以上專案 1 為自我解釋。若要判斷以上 2 是否適用,請先取得 DD 中受信任主機的清單:
# adminacces trust show
針對每一台主機,請檢查其升級歷程記錄,查看是否有安裝 DDOS 5.4 (或更早版本) 或 DDMC 1.1 (或更早版本):
# 系統升級歷程記錄
安裝上述任何版本的系統,可能會在安裝公開金鑰時產生 CA 自我簽署憑證,且公開金鑰長度只有 1024 位,在升級至 DDOS/DDMC 7.1 後,JDK 便不再接受該憑證。瞭解這些主機是否具有小型公用金鑰的憑證,可能的方法是開啟 GUI 並從瀏覽器檢查憑證詳細資料 (瀏覽器的憑證詳細資料會略有不同)。
若要確認專案 3 (如果 DD GUI 故障記錄是針對此特定問題),請執行下列命令以開啟「em.info」記錄檔:
# 記錄檢視偵錯/sm/em.info
搜尋 (使用正斜線) 搜尋這些記錄 (以下稱「...」表示下方未顯示某些記錄以瞭解簡易性):
+-----+-----+-----+ 系統 (RE)START +-----+-----+-----+
...
2021 年 2 月 26 日 10:33:04,172 資訊 [main] 將會話 Cookie 名稱設定為「JSESSIONID-ddem___HTTPS」
2021 年 2 月 26 日 10:33:04,172 INFO [main] 將 xsrf Cookie 名稱設定為「DD_SSO_TOKEN___HTTPS」
,2021 年 2 月 26 日 10:33:04,382 資訊 [main] 插入 SUN 供應商的 X.509 原廠來修正驗證問題
...
2021 年 2 月 26 日 10:33:05,093 資訊 [main] 重新初始化用戶端和伺服器之間的憑證
2021 年 2 月 26 日 10:33:05,093 資訊 [main] 重載系統的憑證存放區
2021 年 2 月 26 日 10:33:05,097 資訊 [main] 完成重載憑證存放區
2021 年 2 月 26 日 10:33:05,097 錯誤 [main] Exception during command execution: javax.net.ssl.SSLException - Error create premaster secret.,將重試,嘗試 # 1
2021 年 2 月 26 日 10:33:05,243 資訊 [main] 重新初始化用戶端和伺服器
之間的憑證 2021 年 2 月 26 日 10:33:20 05,243 資訊 [main] 重載系統的
憑證存放區 2021 年 2 月 26 日 10:33:05,246 資訊 [main] 完成重載憑證存放區
這表示此 DD 已匯入的一些憑證,因為受信任者有一個簡短的金鑰,因此 GUI 無法啟動。
雖然 DDOS 7.1 或更新版本在顯示有小型公開金鑰的憑證時仍無法載入 GUI,但 DDOS 6.2.1.40 及更新版本和 DDOS 7.2.0.50 及更新版本的程式碼中已解決這個問題,因此如果升級至任何此類版本,本機 CA 憑證具有小型公開金鑰, 憑證會以較長的金鑰重新產生。
考慮到自本檔起 (2022 年 8 月) 不再支援 DDOS 6.2.1.x 以外的版本 (僅適用于 DD2200 和 DD250 硬體) 和 DDOS 7.x,但無法提供因應措施,不過對於違規的 DD,您可以嘗試以較長的金鑰重新產生主機和 CA 憑證,然後移除並重新新增受影響裝置之間的信任:
# adminacces trust del host dd-trusted-1 type mutual
# adminaccess 憑證產生自我簽署-cert 再生-ca
# adminacces trust add host dd-trusted-1 type mutual