PowerFlex: Como adicionar e aprovar certificados MDM no gateway via API REST

Abaixo está o acrônimo usado no comando fornecido abaixo para adicionar o certificado MDM. Substitua-os de acordo com seu ambiente.

<mdm-password> - Senha do MDM para fazer login no Scaleio
<Gateway-ip> - IP do gateway sendo usado para conexão viatoken> restapi<
— O token que você recebeu da etapa 1<hostname> — substitua por hostname (verifique se você tem um nome de host diferente para cada MDM)
<hostname_mentioned em /etc/hosts>— o hostname do MDM mencionado em /etc/hosts


As etapas a seguir incluem um exemplo para sua referência em que 192.168.2.126 é o gateway e o Nó 1 é um dos nós do MDM para os quais os certificados do MDM precisam ser adicionados ao gateway.
Você pode executar esse comando de qualquer host que tenha curl instalado e conectividade com o gateway.
Não é necessário
reinicializar o daemon do gateway Você pode verificar os certificados MDM disponíveis no repositório de chaves do gateway por meio do comando fornecido na Etapa 5 abaixo.

Etapa 1) Obter o token

# curl -k --basic -u admin:<mdm-password> https://<Gateway-ip>/api/gatewayLogin 

eg:# curl -k --basic -u admin:hagsjfs https://xx.yy.uu.ii/api/gatewayLogin 
"YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw"

Etapa 2) Certifique-se de adicionar o endereço IP e o nome do host do MDM em /etc/hosts no servidor Gateway (IM).

Passo 3) A partir do passo acima, o token que você recebe precisa ser usado. Obtenha os certificados dos MDMs que precisam ser adicionados:

# curl -k -u foo:<token> https://<Gateway-ip>/api/getHostCertificate/Mdm?host=<hostname_mentioned_in_/etc/hosts> > /tmp/mdmcert_<hostname>

eg:curl -k -u foo:YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw https://xx.yy.uu.ii/api/getHostCertificate/Mdm?host=Node1 > /tmp/Node1.crt

Etapa 4) Instalar o certificado no repositório de chaves do gateway

# curl -k -u foo:<token> --form "file=@/tmp/mdmcert_<hostname>" https://<Gateway-ip>/api/trustHostCertificate/Mdm


eg:# curl -k -u foo:YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw --form "file=@/tmp/Node1.crt" https://xx.yy.uu.ii/api/trustHostCertificate/Mdm

Etapa 5) Certifique-se de que os certificados sejam vistos. No alias que você vê, você deve consultar o nome CN, que deve ser exclusivo para cada nó. O comando abaixo precisa ser executado a partir do gateway.

# /usr/bin/keytool -list -keystore /opt/emc/scaleio/gateway/webapps/ROOT/WEB-INF/classes/certificates/truststore.jks  -storepass changeit| grep mdm -A1 

eg: 
# /usr/bin/keytool -list -keystore /opt/emc/scaleio/gateway/webapps/ROOT/WEB-INF/classes/certificates/truststore.jks  -storepass changeit| grep mdm -A1
ou=asd, o=emc, c=us, st=massachusetts, l=hopkinton, cn=node1, givenname=mdm, Feb 3, 2021, trustedCertEntry,
Certificate fingerprint (SHA1): C6:99:F2:8C:82:4A:25:44:36:AF:90:51:43:B9:27:98:7C:9D:F1:6C

Etapa 6) Repita o mesmo procedimento para adicionar o certificado MDM aos keystores do gateway em caso de falta.

Etapa 7) Reinicie o daemon do gateway assim que os certificados MDM forem adicionados de todos os nós do MDM

# service scaleio-gateway restart

Nós veríamos o seguinte erro no Gateway WebBrowser quando o certificado fosse alterado ou ausente no keystore do gateway -

"O certificado do MDM primário não foi aprovado. Clique aqui para ver os detalhes do certificado"

O comando openstack também poderá falhar quando os certificados MDM não forem adicionados ao keystore do gateway.

O gateway (via navegador da Web) sempre se conectará ao MDM principal para autenticação. Se o gateway (navegador da Web) registrar um erro de certificado, isso significará que o certificado foi alterado no MDM primário e precisa ser adicionado ao armazenamento de chaves do gateway.
O gateway não verificará se há certificados MDM secundários, a menos que mudemos para o cluster do MDM para ele.

Outro método de adicionar os certificados MDM ao keystore do gateway -

1) Alterne o cluster MDM para o nó MDM no qual o certificado foi substituído ou os certificados estão ausentes no armazenamento de chaves do gateway. 
Faça login no navegador da Web do gateway, clique na guia Maintain e selecione "Retrieve System Topology". Você verá a tela abaixo, onde você pode selecionar "clique aqui" e aprovar o certificado MDM depois de garantir que o nome do CN é diferente.
Este procedimento exige que você alterne o cluster MDM.

2) Transfira o certificado MDM para o nó do gateway e, em seguida, use o comando Keytool para incorporar esses certificados ao armazenamento de chaves do gateway. Depois de adicionar os certificados de todos os nós do MDM, você precisa reiniciar o daemon do gateway.