PowerFlex: Så här lägger du till och godkänner MDM-certifikat på Gateway via RESTAPI
Summary: När MDM-noden byts ut eller läggs till använder du följande RestAPI-procedur för att lägga till certifikaten i gateway-nyckelbehållaren
Instructions
Nedan finns akronymen som används i kommandot nedan för att lägga till MDM-certifikatet. Byt ut dem i din miljö.
<mdm-password> – MDM-lösenord för att logga in på Scaleio
<Gateway-ip> – Gateway-IP som används för att ansluta via restapi-token
<> – Den token som du fick från steg 1
<värdnamn> – ersätt med värdnamn (se till att du har olika värdnamn för varje MDM)<hostname_mentioned i /etc/hosts>– MDM-värdnamnet som anges i /etc/hosts
Följande steg innehåller ett exempel för din referens där 192.168.2.126 är gatewayen och Node1 är en av de MDM-noder för vilka MDM-certifikaten måste läggas till i gatewayen.
Du kan köra det här kommandot från valfri värd som har curl installerat och har anslutning till gatewayen.
Du behöver inte
starta om Gateway-daemonen Du kan kontrollera tillgängliga MDM-certifikat i Gateway-nyckelbehållaren via kommandot i steg 5 nedan.
Steg 1) Hämta token
# curl -k --basic -u admin:<mdm-password> https://<Gateway-ip>/api/gatewayLogin eg:# curl -k --basic -u admin:hagsjfs https://xx.yy.uu.ii/api/gatewayLogin "YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw"
Steg 2) Se till att du lägger till MDM-IP-adressen och värdnamnet i /etc/hosts på Gateway-servern
(IM).Steg 3) Från ovanstående steg måste den token du får användas. Hämta certifikaten för MDM: erna som måste läggas till:
# curl -k -u foo:<token> https://<Gateway-ip>/api/getHostCertificate/Mdm?host=<hostname_mentioned_in_/etc/hosts> > /tmp/mdmcert_<hostname> eg:curl -k -u foo:YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw https://xx.yy.uu.ii/api/getHostCertificate/Mdm?host=Node1 > /tmp/Node1.crt
Steg 4) Installera certifikatet i gateway-nyckelbehållaren
# curl -k -u foo:<token> --form "file=@/tmp/mdmcert_<hostname>" https://<Gateway-ip>/api/trustHostCertificate/Mdm eg:# curl -k -u foo:YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw --form "file=@/tmp/Node1.crt" https://xx.yy.uu.ii/api/trustHostCertificate/Mdm
Steg 5) Se till att certifikaten visas. I aliaset som visas bör du referera till CN-namnet som ska vara unikt för varje nod. Kommandot nedan måste köras från gatewayen.
# /usr/bin/keytool -list -keystore /opt/emc/scaleio/gateway/webapps/ROOT/WEB-INF/classes/certificates/truststore.jks -storepass changeit| grep mdm -A1 eg: # /usr/bin/keytool -list -keystore /opt/emc/scaleio/gateway/webapps/ROOT/WEB-INF/classes/certificates/truststore.jks -storepass changeit| grep mdm -A1 ou=asd, o=emc, c=us, st=massachusetts, l=hopkinton, cn=node1, givenname=mdm, Feb 3, 2021, trustedCertEntry, Certificate fingerprint (SHA1): C6:99:F2:8C:82:4A:25:44:36:AF:90:51:43:B9:27:98:7C:9D:F1:6C
Steg 6)Upprepa samma procedur för att lägga till MDM-certifikatet i Gateway Keystores om det saknas.
Steg 7)Starta om Gateway Daemon när MDM-certifikat har lagts till från alla MDM-noder
# service scaleio-gateway restart
Additional Information
Följande fel visas i Gateway-webbläsaren när certifikatet har ändrats eller saknas i gateway-nyckelbehållaren –
"Det primära MDM-certifikatet är inte godkänt. Klicka här för att se information om certifikatet"
Openstack-kommandot kan också misslyckas när MDM-certifikaten inte läggs till i gateway-nyckelbehållaren.
Gateway (via Web-Browser) kommer alltid att ansluta till Master MDM för autentisering. Om Gateway (webbläsare) loggar ett certifikatfel innebär det att certifikatet har ändrats på den primära MDM-enheten och måste läggas till i gatewayens nyckelbehållare.
Gatewayen söker inte efter sekundära MDM-certifikat om vi inte byter till MDM-kluster till den.
Annan metod för att lägga till MDM-certifikat i Gateway-nyckelbehållaren -
1) Växla MDM-kluster till den MDM-nod där certifikatet har ersatts eller där certifikaten saknas i Gateway-nyckelbehållaren.
Logga in på gateway-webbläsaren, klicka på fliken Underhåll och välj "Retrieve System Topology". Du skulle se skärmen nedan där du kan välja "klicka här" och godkänna MDM-certifikatet efter att ha säkerställt att CN-namnet är annorlunda.
Den här proceduren kräver att du byter MDM-kluster.
2) Överför MDM-certifikatet till Gateway-noden och använd sedan kommandot Keytool för att införliva dessa certifikat i Gateway-nyckelbehållaren. När du har lagt till certifikaten från alla MDM-noder måste du starta om gateway-daemonen.