Data Domain: Después de actualizar a DDOS/DDMC 7.1.x o posterior, ya no se puede acceder a la GUI

Un cliente actualiza DDOS o DDMC a la versión 7.1.x o posterior (utilizaremos DDOS a partir de ahora para referirnos a DDOS y DDMC), para obtener brevedad y descubre, una vez finalizada la actualización, que ya no es posible acceder a la GUI. Reiniciar los servicios HTTP/HTTPS desde la línea de comandos tampoco hace que funcione. Cuando se utiliza un navegador para acceder a la GUI, se mostrará la siguiente página de error: 
 

Servicio no disponible

El servicio gui no está disponible temporalmente. Actualice el navegador para volver a intentarlo. Si el problema persiste, comuníquese con el soporte de Dell EMC para obtener ayuda

El back-end de la GUI se está ejecutando fuera de una aplicación basada en Java. El back-end de la GUI no se está ejecutando. Si este DD se actualizó a DDOS 7.1.x o posterior y la GUI ha estado fallando desde entonces, si DD tiene una relación de confianza con otros DD y cualquiera de ellos tiene un certificado con una clave pública más corta que 2048 bits, puede ser la causa por la que la GUI de DD no se inicia, ya que las comprobaciones más estrictas en el JDK empaquetado más reciente no se pueden aprobar para algunos de los hosts de DD de confianza.

En primer lugar, es necesario determinar que este es exactamente el problema que se está enfrentando. Para que esto sea así, todas las condiciones que se indican a continuación deben contener:

1. DD, donde la GUI no se está iniciando, experimenta los problemas de la GUI solo desde la actualización a DDOS 7.1.x o versiones posteriores
2. Este DD tiene una relación de confianza con otros DD, uno o más de los cuales habían ejecutado una versión de DDOS 5.4.x (o anterior) o DDMC 1.1 (o anterior) en el pasado
3. Este DD tiene un conjunto específico de registros para la falla al iniciar el back-end de la GUI

El elemento 1 anterior se explica por sí mismo. Para determinar si se aplica el 2 anterior, primero obtenga la lista de hosts de confianza en DD:

# adminaccess trust show

Para cada uno de los hosts con los que confía, compruebe su historial de actualizaciones para ver si alguno se instaló con DDOS 5.4 (o anterior) o DDMC 1.1 (o anterior): 

# Historial de actualizaciones del sistema

Es probable que los sistemas instalados con cualquiera de las versiones anteriores hayan tenido un certificado autofirmado de CA generado durante la instalación con claves públicas de solo 1024 bits de largo, que JDK ya no acepta después de actualizar a DDOS/DDMC 7.1. Una posible manera de saber si estos hosts tienen certificados con claves públicas pequeñas es abriendo la GUI y comprobando los detalles del certificado desde un navegador (la forma de hacerlo varía ligeramente entre los navegadores).

Para confirmar el elemento 3 (si los registros de fallas de la GUI de DD son para este problema específico), ejecute el siguiente comando para abrir el archivo de registro "em.info":

# log view debug/sm/em.info

Y busque (use una barra diagonal) para buscar estos registros ("..." indica que algunos registros no se muestran a continuación para brevedad):

 

+-----+-----+-----+ SISTEMA (RE)INICIO +-----+-----+-----+
...
26 de febrero de 2021 10:33:04,172 INFO [main] Establecimiento del nombre de la cookie de sesión en 'JSESSIONID-ddem___HTTPS'26
de febrero de 2021 10:33:04,17 2 INFO [main] Establecer el nombre de la cookie xsrf en 'DD_SSO_TOKEN___HTTPS'26
de febrero de 2021 10:33:04,382 INFO [main] Injecting the SUN Provider's X.509 factory to fix validation issues
...
26 de febrero de 2021 10:33:05,093 INFO [main] Re-initializing the certificates between the client and the server

26 de febrero de 2021 10:33:05,093 INFO [principal] Recarga de los almacenes de certificados para el sistema

26 de febrero de 2021 10:33:05,097 INFO [main] Finished reloading the certificate stores
26 feb 2021 10:33:05,097 ERROR [main] Exception during command execution: javax.net.ssl.SSLException - Error creating premaster secret. , se reintentará, intento n.º 1
26 de febrero de 2021 10:33:05,243 INFO [principal] Volver a inicializar los certificados entre el cliente y el servidor
26 de febrero de 2021 10:33:05,243 INFO [main] Reloading the certificate stores for the system
26 Feb 2021 10:33:05,246 INFO [main] Finished reloading the certificate stores

 Esto indicaría algunos de los certificados que importó este DD, ya que trusted tiene una clave corta y, por lo tanto, la GUI no puede iniciarse.

A pesar de que DDOS 7.1 o versiones posteriores seguirán fallando al cargar la GUI cuando se presenten certificados con claves públicas pequeñas, el problema se resolvió en el código para las versiones DDOS 6.2.1.40 y posteriores, y DDOS 7.2.0.50 y posteriores, de modo que, si al actualizar a cualquiera de estas versiones, el certificado de CA local tiene una clave pública pequeña, el certificado se volverá a generar con una clave más larga.
 

Teniendo en cuenta que a partir de este escrito (agosto del 2022) ya no se admiten versiones distintas de DDOS 6.2.1.x (solo para hardware de DD2200 y DD250) y DDOS 7.x, no se proporciona ninguna solución alternativa, aunque para los DD infractores, puede intentar volver a generar el certificado de CA y host con claves más largas y, a continuación, quitar y volver a agregar confianza entre los dispositivos afectados: 

# adminaccess trust del host dd-trusted-1 type mutual
# adminaccess certificate generate self-signed-cert regenerate-ca
# adminaccess trust add host dd-trusted-1 type mutual