Data Domain: Efter uppgradering till DDOS/DDMC 7.1.x eller senare går det inte längre att öppna det grafiska användargränssnittet

En kund uppgraderar antingen DDOS eller DDMC till version 7.1.x eller senare (vi använder DDOS nu för att hänvisa till både DDOS och DDMC) och får reda på efter uppgraderingen att det inte längre går att komma åt gui. Det fungerar inte heller att starta om HTTP-/HTTPS-tjänsterna från kommandoraden. När du använder en webbläsare för att öppna gui visas följande felmeddelande: 
 

Tjänsten är inte tillgänglig

GUI-tjänsten är tillfälligt otillgänglig. Uppdatera webbläsaren för att försöka igen. Om problemet kvarstår kontaktar du Dell EMC:s support för att få hjälp

GUI-serverdel körs av ett Java-baserat program. GUI-serverdel körs inte. Om DD har uppgraderats till DDOS 7.1.x eller senare och det grafiska användargränssnittet inte fungerar sedan dess, om DD har en förtroenderelation med andra DD och någon av dem har en certifiering med en offentlig nyckel kortare än 2 048 bitar, kan det vara orsaken till att DD:s grafiska användargränssnitt inte startar. eftersom strängare kontroller i den nyare JDK-paketfilen inte lyckas lyckas för vissa av de betrodda DD-värdarna.

Först måste du bekräfta att det här är exakt det problem som uppstår. För att detta ska vara fallet måste alla villkor nedan innehålla:

1. DD där det grafiska användargränssnittet inte startas har bara problem med det grafiska användargränssnittet efter uppgradering till DDOS 7.1.x eller senare
2. Denna DD har en förtroenderelation med andra DD, varav en eller flera hade kört en DDOS 5.4.x-version (eller äldre) eller DDMC 1.1 (eller tidigare)
3. Denna DD har en viss uppsättning loggar för att inte starta GUI-backend

Punkt 1 ovan är självförklarande. Om du vill ta reda på om de två ovanstående gäller får du först en lista över betrodda värdar i DD:

# adminaccess trust show

För var och en av de värdar som den här har förtroende för kontrollerar du uppgraderingshistoriken för att se om någon har installerats med DDOS 5.4 (eller tidigare) eller DDMC 1.1 (eller tidigare): 

# Historik för systemuppgradering

System som har installerats med någon av ovanstående versioner har troligen haft ett självsignerat certifikat från certifikatutfärdare som genererades vid installationen med endast 1 024 bitar långa nycklar, och de accepteras inte längre av JDK efter uppgradering till DDOS/DDMC 7.1. Ett möjligt sätt att ta reda på om värdarna har certifikat med små offentliga nycklar är att öppna GUI för dem och kontrollera certifikatuppgifterna från en webbläsare (hur du gör det varierar något mellan olika webbläsare).

För att bekräfta objekt 3 (om DD GUI-felloggarna är för det här specifika problemet) kör du följande kommando för att öppna loggfilen "em.info":

# loggvy felsökning/sm/em.info

Och sök (använd ett snedstreck) för att söka efter loggarna ("..." anger att vissa loggar inte visas nedan för korthet:

 

+-----+-----+-----+ SYSTEM (RE)START +-----+-----+-----+
...
26 feb 2021 10:33:04,172 INFO [main] Ställ in sessionens cookie-namn på "JSESSIONID-ddem___HTTPS'26
Feb 2021 10:33:04,172 INFO [main] Ställ in xsrf-cookiesnamnet på "DD_SSO_TOKEN___HTTPS'26
Feb 2021 10:33:04,382 INFO [main] Injecting the SUN provider's X.509 factory to fix validation issues
...
26 feb 2021 10:33:05,093 INFO [main] Starta om certifikaten mellan klienten och servern

26 feb 2021 10:33:05,093 INFO [main] Ladda om certifikatarkiven för systemet

26 feb 2021 10:33:05,097 INFO [main] Finished reloading the certificate stores
26 Feb 2021 10:33:05,097 ERROR [main] Exception during command execution: javax.net.ssl.SSLException - Error creating premaster secret. försöker du igen, försök nr 1
26 feb 2021 10:33:05,243 INFO [main] Ominitiering av certifikaten mellan klienten och servern
26 feb 2021 10:33:05,243 INFO [main] Läs in certifikatarkiven för systemet
26 feb 2021 10:33:05,246 INFO [main] Finished reloading the certificate stores

 Det tyder på att en del av certifikatet som DD har importerat som betrodd har en kort nyckel och därför går det inte att starta det grafiska användargränssnittet.

Även om DDOS 7.1 eller senare fortsätter att misslyckas med att läsa in GUI när det visas med certifikat med små offentliga nycklar har problemet lösts i koden för versionerna DDOS 6.2.1.40 och senare, och DDOS 7.2.0.50 och senare, så att om det lokala CA-certifikatet har en liten offentlig nyckel vid uppgradering till en sådan version har det lokala ca-certifikatet en liten offentlig nyckel genereras certifikatet med en längre nyckel.
 

Med tanke på att det inte finns några andra versioner än DDOS 6.2.1.x (endast för DD2200- och DD250-maskinvara) och DDOS 7.x stöds inte längre, men för de felande DD:erna kan du försöka generera om värd- och CA-certifikatet med längre nycklar och sedan ta bort och lägga till förtroende igen mellan de berörda enheterna: 

# adminaccess trust del host dd-trusted-1 type mutual
# adminaccess certificate generate self-signed-cert regenerate-ca
# adminaccess trust lägg till värd dd-trusted-1 typ ömsesidig