PowerFlex: Jak dodawać i zatwierdzać certyfikaty MDM w bramce za pośrednictwem RESTAPI

Poniżej znajduje się akronim użyty w podanym poniżej poleceniu służącym do dodawania certyfikatu MDM. Wymień je w zależności od środowiska.

<mdm-password> - hasło MDM do logowania się do Scaleio
<Gateway-ip> - Adres IP bramy używany do łączenia się za pośrednictwemtokenu> restapi<
- Token otrzymany z kroku 1<nazwa_hosta> - zamień na nazwę hosta (Upewnij się, że masz inną nazwę hosta dla każdego MDM)
<hostname_mentioned w /etc/hosts>- nazwa hosta MDM wymieniona w /etc/hosts


Poniższe kroki zawierają przykład referencyjny, w którym 192.168.2.126 jest bramą, a Węzeł1 jest jednym z węzłów MDM, dla których należy dodać certyfikaty MDM do bramy.
To polecenie można uruchomić z dowolnego hosta, który ma zainstalowaną pracę curl i połączenie z bramą.
Ponowne uruchomienie demona bramy nie jest wymagane
Możesz sprawdzić dostępne certyfikaty MDM w magazynie kluczy bramy za pomocą polecenia podanego w kroku 5 poniżej.

Krok 1) Uzyskaj token

# curl -k --basic -u admin:<mdm-password> https://<Gateway-ip>/api/gatewayLogin 

eg:# curl -k --basic -u admin:hagsjfs https://xx.yy.uu.ii/api/gatewayLogin 
"YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw"

Krok 2) Upewnij się, że dodajesz adres IP i nazwę hosta MDM w /etc/hosts na serwerze

bramy (IM).Krok 3) Z powyższego kroku należy użyć otrzymanego tokena. Uzyskaj certyfikaty MDM, które należy dodać:

# curl -k -u foo:<token> https://<Gateway-ip>/api/getHostCertificate/Mdm?host=<hostname_mentioned_in_/etc/hosts> > /tmp/mdmcert_<hostname>

eg:curl -k -u foo:YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw https://xx.yy.uu.ii/api/getHostCertificate/Mdm?host=Node1 > /tmp/Node1.crt

Krok 4) Zainstaluj certyfikat w magazynie kluczy bramy.

# curl -k -u foo:<token> --form "file=@/tmp/mdmcert_<hostname>" https://<Gateway-ip>/api/trustHostCertificate/Mdm


eg:# curl -k -u foo:YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw --form "file=@/tmp/Node1.crt" https://xx.yy.uu.ii/api/trustHostCertificate/Mdm

Krok 5) Upewnij się, że certyfikaty są widoczne. W aliasie, który widzisz, powinieneś odwołać się do nazwy CN, która powinna być unikatowa dla każdego węzła. Poniższe polecenie należy uruchomić z poziomu bramy.

# /usr/bin/keytool -list -keystore /opt/emc/scaleio/gateway/webapps/ROOT/WEB-INF/classes/certificates/truststore.jks  -storepass changeit| grep mdm -A1 

eg: 
# /usr/bin/keytool -list -keystore /opt/emc/scaleio/gateway/webapps/ROOT/WEB-INF/classes/certificates/truststore.jks  -storepass changeit| grep mdm -A1
ou=asd, o=emc, c=us, st=massachusetts, l=hopkinton, cn=node1, givenname=mdm, Feb 3, 2021, trustedCertEntry,
Certificate fingerprint (SHA1): C6:99:F2:8C:82:4A:25:44:36:AF:90:51:43:B9:27:98:7C:9D:F1:6C

Krok 6) Powtórz tę samą procedurę, aby dodać certyfikat MDM do magazynów kluczy bramy w przypadku braku certyfikatu.

Krok 7) Uruchom ponownie demona bramy po dodaniu certyfikatów MDM ze wszystkich węzłów MDM

# service scaleio-gateway restart

W przeglądarce internetowej bramy zostanie wyświetlony następujący błąd, gdy certyfikat zostanie zmieniony lub nie będzie go w magazynie kluczy bramy:

"Podstawowy certyfikat MDM jest niezatwierdzony. Kliknij tutaj, aby zobaczyć szczegóły certyfikatu"

Polecenie Openstack może również zakończyć się niepowodzeniem, jeśli certyfikaty MDM nie zostaną dodane do magazynu kluczy bramy.

Brama (przez przeglądarkę internetową) zawsze łączy się z głównym MDM w celu uwierzytelnienia. Jeśli brama (przeglądarka internetowa) zarejestruje błąd certyfikatu, będzie to oznaczać, że certyfikat został zmieniony w podstawowym MDM i musi zostać dodany do magazynu kluczy bramy.
Brama nie będzie sprawdzać dodatkowych certyfikatów MDM, chyba że przełączymy się na klaster MDM.

Inna metoda dodawania certyfikatów MDM do magazynu kluczy bramy —

1) Przełącz klaster MDM na węzeł MDM, w którym certyfikat został zastąpiony lub brakuje certyfikatów w magazynie kluczy bramy. 
Zaloguj się do przeglądarki internetowej bramki, kliknij kartę Maintain i wybierz opcję "Retrieve System Topology". Zostanie wyświetlony poniższy ekran, na którym można wybrać opcję "kliknij tutaj" i zatwierdzić certyfikat MDM po upewnieniu się, że nazwa CN jest inna.
Ta procedura wymaga przełączenia klastra MDM.

2) Przenieś certyfikat MDM do węzła bramy, a następnie użyj polecenia Keytool, aby dołączyć te certyfikaty do magazynu kluczy bramy. Po dodaniu certyfikatów ze wszystkich węzłów MDM należy ponownie uruchomić demona bramy.