Data Domain: Dopo l'aggiornamento a DDOS/DDMC 7.1.x o versione successiva, non è più possibile accedere alla GUI

Un cliente esegue l'upgrade di DDOS o DDMC alla versione 7.1.x o successiva (d'ora in poi utilizzeremo DDOS per fare riferimento sia a DDOS che a DDMC). Per brevità, e scoprire dopo il completamento dell'aggiornamento, che non è più possibile accedere alla GUI. Il riavvio dei servizi HTTP/HTTPS dalla riga di comando non lo fa funzionare. Quando si utilizza un browser per accedere alla GUI, viene visualizzata la seguente pagina di errore: 
 

Servizio non disponibile

Il servizio GUI non è temporaneamente disponibile. Aggiornare il browser per riprovare. Se il problema persiste, contattare il supporto Dell EMC per assistenza

Il back-end della GUI è in esecuzione su un'applicazione basata su Java. Il back-end della GUI non è in esecuzione. Se questo DD è stato aggiornato a DDOS 7.1.x o versione successiva e la GUI non funziona da allora, se DD ha una relazione di trust con altri DD e uno di essi ha un certificato con una chiave pubblica più breve di 2048 bit, potrebbe essere la causa per cui la GUI DD non si avvia, poiché i controlli più rigorosi nel nuovo JDK bundled non vengono superati per alcuni degli host DD affidabili.

In primo luogo, è necessario verificare che questo sia esattamente il problema affrontato. Affinché ciò sia possibile, tutte le condizioni riportate di seguito devono contenere:

1. DD in cui l'avvio della GUI non si verifica solo dopo l'aggiornamento a DDOS 7.1.x o versione successiva
2. Questo DD ha un rapporto di trust con altri DD, uno o più dei quali avevano eseguito una versione di DDOS 5.4.x (o precedente) o DDMC 1.1 (o precedente) in passato
3. Questo DD dispone di un particolare set di registri per l'errore di avvio del back-end della GUI

L'elemento 1 di cui sopra è evidente. Per determinare se si applica 2 di cui sopra, ottenere prima l'elenco degli host attendibili in DD:

# adminaccess trust show

Per ciascuno degli host di cui si è fidati, controllare la cronologia degli aggiornamenti per verificare se è stato installato un sistema DDOS 5.4 (o versioni precedenti) o DDMC 1.1 (o versioni precedenti): 

N. di cronologia aggiornamenti del sistema

È probabile che nei sistemi installati con una qualsiasi delle versioni precedenti sia stato generato un certificato autofirmato CA durante l'installazione con chiavi pubbliche lunghe solo 1024 bit, che non sono più accettate da JDK dopo l'aggiornamento a DDOS/DDMC 7.1. Un modo possibile per capire se questi host dispongono di certificati con chiavi pubbliche di piccole dimensioni consiste nell'aprire la GUI e controllare i dettagli del certificato da un browser (il modo per farlo varia leggermente tra i browser).

Per confermare l'elemento 3 (se i registri di errore della GUI DD sono per questo problema specifico), eseguire il comando seguente per aprire il file di registro "em.info":

# log view debug/sm/em.info

Eseguire una ricerca (usare una barra in avanti) per cercare questi registri ("..." indica che alcuni registri non sono mostrati di seguito per brevità):

 

+-----+-----+-----+ SISTEMA (RE)START +-----+-----+-----+
...
26 feb 2021 10:33:04,172 INFO [main] Impostazione del nome del cookie di sessione su 'JSESSIONID-ddem___HTTPS'26
Feb 2021 10:33:04,172 INFO [main] Impostazione del nome del cookie xsrf su 'DD_SSO_TOKEN___HTTPS'26
feb 2021 10:33:04,382 INFO [main] Injecting the SUN provider's X.509 factory to fix validation issues
...
26 feb 2021 10:33:05,093 INFO [main] Reinizializzazione dei certificati tra il client e il server

26 feb 2021 10:33:05,093 INFO [main] Ricarica degli archivi certificati per il sistema

26 Feb 2021 10:33:05,097 INFO [main] Finished reloading the certificate store
26 Feb 2021 10:33:05,097 ERROR [main] Exception during command execution: open.net.ssl.SSLException - Error creating premaster secret. , tenterà nuovamente, tentare il n. 1
26 feb 2021 10:33:05,243 INFO [main] Ri-inizializzazione dei certificati tra il client e il server
26 feb 2021 10:33:05,243 INFO [main] Reloading the certificate stores for the system
26 Feb 2021 10:33:05,246 INFO [main] Finished reload the certificate stores

 Ciò indicherebbe che alcuni dei certificati importati da DD come attendibili hanno una chiave breve e quindi la GUI non può avviarsi.

Anche se DDOS 7.1 o versione successiva continuerà a non caricare la GUI quando vengono presentati con certtificati con chiavi pubbliche di piccole dimensioni, il problema è stato risolto nel codice per le versioni DDOS 6.2.1.40 e successive e DDOS 7.2.0.50 e versioni successive, in modo che, se durante l'aggiornamento a una versione di questo tipo, il certificato CA locale ha una piccola chiave pubblica, il certificato verrà generato nuovamente con una chiave più lunga.
 

Considerando che al momento della stesura di questo documento (agosto 2022) non sono più supportate versioni diverse da DDOS 6.2.1.x (solo per hardware DD2200 e DD250) e DDOS 7.x, non viene fornita alcuna soluzione alternativa, anche se per i DD guasti è possibile provare a generare nuovamente il certificato host e CA con chiavi più lunghe, quindi rimuovere e aggiungere nuovamente trust tra i dispositivi interessati: 

# adminaccess trust del host dd-trusted-1 tipo reciproco
# adminaccess certificate generate self-signed-cert regenerate-ca
# adminaccess trust aggiungere host dd-trusted-1 tipo reciproco