Домен даних: Після оновлення до DDOS / DDMC 7.1.x або пізнішої версії, графічний інтерфейс більше не може бути доступний

Клієнт оновлює DDOS або DDMC до версії 7.1.x або пізнішої (відтепер ми будемо використовувати DDOS для посилання як на DDOS, так і на DDMC), для стислості, і після завершення оновлення дізнається, що отримати доступ до графічного інтерфейсу більше неможливо. Перезапуск служб HTTP / HTTPS з командного рядка теж не змушує його працювати. Під час використання браузера для доступу до графічного інтерфейсу відображатиметься наступна сторінка помилки: 
 

Послуга недоступна

Служба графічного інтерфейсу тимчасово недоступна. Оновіть браузер, щоб повторити спробу. Якщо проблема не зникне, зверніться по допомогу до служби підтримки Dell EMC

Графічний процесор працює з програми на основі Java. Модуль графічного інтерфейсу не працює. Якщо цей DD був оновлений до DDOS 7.1.x або пізнішої версії, і з тих пір графічний інтерфейс не працює, якщо DD має довірчі відносини з іншими DD, і будь-який з них має сертифікат з відкритим ключем, коротшим за 2048 біт, це може бути причиною, чому графічний інтерфейс DD не запускається, оскільки суворіші перевірки в новішому комплекті JDK не проходять для деяких довірених хостів DD.

По-перше, необхідно з'ясувати, що це саме та проблема, з якою стикається. Щоб це було так, усі наведені нижче умови повинні виконувати:

1. DD, де графічний інтерфейс не запускається, виникає з проблемами графічного інтерфейсу лише після оновлення до DDOS 7.1.x або пізнішої версії
2. Цей DD має довірчі відносини з іншими DD, один або кілька з яких раніше використовували версію DDOS 5.4.x (або старішу), або DDMC 1.1 (або старішу)
3. Цей DD має певний набір журналів для невдачі запуску графічного модуля

Пункт 1 вище зрозумілий. Щоб визначити, чи застосовується 2 вище, спочатку отримайте список довірених хостів у DD :

# Шоу довіри AdminAccess

Для кожного з хостів, яким цей довіряє, перевірте їх історію оновлень, щоб дізнатися, чи був він встановлений за допомогою DDOS 5.4 (або раніше) або DDMC 1.1 (або раніше): 

# Історія оновлення системи

Системи, встановлені з будь-якою з вищевказаних версій, швидше за все, мали самопідписаний сертифікат CA, згенерований при встановленні з відкритими ключами довжиною лише 1024 біта, які більше не приймаються JDK після оновлення до DDOS / DDMC 7.1. Можливий спосіб дізнатися, чи мають ці хости сертифікати з невеликими відкритими ключами, - відкрити графічний інтерфейс для них і перевірити деталі сертифіката з браузера (спосіб зробити це дещо відрізняється в різних браузерах).

Щоб підтвердити пункт 3 (якщо журнали помилок графічного інтерфейсу DD призначені для цієї конкретної проблеми), запустіть таку команду, щоб відкрити файл журналу "em.info":

# перегляд журналу налагодження/sm/em.info

І пошук (використовуйте скісну риску) для пошуку цих журналів ("..." вказує, що деякі журнали не показані нижче для стислості) :

 

+-----+-----+-----+ СИСТЕМА (RE)start +-----+-----+-----+
...
26 лютого 2021 10:33:04,172 ІНФОРМАЦІЯ [головна] Встановлення назви файлу cookie сеансу на 'JSESSIONID-ddem___HTTPS'26 лютого 2021 10:33:04,172 ІНФОРМАЦІЯ [головна] Встановлення назви файлу cookie xsrf на 'DD_SSO_TOKEN___HTTPS'26

лютого 2021 10:33:04,382 ІНФОРМАЦІЯ [головна] Введення заводу постачальника SUN X.509 для вирішення проблем
з перевіркою ...
26 лютого 2021 10:33:05,093 ІНФОРМАЦІЯ [головна] Повторна ініціалізація сертифікатів між клієнтом та сервером

26 лютого 2021 10:33:05,093 ІНФОРМАЦІЯ [головна] Перезавантаження сховищ сертифікатів для системи

26 лютого 2021 10:33:05,097 ІНФОРМАЦІЯ [головна] Завершено перезавантаження сховищ
сертифікатів26 лютого 2021 10:33:05,097 ПОМИЛКА [головна] Виняток під час виконання команди: javax.net.ssl.SSLException - Помилка створення секрету premaster. , повторить спробу, спроба# 1
26 лютого 2021 10:33:05,243 ІНФОРМАЦІЯ [головна] Повторна ініціалізація сертифікатів між клієнтом та сервером
26 лютого 2021 10:33:05,243 ІНФОРМАЦІЯ [головна] Перезавантаження сховищ сертифікатів для системи
26 лютого 2021 10:33:05,246 ІНФОРМАЦІЯ [головна] Завершено перезавантаження сховищ сертифікатів

 Це вказує на те, що деякий сертифікат, який цей DD імпортував як довірений має короткий ключ, і, отже, графічний інтерфейс не може запуститися.

Хоча DDOS 7.1 або пізнішої версії продовжуватиме не завантажувати графічний інтерфейс при пред'явленні сертифікатів з невеликими відкритими ключами, проблема була вирішена в коді для версій DDOS 6.2.1.40 і пізніших версій, а також DDOS 7.2.0.50 і пізніших версій, так що, якщо при оновленні до будь-якого такого випуску локальний сертифікат ЦС має невеликий відкритий ключ, Сертифікат буде повторно згенеровано за допомогою довшого ключа.
 

Враховуючи, що на момент написання цієї статті (серпень 2022 р.) більше не підтримуються випуски, крім DDOS 6.2.1.x (лише для апаратного забезпечення DD2200 та DD250) та DDOS 7.x, обхідного шляху не передбачено, хоча для порушуючих DD ви можете спробувати повторно створити хост та сертифікат CA за допомогою довших ключів, а потім видалити та знову додати довіру між ураженими пристроями: 

# adminaccess trust del host dd-trusted-1 тип mutual
# Сертифікат adminaccess генерувати самопідписаний-cert regenerate-ca
# adminaccess trust додати хост dd-trusted-1 тип mutual