PowerFlex: MDM-certificaten toevoegen en goedkeuren op Gateway via RESTAPI
Summary: Wanneer een MDM-knooppunt is vervangen of toegevoegd, gebruikt u de volgende RestAPI-procedure om de certificaten toe te voegen aan Gateway Keystore
Instructions
Hieronder vindt u het acroniem dat wordt gebruikt in de onderstaande opdracht om het MDM-certificaat toe te voegen. Vervang ze per uw omgeving.
<mdm-password> - MDM-wachtwoord om in te loggen op Scaleio<Gateway-ip> - Gateway-IP wordt gebruikt om verbinding te maken via restapi-token
<> - Het token dat u hebt ontvangen van stap 1
<hostnaam> - vervang door hostnaam (zorg ervoor dat u voor elke MDM een andere hostnaam hebt)
<hostname_mentioned in /etc/hosts>- de MDM-hostnaam die wordt vermeld in /etc/hosts
De volgende stappen bevatten een voorbeeld ter referentie waarbij 192.168.2.126 de gateway is en knooppunt1 een van de MDM-knooppunten waarvoor de MDM-certificaten aan de gateway moeten worden toegevoegd.
U kunt deze opdracht uitvoeren vanaf elke host waarop curl is geïnstalleerd en verbinding heeft met de gateway.
Opnieuw opstarten van de Gateway-daemon is niet vereist
U kunt de beschikbare MDM-certificaten in Gateway Keystore controleren via de opdracht in stap 5 hieronder.
Stap 1) Verkrijg het token
# curl -k --basic -u admin:<mdm-password> https://<Gateway-ip>/api/gatewayLogin eg:# curl -k --basic -u admin:hagsjfs https://xx.yy.uu.ii/api/gatewayLogin "YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw"
Stap 2) Zorg ervoor dat u het MDM IP-adres en de hostnaam toevoegt in /etc/hosts op de Gateway(IM)-server.
Stap 3) Vanaf de bovenstaande stap moet het token dat u ontvangt worden gebruikt. Haal de certificaten op van de MDM's die moeten worden toegevoegd:
# curl -k -u foo:<token> https://<Gateway-ip>/api/getHostCertificate/Mdm?host=<hostname_mentioned_in_/etc/hosts> > /tmp/mdmcert_<hostname> eg:curl -k -u foo:YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw https://xx.yy.uu.ii/api/getHostCertificate/Mdm?host=Node1 > /tmp/Node1.crt
Stap 4) Installeer het certificaat in gateway keystore
# curl -k -u foo:<token> --form "file=@/tmp/mdmcert_<hostname>" https://<Gateway-ip>/api/trustHostCertificate/Mdm eg:# curl -k -u foo:YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw --form "file=@/tmp/Node1.crt" https://xx.yy.uu.ii/api/trustHostCertificate/Mdm
Stap 5) Zorg ervoor dat de certificaten zichtbaar zijn. In de alias die u ziet, moet u verwijzen naar de CN-naam die uniek moet zijn voor elk knooppunt. De onderstaande opdracht moet worden uitgevoerd vanaf de gateway.
# /usr/bin/keytool -list -keystore /opt/emc/scaleio/gateway/webapps/ROOT/WEB-INF/classes/certificates/truststore.jks -storepass changeit| grep mdm -A1 eg: # /usr/bin/keytool -list -keystore /opt/emc/scaleio/gateway/webapps/ROOT/WEB-INF/classes/certificates/truststore.jks -storepass changeit| grep mdm -A1 ou=asd, o=emc, c=us, st=massachusetts, l=hopkinton, cn=node1, givenname=mdm, Feb 3, 2021, trustedCertEntry, Certificate fingerprint (SHA1): C6:99:F2:8C:82:4A:25:44:36:AF:90:51:43:B9:27:98:7C:9D:F1:6C
Stap 6) Herhaal dezelfde procedure om het MDM-certificaat toe te voegen aan Gateway Keystores als het ontbreekt.
Stap 7) Start de Gateway Daemon opnieuw op zodra MDM-certificaten van alle MDM-knooppunten zijn toegevoegd
# service scaleio-gateway restart
Additional Information
We zouden de volgende fout zien in de Gateway WebBrowser wanneer het certificaat is gewijzigd of ontbreekt op Gateway Keystore -
"Het certificaat van de primaire MDM is niet goedgekeurd. Klik hier om de details van het certificaat te bekijken"
De openstack-opdracht kan ook mislukken wanneer de MDM-certificaten niet worden toegevoegd aan de Gateway Keystore.
De gateway (via een webbrowser) maakt altijd verbinding met de Master MDM voor authenticatie. Als de Gateway (webbrowser) een certificaatfout registreert, betekent dit dat het certificaat is gewijzigd in de primaire MDM en moet worden toegevoegd aan de gateway-keystore.
De gateway controleert niet op secundaire MDM-certificaten, tenzij we overschakelen naar een MDM-cluster.
Andere methode voor het toevoegen van de MDM-certificaten aan Gateway Keystore -
1) Schakel het MDM-cluster over naar het MDM-knooppunt waarop het certificaat is vervangen of de certificaten ontbreken in Gateway Keystore.
Meld u aan bij de gateway-webbrowser, klik op het tabblad Onderhouden en selecteer "Retrieve System Topology". U ziet dan het onderstaande scherm waarin u Klik hier kunt selecteren en het MDM-certificaat kunt goedkeuren nadat u ervoor hebt gezorgd dat de CN-naam anders is.
Voor deze procedure moet u overschakelen naar een ander MDM-cluster.
2) Breng het MDM-certificaat over naar het Gateway-knooppunt en gebruik vervolgens de opdracht Keytool om deze certificaten op te nemen in de Gateway-keystore. Nadat u de certificaten van alle MDM-knooppunten hebt toegevoegd, moet u de Gateway-daemon opnieuw opstarten.