PowerFlex: Як додати та затвердити MDM-сертифікати на Gateway через RESTAPI
Summary: Коли вузол MDM замінюється або додається, використовуйте наступну процедуру RestAPI для додавання сертифікатів до сховища ключів Gateway
Instructions
Нижче наведено абревіатуру, яка використовується в команді, наведеній нижче для додавання сертифіката MDM. Будь ласка, замініть їх відповідно до вашого середовища.
<mdm-password> - пароль MDM для входу вScaleio<Gateway-ip> - IP-адреса шлюзу, що використовується для підключення через restapi
<>token - Токен, який ви отримали з початкового
<ім'я> хосту - замініть на ім'я хоста (переконайтеся, що для кожного MDM
є різне ім'я хоста hostname_mentioned у /etc/hosts> - ім'я MDM, згадане в /etc/hosts<
Наступні кроки містять приклад для вашого довідки, де 192.168.2.126 — це шлюз, а вузол 1 — один із вузлів MDM, для яких потрібно додати сертифікати MDM до шлюзу
.Ви можете виконати цю команду з будь-якого хоста, який має встановлений curl і має підключення до Gateway.
Перезавантаження демона Gateway не є обов'язковим
. Ви можете перевірити доступні сертифікати MDM у Gateway keystore за допомогою команди, наведеної у кроці 5 нижче.
Крок 1) Отримати жетон
# curl -k --basic -u admin:<mdm-password> https://<Gateway-ip>/api/gatewayLogin eg:# curl -k --basic -u admin:hagsjfs https://xx.yy.uu.ii/api/gatewayLogin "YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw"
Крок 2) Переконайтеся, що ви додали MDM IP-адресу та ім'я хоста в /etc/hosts на сервері Gateway(IM).
Крок 3) З наведеного вище кроку потрібно використати отриманий токен. Отримайте сертифікати MDM, які потрібно додати:
# curl -k -u foo:<token> https://<Gateway-ip>/api/getHostCertificate/Mdm?host=<hostname_mentioned_in_/etc/hosts> > /tmp/mdmcert_<hostname> eg:curl -k -u foo:YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw https://xx.yy.uu.ii/api/getHostCertificate/Mdm?host=Node1 > /tmp/Node1.crt
Крок 4) Встановіть сертифікат у сховище ключів шлюзу
# curl -k -u foo:<token> --form "file=@/tmp/mdmcert_<hostname>" https://<Gateway-ip>/api/trustHostCertificate/Mdm eg:# curl -k -u foo:YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw --form "file=@/tmp/Node1.crt" https://xx.yy.uu.ii/api/trustHostCertificate/Mdm
Крок 5) Переконайтеся, що сертифікати видно. У псевдонімі, який ви бачите, слід посилатися на ім'я CN, яке має бути унікальним для кожного вузла. Наведену нижче команду потрібно виконати з Gateway.
# /usr/bin/keytool -list -keystore /opt/emc/scaleio/gateway/webapps/ROOT/WEB-INF/classes/certificates/truststore.jks -storepass changeit| grep mdm -A1 eg: # /usr/bin/keytool -list -keystore /opt/emc/scaleio/gateway/webapps/ROOT/WEB-INF/classes/certificates/truststore.jks -storepass changeit| grep mdm -A1 ou=asd, o=emc, c=us, st=massachusetts, l=hopkinton, cn=node1, givenname=mdm, Feb 3, 2021, trustedCertEntry, Certificate fingerprint (SHA1): C6:99:F2:8C:82:4A:25:44:36:AF:90:51:43:B9:27:98:7C:9D:F1:6C
Крок 6) Повторіть ту ж процедуру, щоб додати сертифікат MDM до Gateway Keystores у разі відсутності.
Крок 7) Перезапустити демон Gateway після додавання MDM-сертифікатів з усіх вузлів MDM
# service scaleio-gateway restart
Additional Information
Ми бачили таку помилку у Gateway WebBrowser при зміні або відсутності сертифіката у сховищі ключів шлюзу —
"Сертифікат основного MDM не затверджений. натисніть тут, щоб переглянути деталі сертифіката»
Команда openstack також може не працювати, якщо сертифікати MDM не додані до сховища ключів Gateway.
Шлюз (через веб-браузер) завжди підключається до Master MDM для автентифікації. Якщо Gateway (веб-браузер) фіксує помилку Сертифіката, це означає, що сертифікат було змінено на первинному MDM і потрібно додати до сховища ключів шлюзу.
Gateway не перевірятиме наявність сертифікатів Secondary MDM, якщо ми не перейдемо на кластер MDM
.Інший спосіб додавання MDM-сертифікатів до Gateway Keystore -
1) Переключити кластер MDM на MDM-вузол, на якому сертифікат замінено або сертифікати відсутні у Gateway keystore.
Увійдіть у веб-браузер Gateway, натисніть вкладку Maintain і виберіть «Отримати системну топологію». Ви побачите нижче екран, де можна вибрати «натисніть тут» і затвердити сертифікат MDM після того, як переконатися, що назва CN відрізняється.
Ця процедура вимагає переключення кластера MDM.
2) Передати сертифікат MDM на вузол шлюзу, а потім використати команду Keytool для інтеграції цих сертифікатів у сховище ключів шлюзу. Після додавання сертифікатів від усіх вузлів MDM потрібно перезапустити демон шлюзу.