Los geht's
Konfigurieren eines benutzerdefinierten Serverzertifikats für Verbindungen mit dem Speicherknoten oder dem CLB-Dienst
Änderungen vorschlagen
-
PDF dieser Dokumentationssite
-
Installation und Upgrade von Software
-
Installation und Wartung von Hardware
-
SG5700 Storage-Appliances
-
SG5600 Storage Appliances
-
-
Konfiguration und Management
-
StorageGRID verwalten
-
-
Verwenden Sie StorageGRID
-
Verwenden Sie ein Mandantenkonto
-
-
Monitoring und Fehlerbehebung
-
Überwachen Sie ein StorageGRID System
-
-
Wartung
-
Halten Sie Recoverys ein
-
Verfahren zur Recovery von Grid-Nodes
-
Wiederherstellung nach Storage-Node-Ausfällen
-
-
-
-
Sammlung separater PDF-Dokumente
Creating your file...
Sie können das Serverzertifikat, das für S3- oder Swift-Client-Verbindungen zum Storage-Node oder zum CLB-Service (veraltet) auf Gateway-Node verwendet wird, ersetzen. Das benutzerdefinierte Ersatzserverzertifikat ist speziell für Ihr Unternehmen bestimmt.
Standardmäßig wird jeder Speicherknoten ein X.509-Serverzertifikat ausgestellt, das von der Grid-CA signiert wurde. Diese CA-signierten Zertifikate können durch ein einziges allgemeines benutzerdefiniertes Serverzertifikat und den entsprechenden privaten Schlüssel ersetzt werden.
Für alle Speicherknoten wird ein einzelnes benutzerdefiniertes Serverzertifikat verwendet. Sie müssen daher das Zertifikat als Platzhalter- oder Multidomain-Zertifikat angeben, wenn Clients den Hostnamen bei der Verbindung mit dem Speicherendpunkt überprüfen müssen. Definieren Sie das benutzerdefinierte Zertifikat, sodass es mit allen Speicherknoten im Raster übereinstimmt.
Nach Abschluss der Konfiguration auf dem Server müssen Benutzer möglicherweise auch das Root-CA-Zertifikat im S3- oder Swift-API-Client installieren, den sie für den Zugriff auf das System verwenden, abhängig von der Root Certificate Authority (CA), die Sie verwenden.
|
Um sicherzustellen, dass die Vorgänge nicht durch ein ausgefallenes Serverzertifikat unterbrochen werden, wird der Alarm Ablauf des Serverzertifikats für Storage API Endpunkte und der Alarm Legacy Storage API Service Endpoints Certificate Expiry (SCEP) ausgelöst, wenn das Root-Server-Zertifikat abläuft. Nach Bedarf können Sie die Anzahl der Tage anzeigen, bis das aktuelle Service-Zertifikat abläuft, indem Sie Support > Tools > Grid Topology auswählen. Wählen Sie dann primary Admin Node > CMN > Ressourcen aus. |
Die benutzerdefinierten Zertifikate werden nur verwendet, wenn Clients über den veralteten CLB-Dienst auf Gateway-Nodes eine Verbindung zu StorageGRID herstellen oder eine direkte Verbindung zu Storage-Nodes herstellen. S3- oder Swift-Clients, die über den Load Balancer Service am Admin-Nodes oder Gateway-Nodes eine Verbindung zu StorageGRID herstellen, verwenden das für den Load Balancer-Endpunkt konfigurierte Zertifikat.
|
|
Die Warnung Ablauf des Load Balancer-Endpunktzertifikats wird für Load Balancer-Endpunkte ausgelöst, die bald ablaufen. |
-
Wählen Sie Konfiguration > Netzwerkeinstellungen > Server-Zertifikate.
-
Klicken Sie im Abschnitt Serverzertifikat für Objekt-Storage-API-Service-Endpunkte auf Benutzerdefiniertes Zertifikat installieren.
-
Laden Sie die erforderlichen Serverzertifikatdateien hoch:
-
Server-Zertifikat: Die benutzerdefinierte Server-Zertifikatdatei (
.crt). -
Server Certificate Private Key: Die benutzerdefinierte Server Zertifikat private Schlüssel Datei (
.key).
Private EC-Schlüssel müssen 224 Bit oder größer sein. RSA Private Keys müssen mindestens 2048 Bit groß sein. -
CA Bundle: Eine einzelne Datei, die die Zertifikate jeder Intermediate Emission Certificate Authority (CA) enthält. Die Datei sollte alle PEM-kodierten CA-Zertifikatdateien enthalten, die in der Reihenfolge der Zertifikatskette verkettet sind.
-
-
Klicken Sie Auf Speichern.
Das benutzerdefinierte Serverzertifikat wird für alle nachfolgenden neuen API-Client-Verbindungen verwendet.
Wählen Sie eine Registerkarte aus, um detaillierte Informationen zum StorageGRID-Standardserverzertifikat oder zum hochgeladenen Zertifikat einer Zertifizierungsstelle anzuzeigen.
Nachdem Sie ein neues Zertifikat hochgeladen haben, lassen Sie bis zu einem Tag, bis alle zugehörigen Alarme zum Ablauf des Zertifikats (oder ältere Alarme) gelöscht werden können. -
Aktualisieren Sie die Seite, um sicherzustellen, dass der Webbrowser aktualisiert wird.