Data Domain: Dopo l'aggiornamento a DDOS/DDMC 7.1.x o versione successiva, non è più possibile accedere alla GUI

Un cliente aggiorna DDOS o DDMC alla versione 7.1.x o successiva (d'ora in poi utilizzeremo DDOS per fare riferimento sia a DDOS che a DDMC), per brevità, e scopre al termine dell'upgrade che non è più possibile accedere alla GUI. Anche il riavvio dei servizi HTTP / HTTPS dalla riga di comando non lo fa funzionare. Quando si utilizza un browser per accedere alla GUI, viene visualizzata la seguente pagina di errore: 
 

Servizio non disponibile

Il servizio GUI non è temporaneamente disponibile. Aggiorna il browser per riprovare. Se il problema persiste, contattare il supporto Dell EMC per assistenza

Il back-end della GUI è in esecuzione su un'applicazione basata su Java. Il back-end della GUI non è in esecuzione. Se questo DD è stato aggiornato a DDOS 7.1.x o versione successiva e da allora la GUI presenta errori, se DD ha una relazione di trust con altri DD e uno di essi ha un cerificato con una chiave pubblica più breve di 2.048 bit, potrebbe essere questo il motivo per cui la GUI di DD non si avvia. poiché i controlli più rigorosi nel JDK bundled più recente non vengono superati per alcuni degli host DD attendibili.

Per prima cosa è necessario accertare che questo sia esattamente il problema che si sta affrontando. A tal fine, devono essere soddisfatte tutte le condizioni seguenti:

1. Il DD in cui la GUI non si avvia riscontra i problemi della GUI solo dopo l'aggiornamento a DDOS 7.1.x o versione successiva
2. Questo DD ha una relazione di trust con altri DD, uno o più dei quali avevano eseguito una versione DDOS 5.4.x (o precedente) o DDMC 1.1 (o precedente) in passato
3. Questo DD dispone di un particolare set di registri per l'errore di avvio del back-end della GUI

Il punto 1 di cui sopra è autoesplicativo. Per determinare se si applica il punto 2 riportato sopra, ottenere prima l'elenco degli host affidabili in DD:

# adminaccess trust show

Per ciascuno degli host con cui è affidabile, controllare la cronologia degli upgrade per verificare se qualcuno è stato installato con DDOS 5.4 (o versioni precedenti) o DDMC 1.1 (o versioni precedenti): 

# Cronologia degli aggiornamenti del sistema

È probabile che nei sistemi su cui è installata una qualsiasi delle versioni precedenti sia stato generato un certificato autofirmato CA durante l'installazione con chiavi pubbliche lunghe solo 1.024 bit, che non vengono più accettate da JDK dopo l'aggiornamento a DDOS/DDMC 7.1. Un modo possibile per sapere se questi host hanno certificati con chiavi pubbliche piccole consiste nell'aprire loro la GUI e controllare i dettagli del certificato da un browser (il modo per farlo varia leggermente da un browser all'altro).

Per confermare l'elemento 3 (se i registri degli errori della GUI di DD riguardano questo problema specifico), eseguire il seguente comando per aprire il file di registro "em.info":

# visualizzazione registro debug/sm/em.info

E cercare (utilizzare una barra) per cercare questi registri ("..." indica che alcuni registri non sono mostrati di seguito per brevità):

 

+-----+-----+-----+ RI)AVVIO DEL SISTEMA +-----+-----+-----+
...
26 Feb 2021 10:33:04,172 INFO [principale] Impostazione del nome del cookie di sessione su 'JSESSIONID-ddem___HTTPS'26
Feb 2021 10:33:04,172 INFO [principale] Impostazione del nome del cookie xsrf su 'DD_SSO_TOKEN___HTTPS'26
Feb 2021 10:33:04,382 INFO [principale] Inserimento della fabbrica X.509 del fornitore SUN per risolvere i problemi
di convalida...
26 Feb 2021 10:33:05,093 INFO [principale] Reinizializzazione dei certificati tra il client e il server

26 Feb 2021 10:33:05,093 INFO [principale] Ricaricamento degli archivi certificati per il sistema

26 Feb 2021 10:33:05,097 INFO [principale] Terminato il ricaricamento degli archivi
certificati26 Feb 2021 10:33:05,097 ERRORE [principale] Eccezione durante l'esecuzione del comando: javax.net.ssl.SSLException - Errore durante la creazione del segreto premaster. , riproverà, Tentativo# 1
26 Feb 2021 10:33:05,243 INFO [principale] Reinizializzazione dei certificati tra il client e il server
26 Feb 2021 10:33:05,243 INFO [principale] Ricaricamento degli archivi certificati per il sistema
26 Feb 2021 10:33:05,246 INFO [principale] Completato il ricaricamento degli archivi certificati

 Ciò indicherebbe che parte del certificato che questo DD ha importato come attendibile ha una tasto di scelta rapida e quindi la GUI non può avviarsi.

Anche se DDOS 7.1 o versione successiva continuerà a non riuscire caricando la GUI quando vengono presentati certificati con chiavi pubbliche piccole, il problema è stato risolto nel codice per le versioni DDOS 6.2.1.40 e successive e DDOS 7.2.0.50 e versioni successive, in modo che se durante l'aggiornamento a una di queste versioni il certificato CA locale ha una chiave pubblica piccola, Il certificato verrà rigenerato con una chiave più lunga.
 

Considerando che al momento della stesura di questo documento (agosto 2022) non sono più supportate versioni diverse da DDOS 6.2.1.x (solo per hardware DD2200 e DD250) e DDOS 7.x, non viene fornita alcuna soluzione alternativa, anche se per i DD incriminati è possibile provare a rigenerare l'host e il certificato CA con chiavi più lunghe, quindi rimuovere e aggiungere nuovamente l'attendibilità tra i dispositivi interessati: 

# adminaccess trust del host dd-trusted-1 tipo mutual
# adminaccess certificate genera certificato autofirmato rigenerare-ca
# adminaccess trust add host dd-trusted-1 tipo mutual