Data Domain: Na een upgrade naar DDOS/DDMC 7.1.x of hoger is de GUI niet meer toegankelijk

Een klant voert kortheidshalve een upgrade uit van DDOS of DDMC naar versie 7.1.x of hoger (we gebruiken DDOS voortaan om zowel DDOS als DDMC aan te duiden), en komt er na het voltooien van de upgrade achter dat het niet meer mogelijk is om toegang te krijgen tot de GUI. Het opnieuw opstarten van de HTTP / HTTPS-services vanaf de opdrachtregel zorgt er ook niet voor dat het werkt. Wanneer u een browser gebruikt om toegang te krijgen tot de GUI, wordt de volgende foutpagina weergegeven: 
 

Service niet beschikbaar

De GUI-service is tijdelijk niet beschikbaar. Vernieuw de browser om het opnieuw te proberen. Als het probleem zich blijft voordoen, neemt u contact op met de support van Dell EMC voor hulp

De GUI-backend draait op een op Java gebaseerde applicatie. De GUI-backend wordt niet uitgevoerd. Als dit DD is geüpgraded naar DDOS 7.1.x of hoger en de GUI sindsdien niet werkt, als het DD een vertrouwensrelatie heeft met andere DD's en een van deze een certificaat heeft met een openbare sleutel korter dan 2048 bits, kan dit de oorzaak zijn waarom de DD GUI niet opstart, omdat strengere controles in de nieuwere gebundelde JDK niet slagen voor sommige van de vertrouwde DD-hosts.

Eerst is het noodzakelijk om vast te stellen dat dit precies het probleem is waarmee we worden geconfronteerd. Om dit het geval te laten zijn, moeten alle onderstaande voorwaarden gelden:

1. DD waarbij de GUI niet opstart, ondervindt de GUI-problemen pas sinds de upgrade naar DDOS 7.1.x of hoger
2. Dit DD heeft een vertrouwensrelatie met andere DD's waarvan een of meer in het verleden een DDOS 5.4.x-versie (of ouder) of DDMC 1.1 (of ouder) hebben uitgevoerd
3. Deze DD heeft een bepaalde set logboeken voor het mislukken van het starten van de GUI-backend

Punt 1 hierboven spreekt voor zich. Om te bepalen of 2 hierboven van toepassing is, moet u eerst de lijst met vertrouwde hosts in het DD ophalen:

# adminaccess trust show

Controleer voor elk van de hosts die deze beheerder is hun upgradegeschiedenis om te zien of er een is geïnstalleerd met DDOS 5.4 (of eerder) of DDMC 1.1 (of eerder): 

# Geschiedenis van systeemupgrades

Bij systemen die zijn geïnstalleerd met een van de bovenstaande versies is waarschijnlijk een zelfondertekend CA-certificaat gegenereerd bij installatie met openbare sleutels van slechts 1024 bits lang, die niet langer worden geaccepteerd door JDK na een upgrade naar DDOS / DDMC 7.1. Een mogelijke manier om erachter te komen of deze hosts certificaten met kleine openbare sleutels hebben, is door de GUI voor hen open te stellen en de certificaatgegevens van een browser te controleren (de manier waarop u dit kunt doen, verschilt enigszins per browser).

Om item 3 te bevestigen (als de DD GUI-foutlogboeken voor dit specifieke probleem zijn), voert u de volgende opdracht uit om het logbestand "em.info" te openen:

# log view debug/sm/em.info

En zoek (gebruik een schuine streep) om naar deze logs te zoeken ("..." geeft aan dat sommige logs hieronder kortheidshalve niet worden weergegeven) :

 

+-----+-----+-----+ SYSTEEM (OPNIEUW)STARTEN +-----+-----+-----+
...
26 Feb 2021 10:33:04,172 INFO [main] De naam van de sessiecookie instellen op 'JSESSIONID-ddem___HTTPS'26
Feb 2021 10:33:04,172 INFO [main] De xsrf-cookienaam instellen op 'DD_SSO_TOKEN___HTTPS'26
Feb 2021 10:33:04,382 INFO [main] De X.509-fabriek van de SUN-provider injecteren om validatieproblemen
op te lossen...
26 Feb 2021 10:33:05,093 INFO [main] Re-initializing the certificates between the client and the server

26 Feb 2021 10:33:05,093 INFO [main] Reloading the certificate stores for the system

26 Feb 2021 10:33:05,097 INFO [main] Finished reloading the certificate stores
26 Feb 2021 10:33:05,097 ERROR [main] Exception during command execution: javax.net.ssl.SSLException - Error creating premaster secret. , zal het opnieuw proberen, Attempt# 1
26 Feb 2021 10:33:05,243 INFO [main] Re-initializing the certificates between the client and the server
26 Feb 2021 10:33:05,243 INFO [main] Reloading the certificate stores for the system
26 Feb 2021 10:33:05,246 INFO [main] Finished reloading the certificate stores

 Dat zou erop wijzen dat een deel van het certificaat dat deze DD als vertrouwd heeft geïmporteerd, een korte sleutel heeft en daarom kan de GUI niet starten.

Hoewel DDOS 7.1 of hoger het laden van de GUI blijft mislukken wanneer certificaten met kleine openbare sleutels worden gepresenteerd, is het probleem opgelost in de code voor versies DDOS 6.2.1.40 en hoger, en DDOS 7.2.0.50 en hoger, zodat als bij het upgraden naar een dergelijke release het lokale CA-certificaat een kleine openbare sleutel heeft, Het certificaat wordt opnieuw gegenereerd met een langere sleutel.
 

Aangezien op het moment van schrijven (augustus 2022) geen andere releases dan DDOS 6.2.1.x (alleen voor DD2200- en DD250-hardware) en DDOS 7.x meer worden ondersteund, wordt er geen tijdelijke oplossing geboden, hoewel u voor de aanstootgevende DD's kunt proberen het host- en CA-certificaat opnieuw te genereren met langere sleutels, en vervolgens de vertrouwensrelatie tussen de betrokken apparaten te verwijderen en opnieuw toe te voegen: 

# adminaccess trust del host dd-trusted-1 type mutual
# adminaccess certificate generate self-signed-cert regenererate-ca
# adminaccess trust add host dd-trusted-1 type mutual