和 CA 证书必须位于系统上,即使它们未在使用中,您也无法删除或移除自签名证书,以防系统必须回退到它们。这是设计的本意。

  1. 如果必须恢复 HTTPS 证书在外部签名,生成新的证书签名请求 (CSR)。用户将此证书传递给其 CA 进行签名,然后将签名证书导入回 Data Domain。遵循文章 Data Domain:如何生成证书签名请求和使用外部签名的证书

    1. DDOS 支持一个用于以下项的主机证书: HTTPS。如果系统正在使用主机证书(包括自签名),并且用户想要使用其他主机证书,请在添加新证书之前删除当前证书。

      步骤:

      1. 在删除之前从浏览器会话中注销 HTTPS 主机证书。 
      2. 运行 CLI 命令以删除证书 
        adminaccess certificate delete imported-host-application https
  2. 如果 CA 证书已过期,请重新生成新的 HTTPS 和 CA cert 与以下命令:
# adminaccess certificate generate self-signed-cert regenerate-ca

请注意,在生成之后,有效的开始日期 HTTPS cert 是过去一个月,CA 证书是过去一年,这是设计使然。

然后转至步骤 9 以重新启动 UI 服务。
  1. 如果证书是自签名的,并且只有 HTTPS 证书已过期,请重新生成新的 HTTPS 证书:
# adminaccess certificate generate self-signed-cert
  1. 如果重新生成了 CA 证书,用户必须重新建立所需的任何信任。PowerProtect DD Management Center 需要信任来进行监视以及使用 UI 配置复制时。如果是这样,用户必须建立信任才能使其正常工作。
  2. 对于任何需要信任的 Data Domain 或 Data Domain Management Center,请运行此命令以删除旧信任,然后使用当前 Data Domain 上的新证书重新建立信任(这需要其他 Data Domain 或 Data Domain Management Center 上的 sysadmin 密码。确保用户拥有所有 Data Domain 或 Data Domain Management Center,或者删除对已停用的任何 Data Domain 或 Data Domain Management Center 的信任,而不重新添加它们。使用该命令时不带 type mutual 执行此作时。
# adminaccess trust del host <hostname of other DD/DDMC> type mutual

然后运行此命令以建立新的信任:

# adminaccess trust add host <hostname of other DD/DDMC> type mutual

在上面的示例中,请运行 adddel 对于所有其他 Data Domain 或 Data Domain Management Center

# adminaccess trust del host sc-dd2500-2.lss.emc.com type mutual
# adminaccess trust add host sc-dd2500-2.lss.emc.com type mutual

如果由于 Data Domain 已停用,用户不得重新添加信任:

# adminaccess trust del host dd690.dssupport.emea
  1. 如果需要,重新建立信任后,重新启动 UI 服务:
# adminaccess disable http
# adminaccess disable https
# adminaccess enable https
# adminaccess enable http
  • 从版本 8.3 及更高版本开始, HTTP 默认情况下处于禁用状态。如果未使用,则不需要启用它。
  • HTTPS 是访问 UI 的首选安全方法。
  1. 用户界面现在应该可以访问了。

 

如何重新启动 HTTPHTTPS UI 不可用时的服务 — Dell Data Domain。

持续时间:00:03:17 (hh:mm:ss)
如果可用,可以使用此视频播放器上的 CC 图标选择隐藏式字幕(字幕)语言设置。

您也可以在 YouTube 上观看此视频。本超链接将引导您访问非 Dell Technologies 运营的网站。

受影響的產品

Data Domain
文章屬性
文章編號: 000198864
文章類型: Solution
上次修改時間: 01 12月 2025
版本:  20
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。