Article Number: 000202263
Пункт 1 вище зрозумілий. Щоб визначити, чи застосовується 2 вище, спочатку отримайте список довірених хостів у DD :
# Шоу довіри AdminAccess
Для кожного з хостів, яким цей довіряє, перевірте їх історію оновлень, щоб дізнатися, чи був він встановлений за допомогою DDOS 5.4 (або раніше) або DDMC 1.1 (або раніше):
# Історія оновлення системи
Системи, встановлені з будь-якою з вищевказаних версій, швидше за все, мали самопідписаний сертифікат CA, згенерований при встановленні з відкритими ключами довжиною лише 1024 біта, які більше не приймаються JDK після оновлення до DDOS / DDMC 7.1. Можливий спосіб дізнатися, чи мають ці хости сертифікати з невеликими відкритими ключами, - відкрити графічний інтерфейс для них і перевірити деталі сертифіката з браузера (спосіб зробити це дещо відрізняється в різних браузерах).
Щоб підтвердити пункт 3 (якщо журнали помилок графічного інтерфейсу DD призначені для цієї конкретної проблеми), запустіть таку команду, щоб відкрити файл журналу "em.info":
# перегляд журналу налагодження/sm/em.info
І пошук (використовуйте скісну риску) для пошуку цих журналів ("..." вказує, що деякі журнали не показані нижче для стислості) :
+-----+-----+-----+ СИСТЕМА (RE)start +-----+-----+-----+
...
26 лютого 2021 10:33:04,172 ІНФОРМАЦІЯ [головна] Встановлення назви файлу cookie сеансу на 'JSESSIONID-ddem___HTTPS'26 лютого 2021 10:33:04,172 ІНФОРМАЦІЯ [головна] Встановлення назви файлу cookie xsrf на 'DD_SSO_TOKEN___HTTPS'26
лютого 2021 10:33:04,382 ІНФОРМАЦІЯ [головна] Введення заводу постачальника SUN X.509 для вирішення проблем
з перевіркою ...
26 лютого 2021 10:33:05,093 ІНФОРМАЦІЯ [головна] Повторна ініціалізація сертифікатів між клієнтом та сервером
26 лютого 2021 10:33:05,093 ІНФОРМАЦІЯ [головна] Перезавантаження сховищ сертифікатів для системи
26 лютого 2021 10:33:05,097 ІНФОРМАЦІЯ [головна] Завершено перезавантаження сховищ
сертифікатів26 лютого 2021 10:33:05,097 ПОМИЛКА [головна] Виняток під час виконання команди: javax.net.ssl.SSLException - Помилка створення секрету premaster. , повторить спробу, спроба# 1
26 лютого 2021 10:33:05,243 ІНФОРМАЦІЯ [головна] Повторна ініціалізація сертифікатів між клієнтом та сервером
26 лютого 2021 10:33:05,243 ІНФОРМАЦІЯ [головна] Перезавантаження сховищ сертифікатів для системи
26 лютого 2021 10:33:05,246 ІНФОРМАЦІЯ [головна] Завершено перезавантаження сховищ сертифікатів
Це вказує на те, що деякий сертифікат, який цей DD імпортував як довірений має короткий ключ, і, отже, графічний інтерфейс не може запуститися.
Хоча DDOS 7.1 або пізнішої версії продовжуватиме не завантажувати графічний інтерфейс при пред'явленні сертифікатів з невеликими відкритими ключами, проблема була вирішена в коді для версій DDOS 6.2.1.40 і пізніших версій, а також DDOS 7.2.0.50 і пізніших версій, так що, якщо при оновленні до будь-якого такого випуску локальний сертифікат ЦС має невеликий відкритий ключ, Сертифікат буде повторно згенеровано за допомогою довшого ключа.
Враховуючи, що на момент написання цієї статті (серпень 2022 р.) більше не підтримуються випуски, крім DDOS 6.2.1.x (лише для апаратного забезпечення DD2200 та DD250) та DDOS 7.x, обхідного шляху не передбачено, хоча для порушуючих DD ви можете спробувати повторно створити хост та сертифікат CA за допомогою довших ключів, а потім видалити та знову додати довіру між ураженими пристроями:
# adminaccess trust del host dd-trusted-1 тип mutual
# Сертифікат adminaccess генерувати самопідписаний-cert regenerate-ca
# adminaccess trust додати хост dd-trusted-1 тип mutual
Data Domain
21 Mar 2023
5
Solution