PowerFlex: Slik legger du til og godkjenner MDM-sertifikater på Gateway via RESTAPI
Summary: Når MDM-noden erstattes eller legges til, bruker du følgende RestAPI-prosedyre for å legge til sertifikatene i gateway-nøkkellageret
Instructions
Nedenfor finner du forkortelsen som brukes i kommandoen nedenfor for å legge til MDM-sertifikatet. Bytt dem ut i henhold til miljøet ditt.
<mdm-passord> - MDM-passord for å logge på Scaleio
<Gateway-ip> - Gateway-IP som brukes til å koble til via restapi-token
<> - Tokenet du mottok fra trinn 1
<vertsnavn> - erstatt med vertsnavn (sørg for at du har forskjellige vertsnavn for hver MDM)
<hostname_mentioned i /etc/hosts>- MDM-vertsnavnet nevnt i /etc/hosts
Følgende trinn inkluderer eksempel for referansen der 192.168.2.126 er gatewayen og Node1 er en av MDM-nodene som MDM-sertifiseringene må legges til gatewayen for.
Du kan kjøre denne kommandoen fra en hvilken som helst vert som har curl installert og har tilkobling til gatewayen.
Det er ikke nødvendig
å starte gateway-bakgrunnsprosessen på nytt. Du kan sjekke de tilgjengelige MDM-sertifikatene i gateway-nøkkellageret via kommandoen i trinn 5 nedenfor.
Trinn 1) Hent tokenet
# curl -k --basic -u admin:<mdm-password> https://<Gateway-ip>/api/gatewayLogin eg:# curl -k --basic -u admin:hagsjfs https://xx.yy.uu.ii/api/gatewayLogin "YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw"
Trinn 2) Kontroller at du legger til MDM IP-adressen og vertsnavnet i /etc/hosts på Gateway (IM)-serveren.
Trinn 3) Fra trinnet ovenfor må tokenet du mottar brukes. Få sertifikatene til MDM-ene som må legges til:
# curl -k -u foo:<token> https://<Gateway-ip>/api/getHostCertificate/Mdm?host=<hostname_mentioned_in_/etc/hosts> > /tmp/mdmcert_<hostname> eg:curl -k -u foo:YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw https://xx.yy.uu.ii/api/getHostCertificate/Mdm?host=Node1 > /tmp/Node1.crt
Trinn 4) Installer sertifikatet i gateway-nøkkellageret
# curl -k -u foo:<token> --form "file=@/tmp/mdmcert_<hostname>" https://<Gateway-ip>/api/trustHostCertificate/Mdm eg:# curl -k -u foo:YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw --form "file=@/tmp/Node1.crt" https://xx.yy.uu.ii/api/trustHostCertificate/Mdm
Trinn 5) Forsikre deg om at certene blir sett. I aliaset du ser, bør du referere til CN-navnet som skal være unikt for hver node. Kommandoen nedenfor må kjøres fra gatewayen.
# /usr/bin/keytool -list -keystore /opt/emc/scaleio/gateway/webapps/ROOT/WEB-INF/classes/certificates/truststore.jks -storepass changeit| grep mdm -A1 eg: # /usr/bin/keytool -list -keystore /opt/emc/scaleio/gateway/webapps/ROOT/WEB-INF/classes/certificates/truststore.jks -storepass changeit| grep mdm -A1 ou=asd, o=emc, c=us, st=massachusetts, l=hopkinton, cn=node1, givenname=mdm, Feb 3, 2021, trustedCertEntry, Certificate fingerprint (SHA1): C6:99:F2:8C:82:4A:25:44:36:AF:90:51:43:B9:27:98:7C:9D:F1:6C
Trinn 6)Gjenta samme fremgangsmåte for å legge til MDM-sertifikatet i Gateway-nøkkellagre i tilfelle det mangler.
Trinn 7)Start gateway-bakgrunnsprosessen på nytt når MDM-sertifiseringer er lagt til fra alle MDM-nodene
# service scaleio-gateway restart
Additional Information
Vi vil se følgende feil på Gateway WebBrowser når sertifikatet ble endret eller mangler på gateway keystore -
"Det primære MDM-sertifikatet er ikke godkjent. Klikk her for å se sertifikatdetaljene"
Openstack-kommandoen kan også mislykkes når MDM-sertifikatene ikke legges til i gateway-nøkkellageret.
Gateway (via nettleser) vil alltid koble til hoved-MDM for godkjenning. Hvis gateway (webleser) logger en sertifikatfeil, betyr dette at sertifikatet ble endret på primær MDM og må legges til gatewaynøkkellageret.
Gatewayen ser ikke etter sekundære MDM-sertifikater med mindre vi bytter til MDM-klynge til den.
En annen metode for å legge til MDM-sertifikater i gateway-nøkkellageret -
1) Bytt MDM-klynge til MDM-noden der sertifikatet er erstattet eller certene mangler på gateway-nøkkellageret.
Logg på Gateway-nettleseren, klikk på fanen Vedlikehold og velg "Hent systemtopologi". Du vil se skjermbildet nedenfor der du kan velge "klikk her" og godkjenne MDM-sertifikatet etter å ha forsikret deg om at CN-navnet er annerledes.
Denne fremgangsmåten krever at du bytter MDM-klynge.
2) Overfør MDM-sertifikatet til gateway-noden, og bruk deretter kommandoen Keytool til å innlemme disse sertifikatene i gateway-nøkkellageret. Etter at du har lagt til sertifikatene fra alle MDM-noder, må du starte gateway-demonen på nytt.