Data Domain: Efter opgradering til DDOS/DDMC 7.1.x eller nyere, kan GUI ikke længere åbnes

En kunde opgraderer enten DDOS eller DDMC til version 7.1.x eller nyere (vi vil nu bruge DDOS til at henvise til både DDOS og DDMC) for at gøre det kort og finde ud af, at det ikke længere er muligt at få adgang til GUI, når opgraderingen er fuldført. En genstart af HTTP-/HTTPS-tjenesterne fra kommandolinjen får den heller ikke til at fungere. Når du bruger en browser til at få adgang til GUI, vises følgende fejlside: 
 

Service ikke tilgængelig

GUI-tjenesten er midlertidigt utilgængelig. Opdater browseren for at prøve igen. Hvis problemet fortsætter, skal du kontakte Dell EMC-support for at få hjælp

GUI-backend kører fra et Java-baseret program. GUI-backend kører ikke. Hvis denne DD er blevet opgraderet til DDOS 7.1.x eller nyere, og GUI'en har svigtet siden da, og hvis DD har et tillidsforhold til andre DD'er, og en af dem har et certifikat med en offentlig nøgle kortere end 2048 bit, kan det være årsagen til, at DD GUI ikke starter op. som striktere kontroller i den nyere bundtede JDK ikke kan gennemføres for nogle af de betroede DD-værter.

Først skal det konstateres, at dette er nøjagtigt det problem, der står over for. For at dette kan være tilfældet, skal alle nedenstående betingelser være opfyldt:

1. DD, hvor GUI ikke starter op, oplever kun GUI-problemer efter opgradering til DDOS 7.1.x eller nyere
2. Dette DD har et tillidsforhold til andre DD'er, som en eller flere tidligere har kørt en DDOS 5.4.x-version (eller ældre) eller DDMC 1.1 (eller ældre)
3. Denne DD har et bestemt sæt logfiler, som skyldes, at GUI-backend ikke startes

Punkt 1 ovenfor giver sig selvforklarende. For at afgøre, om ovenstående 2 gælder, skal du først hente listen over betroede værter i DD:

# adminaccess trust show (Vis # adminaccess-tillid)

For hver af værterne, som denne har tillid til, skal du kontrollere deres opgraderingshistorik for at se, om der er installeret nogen med DDOS 5.4 (eller tidligere) eller DDMC 1.1 (eller tidligere): 

# systemopgraderingshistorik

Systemer installeret med en af ovenstående versioner har sandsynligvis et selvsigneret nøglecentercertifikat genereret ved installation med offentlige nøgler, der kun er 1024 bit lange, som ikke længere accepteres af JDK efter opgradering til DDOS /DDMC 7.1. En mulig måde at lære, om disse værter har certifikater med små offentlige nøgler, er ved at åbne GUI'en for dem og kontrollere certifikatoplysningerne fra en browser (måden at gøre det på varierer en smule på tværs af browsere).

For at bekræfte punkt 3 (hvis DD GUI-fejllogfilerne er beregnet til dette specifikke problem), skal du køre følgende kommando for at åbne logfilen "em.info":

# log-visning fejlfinding/sm/em.info

Og søg (brug en skråstreg) for at søge efter disse logfiler ("..." angiver, at nogle logfiler ikke vises nedenfor af kort varighed):

 

+-----+-----+-----+ SYSTEM (RE) START +-----+-----+-----+
...
26. februar 2021 10:33:04.172 INFO [main] Indstilling af sessionens cookie-navn til "JSESSIONID-ddem___HTTPS'26
Feb 2021 10:33:04,172 INFO [main] Indstilling af xsrf cookie-navnet til "DD_SSO_TOKEN___HTTPS"
26 februar 2021 10:33:04,382 INFO [main] Indlæsning af SUN-udbyderens X.509-fabrik for at løse valideringsproblemer
...
26. februar 2021 10:33:05.093 INFO [main] Ominitialisering af certifikater mellem klienten og serveren

26. februar 2021 10:33:05.093 INFO [main] Genindlæsning af certifikatlagrene for systemet

26. februar 2021 10:33:05.097 INFO [main] Færdig med at genindlæse certifikatet lagrede
26 februar 2021 10:33:05,097 ERROR [main] Exception under udførelse af kommando: javax.net.ssl.SSLException – Fejl ved oprettelse af Premaster-hemmelighed. , vil forsøge igen, forsøg nr. 1
26. februar 2021 10:33:05.243 INFO [main] Ominitialisering af certifikater mellem klienten og serveren
26 februar 2021 10:33:05.243 INFO [main] Genindlæsning af certifikatlagrene for systemet
26. februar 2021 10:33:05,246 INFO [main] Færdig med at genindlæse certifikatlagrene

 Dette vil indikere, at nogle af certifikaterne, som denne DD har importeret, som betroede, har en kort nøgle, og gui'en kan derfor ikke starte.

Selvom DDOS 7.1 eller nyere fortsat ikke vil kunne indlæse GUI, når den præsenteres med certifikater med små offentlige nøgler, er problemet blevet løst i koden til versionerne DDOS 6.2.1.40 og nyere og DDOS 7.2.0.50 og nyere, så hvis det lokale nøglecenter opgraderes til en sådan udgivelse, har det en lille offentlig nøgle, genereres certifikatet igen med en længere nøgle.
 

I betragtning af, at der i skrivende stund (august 2022) ikke er andre versioner end DDOS 6.2.1.x (kun til DD2200- og DD250-hardware), og DDOS 7.x længere understøttes, findes der ingen løsning, selvom du for de fejlbehæftede DD'er kan forsøge at genoprette værts- og CA-certifikatet med længere nøgler og derefter fjerne og tilføje tillid igen mellem de berørte enheder: 

# adminaccess trust del host dd-trusted-1 type gensidig
# adminaccess certificate generate self-signed-cert regenerate-ca
# adminaccess trust add host dd-trusted-1 type gensidig