Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Konfigurieren von Clientzertifikaten

PDFs

Client-Zertifikate ermöglichen autorisierten externen Clients den Zugriff auf die StorageGRID Prometheus-Datenbank und bieten externen Tools eine sichere Möglichkeit, StorageGRID zu überwachen.

Wenn Sie über ein externes Überwachungstool auf StorageGRID zugreifen müssen, müssen Sie mithilfe des Grid Managers ein Client-Zertifikat hochladen oder generieren und die Zertifikatsinformationen in das externe Tool kopieren.

Sehen"Sicherheitszertifikate verwalten" Und"Konfigurieren benutzerdefinierter Serverzertifikate" .

Hinweis Um sicherzustellen, dass der Betrieb nicht durch ein fehlerhaftes Serverzertifikat unterbrochen wird, wird die Warnung Ablauf der auf der Seite „Zertifikate“ konfigurierten Clientzertifikate ausgelöst, wenn dieses Serverzertifikat bald abläuft. Bei Bedarf können Sie das Ablaufdatum des aktuellen Zertifikats anzeigen, indem Sie KONFIGURATION > Sicherheit > Zertifikate auswählen und auf der Registerkarte „Client“ das Ablaufdatum für das Client-Zertifikat anzeigen.
Hinweis Wenn Sie einen Schlüsselverwaltungsserver (KMS) zum Schutz der Daten auf speziell konfigurierten Appliance-Knoten verwenden, lesen Sie die spezifischen Informationen zu"Hochladen eines KMS-Client-Zertifikats" .
Bevor Sie beginnen

  • Sie verfügen über Root-Zugriffsberechtigung.

  • Sie sind beim Grid Manager angemeldet mit einem"unterstützter Webbrowser" .

  • So konfigurieren Sie ein Client-Zertifikat:

    • Sie haben die IP-Adresse oder den Domänennamen des Admin-Knotens.

    • Wenn Sie das Zertifikat der StorageGRID -Verwaltungsschnittstelle konfiguriert haben, verfügen Sie über die Zertifizierungsstelle, das Client-Zertifikat und den privaten Schlüssel, die zum Konfigurieren des Zertifikats der Verwaltungsschnittstelle verwendet werden.

    • Um Ihr eigenes Zertifikat hochzuladen, steht Ihnen der private Schlüssel für das Zertifikat auf Ihrem lokalen Computer zur Verfügung.

    • Der private Schlüssel muss zum Zeitpunkt seiner Erstellung gespeichert oder aufgezeichnet worden sein. Wenn Sie nicht über den ursprünglichen privaten Schlüssel verfügen, müssen Sie einen neuen erstellen.

  • So bearbeiten Sie ein Client-Zertifikat:

    • Sie haben die IP-Adresse oder den Domänennamen des Admin-Knotens.

    • Um Ihr eigenes Zertifikat oder ein neues Zertifikat hochzuladen, stehen Ihnen der private Schlüssel, das Client-Zertifikat und die CA (sofern verwendet) auf Ihrem lokalen Computer zur Verfügung.

Client-Zertifikate hinzufügen

Um das Client-Zertifikat hinzuzufügen, verwenden Sie eines der folgenden Verfahren:

Management-Schnittstellenzertifikat bereits konfiguriert

Verwenden Sie dieses Verfahren, um ein Client-Zertifikat hinzuzufügen, wenn bereits ein Management-Schnittstellenzertifikat mit einer vom Kunden bereitgestellten Zertifizierungsstelle, einem Client-Zertifikat und einem privaten Schlüssel konfiguriert ist.

Schritte

  1. Wählen Sie im Grid Manager KONFIGURATION > Sicherheit > Zertifikate und dann die Registerkarte Client.

  2. Wählen Sie Hinzufügen.

  3. Geben Sie einen Zertifikatsnamen ein.

  4. Um mit Ihrem externen Überwachungstool auf Prometheus-Metriken zuzugreifen, wählen Sie Prometheus zulassen.

  5. Wählen Sie Weiter.

  6. Laden Sie für den Schritt Zertifikate anhängen das Verwaltungsschnittstellenzertifikat hoch.

    1. Wählen Sie Zertifikat hochladen.

    2. Wählen Sie Durchsuchen und wählen Sie die Zertifikatsdatei der Verwaltungsschnittstelle aus(.pem ).

      • Wählen Sie Client-Zertifikatdetails aus, um die Zertifikatmetadaten und das Zertifikat-PEM anzuzeigen.

      • Wählen Sie Zertifikat PEM kopieren, um den Zertifikatsinhalt zum Einfügen an anderer Stelle zu kopieren.

    3. Wählen Sie Erstellen, um das Zertifikat im Grid Manager zu speichern.

      Das neue Zertifikat wird auf der Registerkarte „Client“ angezeigt.

  7. Konfigurieren eines externen Überwachungstools, wie Grafana.

Von der Zertifizierungsstelle ausgestelltes Client-Zertifikat

Verwenden Sie dieses Verfahren, um ein Administrator-Client-Zertifikat hinzuzufügen, wenn kein Management-Schnittstellenzertifikat konfiguriert wurde und Sie ein Client-Zertifikat für Prometheus hinzufügen möchten, das ein von einer Zertifizierungsstelle ausgestelltes Client-Zertifikat und einen privaten Schlüssel verwendet.

Schritte

  1. Führen Sie die Schritte aus, um"Konfigurieren eines Management-Schnittstellenzertifikats" .

  2. Wählen Sie im Grid Manager KONFIGURATION > Sicherheit > Zertifikate und dann die Registerkarte Client.

  3. Wählen Sie Hinzufügen.

  4. Geben Sie einen Zertifikatsnamen ein.

  5. Um mit Ihrem externen Überwachungstool auf Prometheus-Metriken zuzugreifen, wählen Sie Prometheus zulassen.

  6. Wählen Sie Weiter.

  7. Laden Sie für den Schritt Zertifikate anhängen das Client-Zertifikat, den privaten Schlüssel und die CA-Bundle-Dateien hoch:

    1. Wählen Sie Zertifikat hochladen.

    2. Wählen Sie Durchsuchen und wählen Sie das Client-Zertifikat, den privaten Schlüssel und die CA-Bundle-Dateien aus(.pem ).

      • Wählen Sie Client-Zertifikatdetails aus, um die Zertifikatmetadaten und das Zertifikat-PEM anzuzeigen.

      • Wählen Sie Zertifikat PEM kopieren, um den Zertifikatsinhalt zum Einfügen an anderer Stelle zu kopieren.

    3. Wählen Sie Erstellen, um das Zertifikat im Grid Manager zu speichern.

      Die neuen Zertifikate werden auf der Registerkarte „Client“ angezeigt.

  8. Konfigurieren eines externen Überwachungstools, wie Grafana.

Generiertes Zertifikat vom Grid Manager

Verwenden Sie dieses Verfahren, um ein Administrator-Client-Zertifikat hinzuzufügen, wenn kein Management-Schnittstellenzertifikat konfiguriert wurde und Sie ein Client-Zertifikat für Prometheus hinzufügen möchten, das die Funktion zum Generieren von Zertifikaten in Grid Manager verwendet.

Schritte

  1. Wählen Sie im Grid Manager KONFIGURATION > Sicherheit > Zertifikate und dann die Registerkarte Client.

  2. Wählen Sie Hinzufügen.

  3. Geben Sie einen Zertifikatsnamen ein.

  4. Um mit Ihrem externen Überwachungstool auf Prometheus-Metriken zuzugreifen, wählen Sie Prometheus zulassen.

  5. Wählen Sie Weiter.

  6. Wählen Sie für den Schritt Zertifikate anhängen die Option Zertifikat generieren aus.

  7. Geben Sie die Zertifikatsinformationen an:

    • Betreff (optional): X.509-Betreff oder Distinguished Name (DN) des Zertifikatsinhabers.

    • Gültigkeitstage: Die Anzahl der Tage, die das generierte Zertifikat gültig ist, beginnend mit dem Zeitpunkt der Generierung.

    • Schlüsselverwendungserweiterungen hinzufügen: Wenn ausgewählt (Standard und empfohlen), werden dem generierten Zertifikat Schlüsselverwendungs- und erweiterte Schlüsselverwendungserweiterungen hinzugefügt.

      Diese Erweiterungen definieren den Zweck des im Zertifikat enthaltenen Schlüssels.

    Hinweis Lassen Sie dieses Kontrollkästchen aktiviert, es sei denn, Sie haben Verbindungsprobleme mit älteren Clients, wenn die Zertifikate diese Erweiterungen enthalten.

  8. Wählen Sie Generieren.

  9. Wählen Sie Client-Zertifikatdetails, um die Zertifikatmetadaten und das Zertifikat-PEM anzuzeigen.

    Tipp Nachdem Sie das Dialogfeld geschlossen haben, können Sie den privaten Schlüssel des Zertifikats nicht mehr anzeigen. Kopieren oder laden Sie den Schlüssel an einen sicheren Ort herunter.

    • Wählen Sie Zertifikat PEM kopieren, um den Zertifikatsinhalt zum Einfügen an anderer Stelle zu kopieren.

    • Wählen Sie Zertifikat herunterladen, um die Zertifikatsdatei zu speichern.

      Geben Sie den Namen der Zertifikatsdatei und den Download-Speicherort an. Speichern Sie die Datei mit der Erweiterung .pem .

    Beispiel: storagegrid_certificate.pem

    • Wählen Sie Privaten Schlüssel kopieren, um den privaten Schlüssel des Zertifikats zum Einfügen an anderer Stelle zu kopieren.

    • Wählen Sie Privaten Schlüssel herunterladen, um den privaten Schlüssel als Datei zu speichern.

      Geben Sie den Dateinamen des privaten Schlüssels und den Download-Speicherort an.

  10. Wählen Sie Erstellen, um das Zertifikat im Grid Manager zu speichern.

    Das neue Zertifikat wird auf der Registerkarte „Client“ angezeigt.

  11. Wählen Sie im Grid Manager KONFIGURATION > Sicherheit > Zertifikate und dann die Registerkarte Global.

  12. Wählen Sie Management Interface-Zertifikat.

  13. Wählen Sie Benutzerdefiniertes Zertifikat verwenden.

  14. Laden Sie die Dateien certificate.pem und private_key.pem von derClient-Zertifikatdetails Schritt. Es ist nicht erforderlich, ein CA-Paket hochzuladen.

    1. Wählen Sie Zertifikat hochladen und dann Weiter.

    2. Laden Sie jede Zertifikatsdatei hoch(.pem ).

    3. Wählen Sie Speichern, um das Zertifikat im Grid Manager zu speichern.

      Das neue Zertifikat wird auf der Zertifikatsseite der Verwaltungsschnittstelle angezeigt.

  15. Konfigurieren eines externen Überwachungstools, wie Grafana.

Konfigurieren Sie ein externes Überwachungstool

Schritte

  1. Konfigurieren Sie die folgenden Einstellungen in Ihrem externen Überwachungstool, z. B. Grafana.

    1. Name: Geben Sie einen Namen für die Verbindung ein.

      StorageGRID benötigt diese Informationen nicht, Sie müssen jedoch einen Namen angeben, um die Verbindung zu testen.

    2. URL: Geben Sie den Domänennamen oder die IP-Adresse für den Admin-Knoten ein. Geben Sie HTTPS und Port 9091 an.

      Beispiel: https://admin-node.example.com:9091

    3. Aktivieren Sie TLS-Client-Authentifizierung und Mit CA-Zertifikat.

    4. Kopieren und fügen Sie unter TLS/SSL-Authentifizierungsdetails Folgendes ein:

      • Das CA-Zertifikat der Verwaltungsschnittstelle an CA Cert

      • Das Client-Zertifikat an Client Cert

      • Der private Schlüssel zum Client-Schlüssel

    5. Servername: Geben Sie den Domänennamen des Admin-Knotens ein.

      Der Servername muss mit dem Domänennamen übereinstimmen, der im Zertifikat der Verwaltungsschnittstelle angezeigt wird.

  2. Speichern und testen Sie das Zertifikat und den privaten Schlüssel, die Sie aus StorageGRID oder einer lokalen Datei kopiert haben.

    Sie können jetzt mit Ihrem externen Überwachungstool auf die Prometheus-Metriken von StorageGRID zugreifen.

    Informationen zu den Metriken finden Sie im"Anleitung zur Überwachung von StorageGRID" .

Client-Zertifikate bearbeiten

Sie können ein Administrator-Client-Zertifikat bearbeiten, um seinen Namen zu ändern, den Prometheus-Zugriff zu aktivieren oder zu deaktivieren oder ein neues Zertifikat hochzuladen, wenn das aktuelle abgelaufen ist.

Schritte

  1. Wählen Sie KONFIGURATION > Sicherheit > Zertifikate und dann die Registerkarte Client.

    Ablaufdaten der Zertifikate und Zugriffsberechtigungen für Prometheus sind in der Tabelle aufgeführt. Läuft ein Zertifikat bald ab oder ist es bereits abgelaufen, erscheint in der Tabelle eine Meldung und es wird ein Alarm ausgelöst.

  2. Wählen Sie das Zertifikat aus, das Sie bearbeiten möchten.

  3. Wählen Sie Bearbeiten und dann Name und Berechtigung bearbeiten

  4. Geben Sie einen Zertifikatsnamen ein.

  5. Um mit Ihrem externen Überwachungstool auf Prometheus-Metriken zuzugreifen, wählen Sie Prometheus zulassen.

  6. Wählen Sie Weiter, um das Zertifikat im Grid Manager zu speichern.

    Das aktualisierte Zertifikat wird auf der Registerkarte „Client“ angezeigt.

Neues Client-Zertifikat anhängen

Sie können ein neues Zertifikat hochladen, wenn das aktuelle abgelaufen ist.

Schritte

  1. Wählen Sie KONFIGURATION > Sicherheit > Zertifikate und dann die Registerkarte Client.

    Ablaufdaten der Zertifikate und Zugriffsberechtigungen für Prometheus sind in der Tabelle aufgeführt. Läuft ein Zertifikat bald ab oder ist es bereits abgelaufen, erscheint in der Tabelle eine Meldung und es wird ein Alarm ausgelöst.

  2. Wählen Sie das Zertifikat aus, das Sie bearbeiten möchten.

  3. Wählen Sie Bearbeiten und dann eine Bearbeitungsoption.

    Zertifikat hochladen

    Kopieren Sie den Zertifikatstext, um ihn an anderer Stelle einzufügen.

    1. Wählen Sie Zertifikat hochladen und dann Weiter.

    2. Laden Sie den Namen des Client-Zertifikats hoch(.pem ).

      Wählen Sie Client-Zertifikatdetails aus, um die Zertifikatmetadaten und das Zertifikat-PEM anzuzeigen.

      • Wählen Sie Zertifikat herunterladen, um die Zertifikatsdatei zu speichern.

        Geben Sie den Namen der Zertifikatsdatei und den Download-Speicherort an. Speichern Sie die Datei mit der Erweiterung .pem .

      Beispiel: storagegrid_certificate.pem

      • Wählen Sie Zertifikat PEM kopieren, um den Zertifikatsinhalt zum Einfügen an anderer Stelle zu kopieren.

    3. Wählen Sie Erstellen, um das Zertifikat im Grid Manager zu speichern.

      Das aktualisierte Zertifikat wird auf der Registerkarte „Client“ angezeigt.

    Zertifikat generieren

    Generieren Sie den Zertifikatstext, um ihn an anderer Stelle einzufügen.

    1. Wählen Sie Zertifikat generieren.

    2. Geben Sie die Zertifikatsinformationen an:

      • Betreff (optional): X.509-Betreff oder Distinguished Name (DN) des Zertifikatsinhabers.

      • Gültigkeitstage: Die Anzahl der Tage, die das generierte Zertifikat gültig ist, beginnend mit dem Zeitpunkt der Generierung.

      • Schlüsselverwendungserweiterungen hinzufügen: Wenn ausgewählt (Standard und empfohlen), werden dem generierten Zertifikat Schlüsselverwendungs- und erweiterte Schlüsselverwendungserweiterungen hinzugefügt.

        Diese Erweiterungen definieren den Zweck des im Zertifikat enthaltenen Schlüssels.

      Hinweis Lassen Sie dieses Kontrollkästchen aktiviert, es sei denn, Sie haben Verbindungsprobleme mit älteren Clients, wenn die Zertifikate diese Erweiterungen enthalten.

    3. Wählen Sie Generieren.

    4. Wählen Sie Client-Zertifikatdetails aus, um die Zertifikatmetadaten und das Zertifikat-PEM anzuzeigen.

      Tipp Nachdem Sie das Dialogfeld geschlossen haben, können Sie den privaten Schlüssel des Zertifikats nicht mehr anzeigen. Kopieren oder laden Sie den Schlüssel an einen sicheren Ort herunter.

      • Wählen Sie Zertifikat PEM kopieren, um den Zertifikatsinhalt zum Einfügen an anderer Stelle zu kopieren.

      • Wählen Sie Zertifikat herunterladen, um die Zertifikatsdatei zu speichern.

        Geben Sie den Namen der Zertifikatsdatei und den Download-Speicherort an. Speichern Sie die Datei mit der Erweiterung .pem .

      Beispiel: storagegrid_certificate.pem

      • Wählen Sie Privaten Schlüssel kopieren, um den privaten Schlüssel des Zertifikats zum Einfügen an anderer Stelle zu kopieren.

      • Wählen Sie Privaten Schlüssel herunterladen, um den privaten Schlüssel als Datei zu speichern.

        Geben Sie den Dateinamen des privaten Schlüssels und den Download-Speicherort an.

    5. Wählen Sie Erstellen, um das Zertifikat im Grid Manager zu speichern.

      Das neue Zertifikat wird auf der Registerkarte „Client“ angezeigt.

Herunterladen oder Kopieren von Client-Zertifikaten

Sie können ein Client-Zertifikat zur Verwendung an anderer Stelle herunterladen oder kopieren.

Schritte

  1. Wählen Sie KONFIGURATION > Sicherheit > Zertifikate und dann die Registerkarte Client.

  2. Wählen Sie das Zertifikat aus, das Sie kopieren oder herunterladen möchten.

  3. Laden Sie das Zertifikat herunter oder kopieren Sie es.

    Zertifikatsdatei herunterladen

    Laden Sie das Zertifikat herunter .pem Datei.

    1. Wählen Sie Zertifikat herunterladen.

    2. Geben Sie den Namen der Zertifikatsdatei und den Download-Speicherort an. Speichern Sie die Datei mit der Erweiterung .pem .

      Beispiel: storagegrid_certificate.pem

    Zertifikat kopieren

    Kopieren Sie den Zertifikatstext, um ihn an anderer Stelle einzufügen.

    1. Wählen Sie Zertifikat PEM kopieren.

    2. Fügen Sie das kopierte Zertifikat in einen Texteditor ein.

    3. Speichern Sie die Textdatei mit der Erweiterung .pem .

      Beispiel: storagegrid_certificate.pem

Client-Zertifikate entfernen

Wenn Sie ein Administrator-Client-Zertifikat nicht mehr benötigen, können Sie es entfernen.

Schritte

  1. Wählen Sie KONFIGURATION > Sicherheit > Zertifikate und dann die Registerkarte Client.

  2. Wählen Sie das Zertifikat aus, das Sie entfernen möchten.

  3. Wählen Sie Löschen und bestätigen Sie anschließend.

Hinweis Um bis zu 10 Zertifikate zu entfernen, wählen Sie jedes zu entfernende Zertifikat auf der Registerkarte „Client“ aus und wählen Sie dann Aktionen > Löschen.

Nachdem ein Zertifikat entfernt wurde, müssen Clients, die das Zertifikat verwendet haben, ein neues Client-Zertifikat angeben, um auf die StorageGRID Prometheus-Datenbank zugreifen zu können.