PowerFlex. Добавление и утверждение сертификатов MDM в шлюзе через RESTAPI

Ниже приведена аббревиатура, используемая в приведенной ниже команде для добавления сертификата MDM. Замените их в соответствии с вашей средой.

<mdm-password> - пароль MDM для входа в Scaleio
<Gateway-ip> - IP-адрес шлюза, используемый для подключения черезтокен> RESTAPI<
- Токен, полученный на шаге 1
<имя> хоста - замените на имя хоста (убедитесь, что у вас есть разные имена хоста для каждого MDM)
<hostname_mentioned in /etc/hosts>- имя хоста MDM, указанное в /etc/hosts

Следующие шаги включают пример для справки, где 192.168.2.126 — шлюз, а Node1 — один из узлов MDM, для которого в шлюз необходимо добавить сертификаты MDM.
Эту команду можно выполнить с любого хоста, на котором установлен curl и есть подключение к шлюзу.
Перезагрузка управляющей программы шлюза не требуется
. Вы можете проверить доступные сертификаты MDM в хранилище ключей шлюза с помощью команды, указанной на шаге 5 ниже.

Шаг 1) Получите токен

# curl -k --basic -u admin:<mdm-password> https://<Gateway-ip>/api/gatewayLogin 

eg:# curl -k --basic -u admin:hagsjfs https://xx.yy.uu.ii/api/gatewayLogin 
"YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw"

Шаг 2) Убедитесь, что вы добавили IP-адрес MDM и имя хоста в /etc/hosts на сервере шлюза(IM).

Шаг 3) Из описанного выше шага необходимо использовать полученный токен. Получите сертификаты MDM, которые необходимо добавить:

# curl -k -u foo:<token> https://<Gateway-ip>/api/getHostCertificate/Mdm?host=<hostname_mentioned_in_/etc/hosts> > /tmp/mdmcert_<hostname>

eg:curl -k -u foo:YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw https://xx.yy.uu.ii/api/getHostCertificate/Mdm?host=Node1 > /tmp/Node1.crt

Шаг 4) Установка сертификата в хранилище ключей шлюза

# curl -k -u foo:<token> --form "file=@/tmp/mdmcert_<hostname>" https://<Gateway-ip>/api/trustHostCertificate/Mdm


eg:# curl -k -u foo:YWRtaW46MTYxMjM4NTI5NDgyODo2YmRiOGFhNGQxNzk2NWY1OWJmZmE1NDU1MWU2MjlkMw --form "file=@/tmp/Node1.crt" https://xx.yy.uu.ii/api/trustHostCertificate/Mdm

Шаг 5. Убедитесь, что сертификаты отображаются. В псевдониме, который вы видите, вы должны ссылаться на имя CN, которое должно быть уникальным для каждого узла. Следующую команду необходимо выполнить через шлюз.

# /usr/bin/keytool -list -keystore /opt/emc/scaleio/gateway/webapps/ROOT/WEB-INF/classes/certificates/truststore.jks  -storepass changeit| grep mdm -A1 

eg: 
# /usr/bin/keytool -list -keystore /opt/emc/scaleio/gateway/webapps/ROOT/WEB-INF/classes/certificates/truststore.jks  -storepass changeit| grep mdm -A1
ou=asd, o=emc, c=us, st=massachusetts, l=hopkinton, cn=node1, givenname=mdm, Feb 3, 2021, trustedCertEntry,
Certificate fingerprint (SHA1): C6:99:F2:8C:82:4A:25:44:36:AF:90:51:43:B9:27:98:7C:9D:F1:6C

Шаг 6. Повторите ту же процедуру, чтобы добавить сертификат MDM в хранилища ключей шлюза в случае его отсутствия.

Шаг 7)Перезапустите управляющую программу шлюза после того, как сертификаты MDM будут добавлены со всех узлов MDM.

# service scaleio-gateway restart

При изменении или отсутствии сертификата в хранилище ключей шлюза в веб-браузере шлюза отображается следующая ошибка:

«Сертификат основного MDM не утвержден. Нажмите здесь, чтобы просмотреть сведения о сертификате"

Команда Openstack также может завершиться сбоем, если сертификаты MDM не добавлены в хранилище ключей шлюза.

Шлюз (через веб-браузер) всегда будет подключаться к главному MDM для аутентификации. Если шлюз (веб-браузер) регистрирует ошибку сертификата, это означает, что сертификат был изменен на основном MDM и его необходимо добавить в хранилище ключей шлюза.
Шлюз не будет проверять наличие дополнительных сертификатов MDM, пока мы не переключимся на кластер MDM.

Другой способ добавления сертификатов MDM в хранилище ключей шлюза -

1) Переключите кластер MDM на узел MDM, на котором был заменен сертификат или сертификаты отсутствуют в хранилище ключей шлюза. 
Войдите в веб-браузер шлюза, перейдите на вкладку «Maintain» и выберите «Retrieve System Topology». Появится следующий экран, на котором можно выбрать «Нажмите здесь» и утвердить сертификат MDM, убедившись, что имя CN отличается.
Для выполнения этой процедуры необходимо переключить кластер MDM.

2) Перенесите сертификат MDM на узел шлюза, а затем используйте команду Keytool для включения этих сертификатов в хранилище ключей шлюза. После добавления сертификатов со всех узлов MDM необходимо перезапустить управляющую программу Gateway.