上述第 1 項不言自明。若要判斷以上 2 是否適用,請先取得 DD 中受信任的主機清單:
# 管理員存取信任顯示
對於此主機信任的每個主機,請檢查其升級歷程記錄,查看是否有任何主機已安裝 DDOS 5.4 (或更舊版本) 或 DDMC 1.1 (或更早版本):
# 系統升級歷程記錄
安裝上述任何版本的系統很可能在安裝時產生了 CA 自我簽署憑證,其中公鑰長度只有 1024 位元,在升級至 DDOS/DDMC 7.1 後,JDK 不再接受該憑證。了解這些主機是否具有帶有小型公鑰的證書的一種可能方法是向它們打開 GUI,然後從瀏覽器檢查證書詳細資訊(執行此操作的方法因瀏覽器而異)。
若要確認項目 3 (如果 DD GUI 失敗記錄是針對此特定問題),請執行下列命令以開啟「em.info」記錄檔:
# 紀錄檢視除錯/SM/em.info
並搜尋 (使用正斜線) 以搜尋這些紀錄 (“...”表示為簡潔起見,下面未顯示某些日誌):
+-----+-----+-----+ 系統 (重新) 啟動 +-----+-----+-----+
...
26 2月 2021 10:33:04,172 資訊 [主要] 將會話 cookie 名稱設置為“JSESSIONID-ddem___HTTPS”
26 Feb 2021 10:33:04,172 INFO [主要] 將 xsrf cookie 名稱設置為“DD_SSO_TOKEN___HTTPS”
26 Feb 2021 10:33:04,382 INFO [主要] 注入 SUN 提供程式的 X.509 工廠以修復驗證問題
...
26 2月 2021 10:33:05,093 資訊 [主要] 重新初始化客戶端和伺服器之間的憑證
26 2月 2021 10:33:05,093 資訊 [主要] 重新載入系統的憑證儲存
26 2月 2021 10:33:05,097 資訊 [主要] 完成重新載入憑證儲存
26 Feb 2021 10:33:05,097 錯誤 [main] 命令執行期間發生例外:javax.net.ssl.SSLException - 建立預主密碼時發生錯誤。,將重試,嘗試 # 1
26 2月 2021 10:33:05,243 資訊 [主要] 重新初始化用戶端和伺服器
之間的憑證 26 2月 2021 10:33:05,243 資訊 [主要] 重新載入系統的
憑證儲存 26 2月 2021 10:33:05,246 資訊 [主要] 完成重新載入憑證儲存
這表示此 DD 匯入為受信任的部分憑證具有短金鑰,因此 GUI 無法啟動。
雖然 DDOS 7.1 或更新版本在提供帶有小型公鑰的認證時仍會無法載入 GUI,但此問題已在 DDOS 6.2.1.40 及更新版本以及 DDOS 7.2.0.50 及更新版本的程式碼中解決,因此,如果在升級至任何此類版本時,本機 CA 憑證具有小型公鑰, 系統會以較長的金鑰重新產生憑證。
考慮到在撰寫本文時(2022 年 8 月),不再支援 DDOS 6.2.1.x (僅適用於 DD2200 和 DD250 硬體) 和 DDOS 7.x 以外的版本,沒有提供任何因應措施,儘管對於有問題的 DD,您可以嘗試使用較長的金鑰重新產生主機和 CA 證書,然後刪除並重新添加受影響設備之間的信任:
# adminaccess trust del host dd-trusted-1 type mutual
# adminaccess 憑證產生 self-signed-cert regenerate-ca
# adminaccess trust 新增主機 dd-trusted-1 類型相互