PowerFlex: Hinzufügen und Genehmigen von MDM-Zertifikaten auf dem Gateway über RESTAPI

Im Folgenden finden Sie das Akronym, das im folgenden Befehl zum Hinzufügen des MDM-Zertifikats verwendet wird. Bitte ersetzen Sie sie gemäß Ihrer Umgebung.

<mdm-password> - MDM-Passwort zum Anmelden bei Scaleio
<Gateway-ip> - Gateway-IP, die für die Verbindung über restapi
<verwendet wird token> - Das Token, das Sie von Schritt 1
<erhalten haben hostname> - ersetzen Sie es durch hostname (Stellen Sie sicher, dass Sie für jeden MDM einen anderen Hostnamen haben)
<hostname_mentioned in /etc/hosts>- der MDM-Hostname, der in /etc/hosts

erwähnt wirdDie folgenden Schritte enthalten Beispiele als Referenz, bei denen 192.168.2.126 das Gateway und Node1 einer der MDM-Nodes ist, für die die MDM-Zertifikate zum Gateway hinzugefügt werden müssen.
Sie können diesen Befehl von jedem Host aus ausführen, auf dem Curl installiert ist und der über eine Verbindung zum Gateway verfügt.
Ein Neustart des Gateway-Daemon ist nicht erforderlich
. Sie können die verfügbaren MDM-Zertifikate im Gateway-Keystore über den in Schritt 5 unten bereitgestellten Befehl überprüfen.

Schritt 1) Abrufen des Tokens

# curl -k --basic -u admin:<mdm-password> https://<Gateway-ip>/api/gatewayLogin 

eg:# curl -k --basic -u admin:hagsjfs https://xx.yy.uu.ii/api/gatewayLogin 
"YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw"

Schritt 2) Stellen Sie sicher, dass Sie die MDM-IP-Adresse und den Hostnamen in /etc/hosts auf dem Gateway(IM)-Server hinzufügen.

Schritt 3) Ab dem obigen Schritt muss das Token, das Sie erhalten, verwendet werden. Holen Sie sich die Zertifikate der MDMs, die hinzugefügt werden müssen:

# curl -k -u foo:<token> https://<Gateway-ip>/api/getHostCertificate/Mdm?host=<hostname_mentioned_in_/etc/hosts> > /tmp/mdmcert_<hostname>

eg:curl -k -u foo:YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw https://xx.yy.uu.ii/api/getHostCertificate/Mdm?host=Node1 > /tmp/Node1.crt

Schritt 4) Installieren des Zertifikats im Gateway-Keystore

# curl -k -u foo:<token> --form "file=@/tmp/mdmcert_<hostname>" https://<Gateway-ip>/api/trustHostCertificate/Mdm


eg:# curl -k -u foo:YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw --form "file=@/tmp/Node1.crt" https://xx.yy.uu.ii/api/trustHostCertificate/Mdm

Schritt 5) Stellen Sie sicher, dass die Zertifikate angezeigt werden. Im Alias, den Sie sehen, sollten Sie auf den CN-Namen verweisen, der für jeden Node eindeutig sein sollte. Der folgende Befehl muss über das Gateway ausgeführt werden.

# /usr/bin/keytool -list -keystore /opt/emc/scaleio/gateway/webapps/ROOT/WEB-INF/classes/certificates/truststore.jks  -storepass changeit| grep mdm -A1 

eg: 
# /usr/bin/keytool -list -keystore /opt/emc/scaleio/gateway/webapps/ROOT/WEB-INF/classes/certificates/truststore.jks  -storepass changeit| grep mdm -A1
ou=asd, o=emc, c=us, st=massachusetts, l=hopkinton, cn=node1, givenname=mdm, Feb 3, 2021, trustedCertEntry,
Certificate fingerprint (SHA1): C6:99:F2:8C:82:4A:25:44:36:AF:90:51:43:B9:27:98:7C:9D:F1:6C

Schritt 6)Wiederholen Sie den gleichen Vorgang, um das MDM-Zertifikat zu Gateway Keystores hinzuzufügen, falls es fehlt.

Schritt 7)Starten Sie den Gateway-Daemon neu, sobald MDM-Zertifikate von allen MDM-Nodes hinzugefügt wurden

# service scaleio-gateway restart

Im Gateway-Webbrowser wird der folgende Fehler angezeigt, wenn das Zertifikat geändert wurde oder im Gateway-Keystore fehlt:

"Das Zertifikat des primären MDM ist nicht genehmigt. Klicken Sie hier, um die Zertifikatdetails anzuzeigen."

Der Openstack-Befehl kann auch fehlschlagen, wenn die MDM-Zertifikate nicht zum Gateway-Keystore hinzugefügt werden.

Das Gateway (über den Webbrowser) stellt zur Authentifizierung immer eine Verbindung mit dem Master-MDM her. Wenn Gateway (Webbrowser) einen Zertifikatfehler protokolliert, bedeutet dies, dass das Zertifikat auf dem primären MDM geändert wurde und zum Gateway-Keystore hinzugefügt werden muss.
Das Gateway sucht nur dann nach sekundären MDM-Zertifikaten, wenn wir zum MDM-Cluster wechseln.

Andere Methode zum Hinzufügen der MDM-Zertifikate zum Gateway-Keystore: 1) Wechseln Sie den MDM-Cluster auf den MDM-Node

, auf dem das Zertifikat ersetzt wurde oder die Zertifikate im Gateway-Keystore fehlen. 
Melden Sie sich beim Gateway-Webbrowser an, klicken Sie auf "Maintain Tab" und wählen Sie "Retrieve System Topology" aus. Sie sehen den folgenden Bildschirm, auf dem Sie "Hier klicken" auswählen und das MDM-Zertifikat genehmigen können, nachdem Sie sichergestellt haben, dass sich der CN-Name unterscheidet.
Für dieses Verfahren müssen Sie das MDM-Cluster wechseln.

2) Übertragen Sie das MDM-Zertifikat auf den Gateway-Node und verwenden Sie dann den Keytool-Befehl, um diese Zertifikate in den Gateway-Keystore einzubinden. Nachdem Sie die Zertifikate von allen MDM-Nodes hinzugefügt haben, müssen Sie den Gateway-Daemon neu starten.