PowerFlex: Jak přidat a schválit certifikáty MDM na bráně prostřednictvím rozhraní RESTAPI

Níže jsou uvedeny zkratky použité v níže uvedeném příkazu pro přidání certifikátu MDM. Vyměňte je v odpovídajícím prostředí.

<mdm-password> – Heslo MDM pro přihlášení do Scaleio
<Gateway-ip> – IP adresa brány používaná pro připojení přestoken> restapi<
– token, který jste obdrželi v kroku 1
<název> hostitele – nahraďte názvem hostitele (ujistěte se, že máte pro každý MDM jiný název hostitele)
<hostname_mentioned v /etc/hosts>– název hostitele MDM uvedený v souboru /etc/hosts

Následující kroky obsahují příklad pro vaši referenci, kde 192.168.2.126 je brána a uzel1 je jeden z uzlů MDM, pro které je potřeba přidat certifikáty MDM do brány.
Tento příkaz můžete spustit z libovolného hostitele, který má nainstalovaný curl a je připojený k bráně.
Restartování démona brány není nutné
. Dostupné certifikáty MDM můžete zkontrolovat v úložišti klíčů brány pomocí příkazu z kroku 5 níže.

Krok 1) Získejte token

# curl -k --basic -u admin:<mdm-password> https://<Gateway-ip>/api/gatewayLogin 

eg:# curl -k --basic -u admin:hagsjfs https://xx.yy.uu.ii/api/gatewayLogin 
"YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw"

Krok 2) Ujistěte se, že jste přidali IP adresu MDM a název hostitele do /etc/hosts na serveru brány (IM).

Krok 3) Z výše uvedeného kroku je třeba použít token, který obdržíte. Získejte certifikáty MDM, které je třeba přidat:

# curl -k -u foo:<token> https://<Gateway-ip>/api/getHostCertificate/Mdm?host=<hostname_mentioned_in_/etc/hosts> > /tmp/mdmcert_<hostname>

eg:curl -k -u foo:YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw https://xx.yy.uu.ii/api/getHostCertificate/Mdm?host=Node1 > /tmp/Node1.crt

Krok 4) Nainstalujte certifikát do úložiště klíčů brány

# curl -k -u foo:<token> --form "file=@/tmp/mdmcert_<hostname>" https://<Gateway-ip>/api/trustHostCertificate/Mdm


eg:# curl -k -u foo:YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw --form "file=@/tmp/Node1.crt" https://xx.yy.uu.ii/api/trustHostCertificate/Mdm

Krok 5) Ujistěte se, že jsou vidět certifikáty. V aliasu, který vidíte, byste měli odkazovat na název CN, který by měl být jedinečný pro každý uzel. Níže uvedený příkaz je nutné spustit z brány.

# /usr/bin/keytool -list -keystore /opt/emc/scaleio/gateway/webapps/ROOT/WEB-INF/classes/certificates/truststore.jks  -storepass changeit| grep mdm -A1 

eg: 
# /usr/bin/keytool -list -keystore /opt/emc/scaleio/gateway/webapps/ROOT/WEB-INF/classes/certificates/truststore.jks  -storepass changeit| grep mdm -A1
ou=asd, o=emc, c=us, st=massachusetts, l=hopkinton, cn=node1, givenname=mdm, Feb 3, 2021, trustedCertEntry,
Certificate fingerprint (SHA1): C6:99:F2:8C:82:4A:25:44:36:AF:90:51:43:B9:27:98:7C:9D:F1:6C

Krok 6)Opakujte stejný postup pro přidání certifikátu MDM do úložišť klíčů brány v případě, že chybí.

Krok 7) Po přidání certifikátů MDM ze všech uzlů MDM restartujte démona brány

# service scaleio-gateway restart

Pokud byl certifikát změněn nebo chybí v úložišti klíčů brány, ve webovém prohlížeči brány se zobrazí následující chyba:

"Certifikát primárního MDM není schválen. Kliknutím sem zobrazíte podrobnosti o certifikátu.

Příkaz Openstack může selhat také v případě, že certifikáty MDM nejsou přidány do úložiště klíčů brány.

Brána (prostřednictvím webového prohlížeče) se vždy připojí k hlavnímu uzlu MDM za účelem ověření. Pokud brána (webový prohlížeč) zaznamená chybu certifikátu, bude to znamenat, že certifikát byl změněn v primárním uzlu MDM a je potřeba ho přidat do úložiště klíčů brány.
Brána nebude kontrolovat sekundární certifikáty MDM, dokud na ni nepřepneme cluster MDM.

Jiný způsob přidání certifikátů MDM do úložiště klíčů brány -

1) Přepněte cluster MDM na uzel MDM, na kterém byl certifikát nahrazen, nebo chybí certifikáty v úložišti klíčů brány. 
Přihlaste se k bráně Web prohlížeč, klikněte na kartu Maintain a vyberte "Retrieve System Topology". Zobrazí se níže uvedená obrazovka, kde můžete vybrat možnost "click here" a schválit certifikát MDM, když se ujistíte, že název CN je jiný.
Tento postup vyžaduje přepnutí clusteru MDM.

2) Přeneste certifikát MDM do uzlu brány a poté pomocí příkazu Keytool začleňte tyto certifikáty do úložiště klíčů brány. Po přidání certifikátů ze všech uzlů MDM je nutné restartovat démona brány.