PowerFlex: Cómo agregar y aprobar certificados de MDM en la gateway a través de la API REST

A continuación, se muestra el acrónimo utilizado en el comando proporcionado a continuación para agregar el certificado de MDM. Reemplácelos según su entorno.

<mdm-password>: contraseña de MDM para iniciar sesión en Scaleio
<Gateway-ip>: IP de puerta de enlace que se utiliza para conectarse a través de la API
<REST token>: el token que recibió del paso 1
<nombre de host>: reemplácelo por nombre de host (asegúrese de tener un nombre de host diferente para cada MDM)<hostname_mentioned en /etc/hosts>: el nombre de host de MDM mencionado en /etc/hosts


En los siguientes pasos, se incluye un ejemplo para su referencia, donde 192.168.2.126 es el gateway y Node1 es uno de los nodos de MDM para los cuales se deben agregar los certificados de MDM al gateway.
Puede ejecutar este comando desde cualquier host que tenga curl instalado y tenga conectividad con el gateway.
No es necesario
reiniciar el demonio de gateway. Puede comprobar los certificados de MDM disponibles en el almacén de claves de gateway mediante el comando proporcionado en el paso 5 a continuación.

Paso 1) Obtener el token

# curl -k --basic -u admin:<mdm-password> https://<Gateway-ip>/api/gatewayLogin 

eg:# curl -k --basic -u admin:hagsjfs https://xx.yy.uu.ii/api/gatewayLogin 
"YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw"

Paso 2) Asegúrese de agregar la dirección IP y el nombre de host del MDM en /etc/hosts en el servidor de Gateway (IM).

Paso 3) A partir del paso anterior, se debe usar el token que recibe. Obtenga los certificados de los MDM que se deben agregar:

# curl -k -u foo:<token> https://<Gateway-ip>/api/getHostCertificate/Mdm?host=<hostname_mentioned_in_/etc/hosts> > /tmp/mdmcert_<hostname>

eg:curl -k -u foo:YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw https://xx.yy.uu.ii/api/getHostCertificate/Mdm?host=Node1 > /tmp/Node1.crt

Paso 4) Instale el certificado en el almacén de claves del gateway

# curl -k -u foo:<token> --form "file=@/tmp/mdmcert_<hostname>" https://<Gateway-ip>/api/trustHostCertificate/Mdm


eg:# curl -k -u foo:YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw --form "file=@/tmp/Node1.crt" https://xx.yy.uu.ii/api/trustHostCertificate/Mdm

Paso 5) Asegúrese de que se vean los certificados. En el alias que ve, debe hacer referencia al nombre CN, que debe ser único para cada nodo. El siguiente comando se debe ejecutar desde el gateway.

# /usr/bin/keytool -list -keystore /opt/emc/scaleio/gateway/webapps/ROOT/WEB-INF/classes/certificates/truststore.jks  -storepass changeit| grep mdm -A1 

eg: 
# /usr/bin/keytool -list -keystore /opt/emc/scaleio/gateway/webapps/ROOT/WEB-INF/classes/certificates/truststore.jks  -storepass changeit| grep mdm -A1
ou=asd, o=emc, c=us, st=massachusetts, l=hopkinton, cn=node1, givenname=mdm, Feb 3, 2021, trustedCertEntry,
Certificate fingerprint (SHA1): C6:99:F2:8C:82:4A:25:44:36:AF:90:51:43:B9:27:98:7C:9D:F1:6C

Paso 6) Repita el mismo procedimiento para agregar el certificado de MDM a los almacenes de claves de gateway en caso de que falte.

Paso 7) Reinicie el demonio de gateway una vez que se agreguen los certificados de MDM desde todos los nodos de MDM

# service scaleio-gateway restart

Veremos el siguiente error en Gateway WebBrowser cuando el certificado se cambiara o faltara en el almacén de claves de gateway:

"El certificado del MDM principal no está aprobado. Haga clic aquí para ver los detalles del certificado"

El comando Openstack también puede fallar cuando los certificados de MDM no se agregan al almacenamiento de claves del gateway.

La puerta de enlace (a través del navegador web) siempre se conectará con el MDM maestro para la autenticación. Si el gateway (navegador web) registra un error de certificado, esto significa que el certificado se cambió en el MDM principal y debe agregarse al almacenamiento de claves del gateway.
El gateway no buscará certificados de MDM secundarios, a menos que cambiemos al clúster de MDM.

Otro método para agregar los certificados de MDM al almacén

de claves de gateway: 1) Cambie el clúster de MDM al nodo de MDM en el que se reemplazó el certificado o faltan los certificados en el almacén de claves de gateway. 
Inicie sesión en el navegador web de Gateway, haga clic en la pestaña Maintain y seleccione "Retrieve System Topology". Verá la siguiente pantalla donde puede seleccionar "haga clic aquí" y aprobar el certificado de MDM después de asegurarse de que el nombre de CN sea diferente.
Este procedimiento requiere que cambie el clúster de MDM.

2) Transfiera el certificado de la MDM al nodo de la gateway y, a continuación, utilice el comando Keytool para incorporar estos certificados al almacén de claves de la gateway. Después de agregar los certificados de todos los nodos de MDM, debe reiniciar el demonio de gateway.