Data Domain. После модернизации до версии DDOS/ DDMC 7.1.x или более поздней версии графический интерфейс пользователя больше не будет работать

Заказчик обновляет DDOS или DDMC до версии 7.1.x или более поздней (теперь мы будем использовать DDOS для ссылки на DDOS и DDMC) для краткости и узнает после завершения обновления, что доступ к графическому интерфейсу пользователя больше невозможен. Перезапуск служб HTTP/HTTPS из командной строки также не приводит к его работе. При использовании браузера для доступа к графическому интерфейсу пользователя на следующей странице ошибки отображается следующее: 
 

Услуга недоступна

Служба графического интерфейса пользователя временно недоступна. Обновите браузер, чтобы повторить попытку. Если проблема не устранена, обратитесь за помощью в службу поддержки Dell EMC.

На серверной части графического интерфейса пользователя запущено приложение на основе Java. Внутренний интерфейс графического интерфейса не работает. Если DD был модернизирован до DDOS 7.1.x или более поздней версии и графический интерфейс пользователя не работает с тех пор, если DD имеет доверительный отношения с другими DD и любой из них имеет сертификат с общедоступным ключом, превысящим 2048 бит, это может быть причиной того, почему графический интерфейс DD не загружается, так как более строгие проверки в новом пакете JDK не пройдены для некоторых доверенных хостов DD.

Сначала необходимо определить, в чем заключается проблема. Для этого необходимо выполнить все приведенные ниже условия.

1. В DD, где не запускается графический интерфейс пользователя, возникают проблемы с графическим интерфейсом пользователя только после обновления до DDOS 7.1.x или более поздней версии
2. DD имеет доверительный отношения с другими DD, один или несколько из которых ранее запускали версию DDOS 5.4.x (или более старую) или DDMC 1.1 (или более ранней версии)
3. В DD имеется определенный набор журналов, из-за сбоя при запуске внутренней части графического интерфейса пользователя

Пункт 1 выше не содержит пояснительных данных. Чтобы определить, применимо ли 2 выше, сначала получите список доверенных хостов в DD:

# adminaccess trust show

Для каждого из хостов, которым этот хост доверяет, проверьте историю модернизации, чтобы узнать, был ли установлен какой-либо сервер с DDOS 5.4 (или более ранней версией) или DDMC 1.1 (или более ранней версией): 

# system upgrade history (История модернизации системы)

Системы, установленные с любой из вышеперечисленных версий, скорее всего, имеют самозаверятельный сертификат ЦС, созданный при установке с публичными ключами, продолжительность которого составляет всего 1024 бита, и после модернизации до DDOS/DDMC 7.1 JDK больше не принимается. Чтобы узнать, есть ли у этих хостов сертификаты с небольшими общедоступными ключами, откройте для них графический интерфейс пользователя и проверьте сведения о сертификате в браузере (это может немного отличаться в разных браузерах).

Чтобы подтвердить элемент 3 (если журналы сбоев графического интерфейса DD предназначены для данной проблемы), выполните следующую команду, чтобы открыть файл журнала «em.info».

# log view debug/sm/em.info

И выполните поиск (используйте косую черту) для поиска этих журналов («...» указывает на то, что некоторые журналы не отображаются ниже для краткости.

 

+-----+-----+-----+ СИСТЕМА (RE)ЗАПУСТИТЕ +-----+-----+-----+
...
26 feb 2021 10:33:04,172 INFO [main] Setting the session cookie name to 'JSESSIONID-ddem___HTTPS'26
Feb 2021 10:33:04,1 72 INFO [main] Setting the xsrf cookie name to 'DD_SSO_TOKEN___HTTPS'26
Feb 2021 10:33:04,382 INFO [main] Injecting the SUN provider's X.509 factory to fix validation issues
...
26 февраля 2021 г., 10:33:05,093 INFO [main] Повторная инициализация сертификатов между клиентом и сервером

26 февраля 2021 г., 10:33:05,093 INFO [главная] Перезагрузка хранилищ сертификатов для системы

26 февраля 2021 г., 10:33:05,097 INFO [main]
Завершена перезагрузка сертификатахранится 26 февраля 2021 г. 10:33:05,097 ОШИБКА [main] Исключение во время выполнения команды: javax.net.ssl.SSLException — ошибка создания предварительного секрета. , повторит попытку, попытка No 1
26 февраля 2021 г. 10:33:05,243 INFO [основная]
Повторная инициализация сертификатов между клиентом и сервером 26 февраля 2021 г. 10:33: 05,243 INFO [main]
Перезагрузка хранилищ сертификатов для системы 26 февраля 2021 г. 10:33:05,246 INFO [main] Завершена перезагрузка хранилищ сертификатов

 Это означает, что некоторые сертификаты, импортированные в DD, как доверенные, имеет короткий ключ, поэтому графический интерфейс пользователя не может запуститься.

Хотя DDOS 7.1 или более поздней версии будет продолжать не загружать графический интерфейс пользователя при наличии сертификатов с небольшими общедоступными ключами, проблема была устранена в коде для версий DDOS 6.2.1.40 и более поздних версий, а также DDOS 7.2.0.50 и более поздних версий, поэтому при обновлении до такого выпуска локальный сертификат ЦС имеет небольшой общедоступный ключ, сертификат будет создан повторно с помощью более продолжительного ключа.
 

Учитывая, что на момент написания этой статьи (август 2022 г.) никакие выпуски, кроме DDOS 6.2.1.x (только для оборудования DD2200 и DD250) и DDOS 7.x, больше не поддерживаются, временное решение проблемы не предоставляется, хотя для затронутых DD можно попробовать повторно создать сертификат хоста и ЦС с более длительными ключами, а затем снова удалить и снова добавить доверие между затронутыми устройствами. 

# adminaccess trust del host dd-trusted-1 type mutual
# adminaccess certificate generate self-signed-cert regenerate-ca
# adminaccess trust добавление хоста dd-trusted-1 типа mutual