Домен даних : Після оновлення до DDOS / DDMC 7.1.x або новішої версії доступ до графічного інтерфейсу більше не буде

Для стислості клієнт оновлює DDOS або DDMC до версії 7.1.x або новішої (далі ми будемо використовувати DDOS для позначення як DDOS, так і DDMC), а після завершення оновлення виявляє, що доступ до графічного інтерфейсу більше неможливий. Перезапуск сервісів HTTP / HTTPS з командного рядка теж не змушує його працювати. При використанні браузера для доступу до графічного інтерфейсу , на наступній сторінці помилки буде показано: 
 

Послуга недоступна

Служба графічного інтерфейсу тимчасово недоступна. Оновіть браузер, щоб спробувати ще раз. Якщо проблема не зникає, зверніться по допомогу до служби підтримки Dell EMC

Модуль графічного інтерфейсу працює з програмою, заснованою на Java. Модуль графічного інтерфейсу не запущено. Якщо цей DD був оновлений до DDOS 7.1.x або пізніше, і з тих пір графічний інтерфейс виходить з ладу, якщо DD має довірчі відносини з іншими DD і будь-який з них має сертифікат з відкритим ключем, коротшим за 2048 біт, це може бути причиною, чому графічний інтерфейс DD не запускається, оскільки суворіші перевірки в новішому пакетному JDK не проходять для деяких довірених хостів DD.

Для початку необхідно з'ясувати, що це саме та проблема, з якою вона стикається. Щоб це було так, усі наведені нижче умови повинні виконуватися:

1. DD, де графічний інтерфейс не запускається, стикається з проблемами з графічним інтерфейсом лише після оновлення до DDOS 7.1.x або пізнішої версії
2. Цей ДД має довірчі відносини з іншими ДД, один або кілька з яких раніше використовували версію DDOS 5.4.x (або старішу) або DDMC 1.1 (або старішу)
3. Цей ДД має певний набір логів для невдалого запуску модуля графічного інтерфейсу

Пункт 1 вище говорить сам за себе. Щоб визначити, чи застосовується 2 вище, спочатку отримайте список довірених хостів у ДД:

# adminaccess показати довіру

Для кожного з хостів, яким цей хост довіряє, перевірте їх історію оновлень, щоб дізнатися, чи був якийсь з них встановлений з DDOS 5.4 (або раніше) або DDMC 1.1 (або раніше): 

# Історія оновлень системи

Системи, встановлені з будь-якою з перерахованих вище версій, швидше за все, мали самопідписаний сертифікат CA, згенерований при установці з відкритими ключами довжиною всього 1024 біта, які більше не приймаються JDK після оновлення до DDOS / DDMC 7.1. Можливим способом дізнатися, чи мають ці хости сертифікати з маленькими відкритими ключами, є відкриття графічного інтерфейсу для них і перевірка відомостей про сертифікат у браузері (спосіб зробити це дещо відрізняється в різних браузерах).

Щоб підтвердити пункт 3 (якщо журнали збоїв графічного інтерфейсу DD стосуються саме цієї проблеми), виконайте наступну команду для відкриття файлу журналу "em.info":

# Налагодження представлення журналу/sm/em.info

І пошук (використовуйте скісну риску) для пошуку цих журналів («...» вказує на те, що деякі журнали не показані нижче для стислості) :

 

+-----+-----+-----+ ПЕРЕЗАПУСК СИСТЕМИ +-----+-----+-----+
...
26 лютого 2021 10:33:04,172 INFO [основна] Встановлення імені файлу cookie сеансу на 'JSESSIONID-ddem___HTTPS'26
лютого 2021 10:33:04,172 INFO [основна] Встановлення імені файлу cookie xsrf на 'DD_SSO_TOKEN___HTTPS'26
лютого 2021 10:33:04,382 INFO [основний] Введення заводу постачальника SUN X.509 для вирішення проблем
з перевіркою...
26 лютого 2021 10:33:05,093 INFO [Головна] Повторна ініціалізація сертифікатів між клієнтом і сервером

26 лютого 2021 10:33:05,093 INFO [головна] Перезавантаження сховищ сертифікатів для системи

26 лютого 2021 10:33:05,097 INFO [main] Завершено перезавантаження сховищ
сертифікатів26 лютого 2021 10:33:05,097 ПОМИЛКА [main] Виняток під час виконання команди: javax.net.ssl.SSLException - Помилка створення передмайстер секрету. , спробує, Спроба# 1
26 лютого 2021 10:33:05,243 INFO [основна] Повторна ініціалізація сертифікатів між клієнтом і сервером
26 лютого 2021 10:33:05,243 INFO [основна] Перезавантаження сховищ сертифікатів для системи
26 лютого 2021 10:33:05,246 INFO [main] Завершено перезавантаження сховищ сертифікатів

 Це вказувало б на деякі сертифікати, які цей DD імпортував, оскільки довірений має короткий ключ, а отже, графічний інтерфейс не може запуститися.

Незважаючи на те, що DDOS 7.1 або пізнішої версії продовжуватиме не завантажувати графічний інтерфейс при наданні сертифікатів з маленькими відкритими ключами, проблема була вирішена в коді для версій DDOS 6.2.1.40 і новіших, а також DDOS 7.2.0.50 і новіших, так що якщо при оновленні до будь-якого такого релізу локальний сертифікат ЦС має невеликий відкритий ключ, Сертифікат буде повторно згенеровано з довшим ключем.
 

Враховуючи, що на момент написання цієї статті (серпень 2022 року) жодні релізи, крім DDOS 6.2.1.x (лише для апаратного забезпечення DD2200 і DD250) і DDOS 7.x, обхідний шлях не надається, хоча для порушників DD ви можете спробувати повторно згенерувати сертифікат хоста та CA з довшими ключами, а потім видалити та знову додати довіру між відповідними пристроями : 

# adminaccess trust del host dd-trusted-1 типу mutual
# Сертифікат AdminAccess генерує self-signed-cert regenerate-ca
# adminaccess trust додати хост типу dd-trusted-1 mutual