Data Domain : Après la mise à niveau vers DDOS/DDMC 7.1.x ou une version ultérieure, l’interface graphique n’est plus accessible

Un client effectue une mise à niveau de DDOS ou DDMC vers la version 7.1.x ou une version ultérieure (nous utiliserons DDOS à partir de maintenant pour désigner à la fois DDOS et DDMC), pour des raisons de concision, et découvre une fois la mise à niveau terminée qu’il n’est plus possible d’accéder à l’interface graphique. Le redémarrage des services HTTP / HTTPS à partir de la ligne de commande ne le fait pas fonctionner non plus. Lorsque vous utilisez un navigateur pour accéder à l’interface graphique, la page d’erreur suivante s’affiche : 
 

Service non disponible

Le service GUI est temporairement indisponible. Actualisez le navigateur pour réessayer. Si le problème persiste, contactez le support Dell EMC pour obtenir de l’aide

Le back-end de l’interface graphique est en cours d’exécution à partir d’une application basée sur Java. Le back-end de l’interface graphique n’est pas en cours d’exécution. Si ce DD a été mis à niveau vers DDOS 7.1.x ou une version ultérieure et que l’interface graphique a échoué depuis, si le DD a une relation de confiance avec d’autres DD et que l’un d’entre eux dispose d’un certificat avec une clé publique de moins de 2048 bits, cela peut être la raison pour laquelle l’interface graphique DD ne démarre pas. car les vérifications plus strictes dans le JDK groupé le plus récent ne réussissent pas pour certains des hôtes DD de confiance.

Tout d’abord, il est nécessaire de s’assurer que c’est exactement le problème auquel nous sommes confrontés. Pour que ce soit le cas, toutes les conditions ci-dessous doivent être remplies :

1. DD dont l’interface graphique ne démarre pas rencontre les problèmes d’interface graphique uniquement depuis la mise à niveau vers DDOS 7.1.x ou une version ultérieure
2. Ce DD entretient une relation de confiance avec d’autres DD dont un ou plusieurs ont exécuté DDOS 5.4.x (ou une version antérieure) ou DDMC 1.1 (ou une version antérieure) dans le passé
3. Ce DD dispose d’un ensemble particulier de journaux pour l’échec du démarrage du back-end de l’interface graphique

Le point 1 ci-dessus se passe d’explications. Pour déterminer si les points 2 ci-dessus s’appliquent, obtenez d’abord la liste des hôtes de confiance dans le DD :

# adminaccess trust show

Pour chacun des hôtes de confiance, vérifiez leur historique de mise à niveau pour voir si l’un d’entre eux a été installé avec DDOS 5.4 (ou version antérieure) ou DDMC 1.1 (ou version antérieure) : 

# system upgrade history

Les systèmes installés avec l’une des versions ci-dessus sont susceptibles d’avoir eu un certificat auto-signé par une autorité de certification généré lors de l’installation avec des clés publiques de seulement 1 024 bits, qui ne sont plus acceptées par le JDK après la mise à niveau vers DDOS/DDMC 7.1. Un moyen possible de savoir si ces hôtes disposent de certificats avec de petites clés publiques consiste à leur ouvrir l’interface graphique et à vérifier les détails du certificat à partir d’un navigateur (la façon de le faire varie légèrement d’un navigateur à l’autre).

Pour confirmer l’élément 3 (si les journaux d’échec de l’interface graphique DD sont destinés à ce problème spécifique), exécutez la commande suivante pour ouvrir le fichier journal « em.info » :

# log view debug/sm/em.info

Et effectuez une recherche (utilisez une barre oblique) pour rechercher ces journaux (« ... » indique que certains journaux ne sont pas affichés ci-dessous par souci de concision) :

 

+-----+-----+-----+ SYSTÈME +-----+-----+-----+
...
26 févr. 2021 10:33:04,172 INFO [main] Définition du nom du cookie de session sur 'JSESSIONID-ddem___HTTPS'26
févr. 2021 10:33:04,172 INFO [main] Définition du nom du cookie xsrf sur 'DD_SSO_TOKEN___HTTPS'26
févr. 2021 10:33:04,382 INFO [main] Injection de l’usine X.509 du fournisseur SUN pour résoudre les problèmes de validation
...
26 févr. 2021 10:33:05,093 INFO [main] Réinitialisation des certificats entre le client et le serveur

26 févr. 2021 10:33:05,093 INFO [main] Rechargement des magasins de certificats pour le système

26 févr. 2021 10:33:05,097 INFO [main] Finished reloading the certificate stores
26 Feb 2021 10:33:05,097 ERROR [main] Exception during command execution : javax.net.ssl.SSLException - Error creating premaster secret. , réessayera, Tentative# 1
26 févr. 2021 10:33:05,243 INFO [main] Réinitialisation des certificats entre le client et le serveur
26 févr. 2021 10:33:05,243 INFO [main] Rechargement des magasins de certificats pour le système
26 févr. 2021 10:33:05,246 INFO [main] Fin du rechargement des magasins de certificats

 Cela indique qu’une partie du certificat que ce DD a importé comme étant de confiance a une clé courte et que, par conséquent, l’interface graphique ne peut pas démarrer.

Bien que DDOS 7.1 ou version ultérieure continue d’échouer lors du chargement de l’interface graphique lorsqu’il est présenté avec des certificats avec des clés publiques de petite taille, le problème a été résolu dans le code pour les versions DDOS 6.2.1.40 et ultérieures, et DDOS 7.2.0.50 et versions ultérieures, de sorte que si lors de la mise à niveau vers l’une de ces versions, le certificat d’autorité de certification local dispose d’une clé publique de petite taille, Le certificat sera généré à nouveau avec une clé plus longue.
 

Étant donné qu’au moment de la rédaction de cet article (août 2022), aucune version autre que DDOS 6.2.1.x (pour le matériel DD2200 et DD250 uniquement) et DDOS 7.x n’est plus prise en charge, aucune solution de contournement n’est fournie, bien que pour les DD incriminés, vous puissiez essayer de regénérer le certificat d’hôte et d’autorité de certification avec des clés plus longues, puis supprimer et rajouter la confiance entre les appareils concernés : 

# adminaccess trust del host dd-trusted-1 type mutual
# adminaccess certificate generate self-signed-cert regenerate-ca
# adminaccess trust add host dd-trusted-1 type mutual