PowerFlex：RESTAPIを使用してゲートウェイでMDM証明書を追加および承認する方法

以下は、MDM証明書を追加するために次のコマンドで使用される頭字語です。お使いの環境に応じて交換してください

<mdm-password> - ScaleioにログインするためのMDMパスワード
<Gateway-ip> - restapi
><tokenを介した接続に使用されるゲートウェイIP - ステップ1
<hostname>で受け取ったトークン - ホスト名に置き換えます(MDMごとにホスト名が異なることを確認してください)
<hostname_mentioned/etc/hostsで>- /etc/hostsに記載されているMDMホスト名

次の手順には、192.168.2.126がゲートウェイであり、Node1がMDM証明書をゲートウェイに追加する必要があるMDMノードの1つである参照例が含まれています
このコマンドは、curlがインストールされ、ゲートウェイに接続されている任意のホストから実行できます
ゲートウェイ デーモンを再起動する必要はありません
以下のステップ5で提供されるコマンドを使用して、ゲートウェイ キーストアで使用可能なMDM証明書を確認できます

ステップ1)トークンを取得する

# curl -k --basic -u admin:<mdm-password> https://<Gateway-ip>/api/gatewayLogin 

eg:# curl -k --basic -u admin:hagsjfs https://xx.yy.uu.ii/api/gatewayLogin 
"YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw"

ステップ2)ゲートウェイ(IM)サーバーの/etc/hostsにMDM IPアドレスとホスト名を追加していることを確認します

ステップ3)上記の手順から、受け取ったトークンを使用する必要があります。追加する必要があるMDMの証明書を取得します。

# curl -k -u foo:<token> https://<Gateway-ip>/api/getHostCertificate/Mdm?host=<hostname_mentioned_in_/etc/hosts> > /tmp/mdmcert_<hostname>

eg:curl -k -u foo:YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw https://xx.yy.uu.ii/api/getHostCertificate/Mdm?host=Node1 > /tmp/Node1.crt

手順4)証明書をゲートウェイ キーストアにインストールします

# curl -k -u foo:<token> --form "file=@/tmp/mdmcert_<hostname>" https://<Gateway-ip>/api/trustHostCertificate/Mdm


eg:# curl -k -u foo:YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw --form "file=@/tmp/Node1.crt" https://xx.yy.uu.ii/api/trustHostCertificate/Mdm

手順5)証明書が表示されていることを確認します。表示されるエイリアスでは、すべてのノードで一意のCN名を参照する必要があります。次のコマンドは、ゲートウェイから実行する必要があります。

# /usr/bin/keytool -list -keystore /opt/emc/scaleio/gateway/webapps/ROOT/WEB-INF/classes/certificates/truststore.jks  -storepass changeit| grep mdm -A1 

eg: 
# /usr/bin/keytool -list -keystore /opt/emc/scaleio/gateway/webapps/ROOT/WEB-INF/classes/certificates/truststore.jks  -storepass changeit| grep mdm -A1
ou=asd, o=emc, c=us, st=massachusetts, l=hopkinton, cn=node1, givenname=mdm, Feb 3, 2021, trustedCertEntry,
Certificate fingerprint (SHA1): C6:99:F2:8C:82:4A:25:44:36:AF:90:51:43:B9:27:98:7C:9D:F1:6C

手順6)見つからない場合は、同じ手順を繰り返して、MDM証明書をゲートウェイ キーストアに追加します。

ステップ7)すべてのMDMノードからMDM証明書が追加されたら、ゲートウェイ デーモンを再起動します

# service scaleio-gateway restart

ゲートウェイ キーストアで証明書が変更されたか見つからない場合、ゲートウェイWebブラウザーに次のエラーが表示されます。

プライマリーMDMの証明書が未承認です。証明書の詳細を表示するには、ここをクリックしてください」

MDM証明書がゲートウェイ キーストアに追加されていない場合にも、Openstackコマンドが失敗することがあります。

ゲートウェイ(Webブラウザー経由)は、認証のために常にマスターMDMに接続します。ゲートウェイ(Webブラウザー)が証明書エラーをログに記録した場合、証明書がプライマリーMDMで変更されたため、ゲートウェイ キーストアに追加する必要があることを意味します
ゲートウェイは、MDMクラスターに切り替えない限り、セカンダリーMDM証明書をチェックしません

MDM証明書をゲートウェイ キーストアに追加するその他の方法 -

1)証明書が置き換えられたMDMノードにMDMクラスターを切り替えます。またはゲートウェイ キーストアに証明書がありません。
Gateway Webブラウザーにログインし、[Maintain]タブをクリックして[Retrieve System Topology]を選択します。次の画面が表示されます。ここでは、[click here]を選択して、CN名が異なることを確認した後にMDM証明書を承認できます
この手順では、MDMクラスターを切り替える必要があります。

2)MDM証明書をゲートウェイ ノードに転送し、Keytoolコマンドを使用してこれらの証明書をゲートウェイ キーストアに組み込みます。すべてのMDMノードから証明書を追加したら、ゲートウェイ デーモンを再起動する必要があります。