Data Domain: Após o upgrade para o DDOS/DDMC 7.1.x ou posterior, a GUI não pode mais ser acessada

Um cliente faz upgrade do DDOS ou do DDMC para a versão 7.1.x ou posterior (de agora usaremos o DDOS para nos referir ao DDOS e ao DDMC) por brevidade e, após a conclusão do upgrade, descobre que não é mais possível acessar a GUI. Reiniciar os serviços HTTP/HTTPS a partir da linha de comando também não faz com que funcione. Ao usar um navegador para acessar a GUI, a seguinte página de erro apareceria: 
 

Serviço indisponível

O serviço GUI está temporariamente indisponível. Atualize o navegador para tentar novamente. Se o problema persistir, entre em contato com o suporte da Dell EMC para obter assistência

O back-end da GUI está sendo executado em um aplicativo baseado em Java. O back-end da GUI não está em execução. Se esse DD tiver recebido upgrade para o DDOS 7.1.x ou posterior e a GUI estiver falhando desde então, se o DD tiver uma relação de confiança com outros DDs e qualquer um deles tiver um certificado com uma chave pública menor que 2048 bits, isso pode ser a causa pela qual a GUI do DD não está inicializando, pois as verificações mais rigorosas no JDK agrupado mais recente falham ao passar para alguns dos hosts confiáveis do DD.

Primeiro é preciso verificar se esse é exatamente o problema que está sendo enfrentado. Para que este seja o caso, todas as condições abaixo devem se manter:

1. O DD cuja GUI não está sendo iniciada está enfrentando problemas de GUI somente após o upgrade para o DDOS 7.1.x ou posterior
2. Esse DD tem uma relação de confiança com outros DDs, sendo que um ou mais já executaram uma versão do DDOS 5.4.x (ou mais antiga) ou o DDMC 1.1 (ou mais antigo) no passado
3. Esse DD tem um conjunto específico de logs para a falha ao iniciar o back-end da GUI

O item 1 acima é autoexplicativo. Para determinar se os dois itens acima se aplicam, primeiro obtenha a lista de hosts confiáveis no DD:

# adminaccess trust show

Para cada um dos hosts com os quais este cliente confia, verifique o histórico de upgrade para ver se algum deles foi instalado com o DDOS 5.4 (ou anterior) ou DDMC 1.1 (ou anterior): 

# histórico de upgrade do sistema

Os sistemas instalados com qualquer uma das versões acima provavelmente tiveram um certificado autoassinado da CA gerado na instalação com chaves públicas de apenas 1024 bits de comprimento, que não são mais aceitos pelo JDK após o upgrade para o DDOS/DDMC 7.1. Uma possível maneira de saber se esses hosts têm certificados com chaves públicas pequenas é abrindo a GUI para eles e verificando os detalhes do certificado em um navegador (a maneira de fazer isso varia ligeiramente entre os navegadores).

Para confirmar o item 3 (se os logs de falha da GUI do DD forem para esse problema específico), execute o seguinte comando para abrir o arquivo de log "em.info":

# depuração de visualização de log/sm/em.info

E pesquise (use uma barra) para procurar esses logs ("..." indica que alguns logs não são mostrados abaixo por brevidade) :

 

+-----+-----+-----+ SISTEMA (RE)INICIAR +-----+-----+-----+
...
26 Fev 2021 10:33:04,172 INFO [main] Definindo o nome do cookie de sessão como 'JSESSIONID-ddem___HTTPS'26
Feb 2021 10:33:04,172 INFO [main] Definindo o nome do cookie xsrf como 'DD_SSO_TOKEN___HTTPS'26
Feb 2021 10:33:04,382 INFO [main] Injetando a fábrica X.509 do provedor SUN para corrigir problemas de validação
...
26 de fevereiro de 2021 10:33:05,093 INFO [principal] Reinicializando os certificados entre o client e o servidor

26 Fev 2021 10:33:05,093 INFO [main] Recarregando os repositórios de certificados do sistema

26 de fevereiro de 2021 10:33:05,097 INFO [main] Terminou de recarregar os armazenamentos
de certificados26 de fevereiro de 2021 10:33:05,097 ERRO [principal] Exceção durante a execução do comando: javax.net.ssl.SSLException — Erro ao criar o segredo pré-mestre. , tentará novamente, Tentativa # 1
26 Fev 2021 10:33:05,243 INFO [principal] Reinicializando os certificados entre o client e o servidor
26 de fevereiro de 2021 10:33:05,243 INFO [main] Recarregando os repositórios de certificados do sistema
26 de fevereiro de 2021 10:33:05,246 INFO [principal] Concluído o recarregamento dos repositórios de certificados

 Isso indica que alguns dos certificados que este DD importou como confiáveis têm uma chave curta e, portanto, a GUI não pode ser iniciada.

Embora o DDOS 7.1 ou posterior continue a falhar ao carregar a GUI quando for apresentado certificados com chaves públicas pequenas, o problema foi resolvido no código para as versões DDOS 6.2.1.40 e posteriores e DDOS 7.2.0.50 e posteriores, de modo que, se ao atualizar para qualquer versão desse tipo, o certificado da CA local tiver uma pequena chave pública, O certificado será gerado novamente com uma chave mais longa.
 

Considerando que, até o momento em que este artigo foi escrito (agosto de 2022), nenhuma versão além do DDOS 6.2.1.x (somente para hardware DD2200 e DD250) e do DDOS 7.x são mais compatíveis, nenhuma solução temporária é fornecida, embora para os DDs ofensivos você possa tentar gerar novamente o host e o certificado CA com chaves mais longas e, em seguida, remover e adicionar novamente a confiança entre os dispositivos afetados: 

# adminaccess trust del host dd-trusted-1 type mutual
# adminaccess certificate generate self-signed-cert regenerate-ca
# adminaccess trust add host dd-trusted-1 type mutual