Data Domain. После модернизации до DDOS / DDMC 7.1.x или более поздней версии графический интерфейс пользователя больше не может быть доступен

Заказчик модернизирует DDOS или DDMC до версии 7.1.x или более поздней (в дальнейшем мы будем использовать термин DDOS и DDMC) для краткости, а после завершения модернизации обнаруживает, что доступ к графическому интерфейсу пользователя больше невозможен. Перезапуск служб HTTP/HTTPS из командной строки тоже не помогает. При использовании браузера для доступа к графическому интерфейсу пользователя отображается следующая страница ошибки: 
 

Услуга недоступна

Сервис графического интерфейса временно недоступен. Обновите браузер, чтобы повторить попытку. Если проблема не устранена, обратитесь за помощью в службу поддержки Dell EMC

Внутренний интерфейс пользователя работает в Java-приложении. Внутренний графический интерфейс пользователя не работает. Если этот DD был обновлен до DDOS 7.1.x или более поздней версии и с тех пор графический интерфейс пользователя не работает, если DD имеет доверительные отношения с другими DD и какой-либо из них имеет сертификат с открытым ключом короче 2048 бит, это может быть причиной, почему графический интерфейс DD не запускается. так как более строгие проверки в новом пакете JDK не проходят для некоторых доверенных хостов DD.

Во-первых, необходимо удостовериться, что это именно та проблема, с которой мы сталкиваемся. В этом случае должны выполняться все следующие условия:

1. В DD, в котором графический интерфейс пользователя не запускается, возникают проблемы с графическим интерфейсом только после модернизации до DDOS 7.1.x или более поздней версии
2. Этот DD имеет доверительные отношения с другими DD, один или несколько из которых в прошлом использовали версию DDOS 5.4.x (или более раннюю) либо DDMC 1.1 (или более раннюю)
3. В этом DD имеется определенный набор журналов для сбоя при запуске внутреннего интерфейса пользователя

Пункт 1 говорит сам за себя. Чтобы определить, применимо ли выполнение 2 вышеуказанных условий, сначала получите список доверенных хостов в DD:

# adminaccess trust show

Для каждого из хостов, которым этот сервер доверяет, проверьте их историю модернизаций, чтобы узнать, был ли какой-либо из них установлен с DDOS 5.4 (или более ранней версии) или DDMC 1.1 (или более ранней версии): 

# История модернизаций системы

Системы, в которых установлена любая из вышеперечисленных версий, скорее всего, будут иметь самозаверяющий сертификат CA, созданный при установке, с открытыми ключами длиной всего 1024 бита, которые больше не принимаются JDK после обновления до DDOS/DDMC 7.1. Возможный способ узнать, есть ли у этих хостов сертификаты с небольшими открытыми ключами, — открыть для них графический интерфейс пользователя и проверить сведения о сертификатах из браузера (способ сделать это немного отличается в разных браузерах).

Чтобы подтвердить пункт 3 (если журналы сбоев графического интерфейса пользователя DD относятся к этой конкретной проблеме), выполните следующую команду, чтобы открыть файл журнала «em.info».

# Отладка в виде журнала/SM/em.info

И выполните поиск (используйте косую черту) для поиска этих журналов ("..." указывает на то, что некоторые журналы не показаны ниже для краткости) :

 

+-----+-----+-----+ СИСТЕМА (RE)START +-----+-----+-----+
...
26 фев 2021 10:33:04,172 INFO [главная] Установка имени файла cookie сеанса на 'JSESSIONID-ddem___HTTPS'26
фев 2021 10:33:04,172 INFO [главная] Установка имени файла cookie xsrf на 'DD_SSO_TOKEN___HTTPS'26
фев 2021 10:33:04,382 INFO [главная] Внедрение фабрики X.509 поставщика SUN для устранения проблем
проверки...
26 фев 2021 10:33:05,093 INFO [главная] Повторная инициализация сертификатов между клиентом и сервером

26 фев 2021 10:33:05,093 INFO [главная] Перезагрузка хранилищ сертификатов для системы

26 фев 2021 10:33:05,097 INFO [main] Завершена перезагрузка хранилищ
сертификатов26 фев 2021 10:33:05,097 ОШИБКА [main] Исключение при выполнении команды: javax.net.ssl.SSLException - Ошибка при создании секрета предварительного мастера. , повторит попытку, Attempt# 1
26 фев 2021 10:33:05,243 INFO [главная] Повторная инициализация сертификатов между клиентом и сервером
26 фев 2021 10:33:05,243 INFO [главная] Перезагрузка хранилищ сертификатов для системы
26 фев 2021 10:33:05,246 INFO [главная] Завершена перезагрузка хранилищ сертификатов

 Это будет означать, что некоторые сертификаты, импортированные этим DD как доверенные, имеют короткий ключ, и, следовательно, графический интерфейс пользователя не может запуститься.

Несмотря на то, что DDOS 7.1 или более поздней версии по-прежнему не загружает графический интерфейс пользователя при получении сертификатов с небольшими открытыми ключами, эта проблема была решена в коде для версии DDOS 6.2.1.40 и более поздних версий, а также DDOS 7.2.0.50 и более поздних версий, так что если при модернизации до любого такого выпуска сертификат локального источника сертификации имеет небольшой открытый ключ, Сертификат будет создан повторно с более длинным ключом.
 

Учитывая, что на момент написания этой статьи (август 2022 г.) никакие выпуски, кроме DDOS 6.2.1.x (только для оборудования DD2200 и DD250) и DDOS 7.x, больше не поддерживаются выпуски, которые нарушают правила, поэтому для DD, вызвавших нарушение, вы можете попробовать повторно создать сертификат хоста и CA с более длинными ключами, а затем снова удалить и снова добавить доверие между затронутыми устройствами: 

# adminaccess trust del host dd-trusted-1 type mutual
# adminaccess certificate generate self-signed-cert regenerate-ca
# adminaccess trust add host dd-trusted-1 type mutual