PowerFlex : Comment ajouter et approuver des certificats MDM sur la passerelle via l’API REST
Summary: Lorsque le nœud MDM est remplacé ou ajouté, utilisez la procédure RestAPI suivante pour ajouter les certificats au magasin de clés de la passerelle
Instructions
Vous trouverez ci-dessous l’acronyme utilisé dans la commande fournie ci-dessous pour ajouter le certificat MDM. Veuillez les remplacer en fonction de votre environnement.
<mdm-password> : mot de passe MDM pour se connecter à Scaleio
<Gateway-ip> : adresse IP de la passerelle utilisée pour se connecter via restapi
<token> : jeton que vous avez reçu de l’étape 1
<Nom> d’hôte - Remplacez par hostname (assurez-vous d’avoir un nom d’hôte différent pour chaque MDM)
<hostname_mentioned dans /etc/hosts>: le nom d’hôte MDM mentionné dans /etc/hosts
Les étapes suivantes incluent, à titre de référence, un exemple où 192.168.2.126 est la passerelle et Node1 est l’un des nœuds MDM pour lesquels les certificats MDM doivent être ajoutés à la passerelle.
Vous pouvez exécuter cette commande à partir de n’importe quel hôte sur lequel curl est installé et dispose d’une connectivité à la passerelle.
Le redémarrage du processus de la passerelle n’est pas nécessaire
. Vous pouvez vérifier les certificats MDM disponibles dans le magasin de clés de la passerelle à l’aide de la commande fournie à l’étape 5 ci-dessous.
Étape 1) Obtenir le jeton
# curl -k --basic -u admin:<mdm-password> https://<Gateway-ip>/api/gatewayLogin eg:# curl -k --basic -u admin:hagsjfs https://xx.yy.uu.ii/api/gatewayLogin "YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw"
Étape 2) Assurez-vous d’ajouter l’adresse IP MDM et le nom d’hôte dans /etc/hosts sur le serveur Gateway (IM).
Étape 3) À partir de l’étape ci-dessus, le jeton que vous recevez doit être utilisé. Récupérez les certificats des MDM qui doivent être ajoutés :
# curl -k -u foo:<token> https://<Gateway-ip>/api/getHostCertificate/Mdm?host=<hostname_mentioned_in_/etc/hosts> > /tmp/mdmcert_<hostname> eg:curl -k -u foo:YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw https://xx.yy.uu.ii/api/getHostCertificate/Mdm?host=Node1 > /tmp/Node1.crt
Étape 4) Installer le certificat dans le magasin de clés de la passerelle
# curl -k -u foo:<token> --form "file=@/tmp/mdmcert_<hostname>" https://<Gateway-ip>/api/trustHostCertificate/Mdm eg:# curl -k -u foo:YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw --form "file=@/tmp/Node1.crt" https://xx.yy.uu.ii/api/trustHostCertificate/Mdm
Étape 5) Assurez-vous que les certificats sont visibles. Dans l’alias que vous voyez, vous devez faire référence au nom CN qui doit être unique pour chaque nœud. La commande ci-dessous doit être exécutée à partir de la passerelle.
# /usr/bin/keytool -list -keystore /opt/emc/scaleio/gateway/webapps/ROOT/WEB-INF/classes/certificates/truststore.jks -storepass changeit| grep mdm -A1 eg: # /usr/bin/keytool -list -keystore /opt/emc/scaleio/gateway/webapps/ROOT/WEB-INF/classes/certificates/truststore.jks -storepass changeit| grep mdm -A1 ou=asd, o=emc, c=us, st=massachusetts, l=hopkinton, cn=node1, givenname=mdm, Feb 3, 2021, trustedCertEntry, Certificate fingerprint (SHA1): C6:99:F2:8C:82:4A:25:44:36:AF:90:51:43:B9:27:98:7C:9D:F1:6C
Étape 6) Répétez la même procédure pour ajouter le certificat MDM aux magasins de clés de la passerelle en cas d’absence.
Étape 7) Redémarrez le processus de passerelle une fois que les certificats MDM sont ajoutés à partir de tous les nœuds MDM
# service scaleio-gateway restart
Additional Information
L’erreur suivante s’affiche sur le navigateur Web de la passerelle lorsque le certificat est modifié ou manquant dans le magasin de clés de la passerelle :
« Le certificat du MDM principal n’est pas approuvé. Cliquez ici pour voir les détails du certificat"
La commande Openstack peut également échouer lorsque les certificats MDM ne sont pas ajoutés au magasin de clés de la passerelle.
La passerelle (via un navigateur Web) se connectera toujours au MDM maître pour l’authentification. Si la passerelle (navigateur Web) consigne une erreur de certificat, cela signifie que le certificat a été modifié sur le MDM principal et qu’il doit être ajouté au magasin de clés de la passerelle.
La passerelle ne vérifie pas les certificats MDM secondaires à moins que nous ne basculions vers le cluster MDM.
Autre méthode d’ajout des certificats MDM au magasin de clés de la passerelle : 1
) basculez le cluster MDM vers le nœud MDM sur lequel le certificat a été remplacé ou les certificats sont manquants dans le magasin de clés de la passerelle.
Connectez-vous au navigateur Web de la passerelle, cliquez sur l’onglet Maintain et sélectionnez « Retrieve System Topology ». L’écran ci-dessous vous permet de sélectionner « click here » et d’approuver le certificat MDM après avoir vérifié que le nom CN est différent.
Cette procédure nécessite de changer de cluster MDM.
2) Transférez le certificat MDM vers le nœud Gateway, puis utilisez la commande Keytool pour incorporer ces certificats dans le magasin de clés Gateway. Après avoir ajouté les certificats de tous les nœuds MDM, vous devez redémarrer le processus de passerelle.