Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Konfigurieren von S3-API-Zertifikaten

PDFs

Sie können das Serverzertifikat ersetzen oder wiederherstellen, das für S3-Clientverbindungen zu Speicherknoten oder Load Balancer-Endpunkten verwendet wird. Das benutzerdefinierte Ersatzserverzertifikat ist spezifisch für Ihre Organisation.

Tipp Swift-Details wurden aus dieser Version der Dokumentationssite entfernt. Sehen "StorageGRID 11.8: Konfigurieren von S3- und Swift-API-Zertifikaten" .
Informationen zu diesem Vorgang

Standardmäßig wird jedem Speicherknoten ein von der Grid-CA signiertes X.509-Serverzertifikat ausgestellt. Diese von einer Zertifizierungsstelle signierten Zertifikate können durch ein einzelnes gemeinsames benutzerdefiniertes Serverzertifikat und den entsprechenden privaten Schlüssel ersetzt werden.

Für alle Speicherknoten wird ein einzelnes benutzerdefiniertes Serverzertifikat verwendet. Sie müssen das Zertifikat daher als Platzhalter- oder Multidomänenzertifikat angeben, wenn Clients beim Herstellen einer Verbindung mit dem Speicherendpunkt den Hostnamen überprüfen müssen. Definieren Sie das benutzerdefinierte Zertifikat so, dass es mit allen Speicherknoten im Raster übereinstimmt.

Nachdem Sie die Konfiguration auf dem Server abgeschlossen haben, müssen Sie je nach der von Ihnen verwendeten Stammzertifizierungsstelle (CA) möglicherweise auch das Grid-CA-Zertifikat im S3-API-Client installieren, den Sie für den Zugriff auf das System verwenden.

Hinweis Um sicherzustellen, dass der Betrieb nicht durch ein fehlerhaftes Serverzertifikat unterbrochen wird, wird die Warnung Ablauf des globalen Serverzertifikats für S3-API ausgelöst, wenn das Stammserverzertifikat bald abläuft. Bei Bedarf können Sie das Ablaufdatum des aktuellen Zertifikats anzeigen, indem Sie KONFIGURATION > Sicherheit > Zertifikate auswählen und auf der Registerkarte „Global“ das Ablaufdatum für das S3-API-Zertifikat anzeigen.

Sie können ein benutzerdefiniertes S3-API-Zertifikat hochladen oder generieren.

Fügen Sie ein benutzerdefiniertes S3-API-Zertifikat hinzu

Schritte

  1. Wählen Sie KONFIGURATION > Sicherheit > Zertifikate.

  2. Wählen Sie auf der Registerkarte Global S3-API-Zertifikat aus.

  3. Wählen Sie Benutzerdefiniertes Zertifikat verwenden.

  4. Laden Sie das Zertifikat hoch oder generieren Sie es.

    Zertifikat hochladen

    Laden Sie die erforderlichen Serverzertifikatsdateien hoch.

    1. Wählen Sie Zertifikat hochladen.

    2. Laden Sie die erforderlichen Serverzertifikatsdateien hoch:

      • Serverzertifikat: Die benutzerdefinierte Serverzertifikatsdatei (PEM-codiert).

      • Privater Zertifikatsschlüssel: Die benutzerdefinierte private Schlüsseldatei des Serverzertifikats(.key ).

        Hinweis Private EC-Schlüssel müssen mindestens 224 Bit lang sein. Private RSA-Schlüssel müssen mindestens 2048 Bit lang sein.

      • CA-Paket: Eine einzelne optionale Datei, die die Zertifikate aller ausstellenden Zwischenzertifizierungsstellen enthält. Die Datei sollte alle PEM-codierten CA-Zertifikatsdateien enthalten, die in der Reihenfolge der Zertifikatskette aneinandergereiht sind.

    3. Wählen Sie die Zertifikatsdetails aus, um die Metadaten und PEM für jedes hochgeladene benutzerdefinierte S3-API-Zertifikat anzuzeigen. Wenn Sie ein optionales CA-Paket hochgeladen haben, wird jedes Zertifikat auf einer eigenen Registerkarte angezeigt.

      • Wählen Sie Zertifikat herunterladen, um die Zertifikatsdatei zu speichern, oder wählen Sie CA-Paket herunterladen, um das Zertifikatspaket zu speichern.

        Geben Sie den Namen der Zertifikatsdatei und den Download-Speicherort an. Speichern Sie die Datei mit der Erweiterung .pem .

      Beispiel: storagegrid_certificate.pem

      • Wählen Sie Zertifikat PEM kopieren oder CA-Paket PEM kopieren, um den Zertifikatsinhalt zum Einfügen an anderer Stelle zu kopieren.

    4. Wählen Sie Speichern.

      Das benutzerdefinierte Serverzertifikat wird für nachfolgende neue S3-Clientverbindungen verwendet.

    Zertifikat generieren

    Generieren Sie die Serverzertifikatsdateien.

    1. Wählen Sie Zertifikat generieren.

    2. Geben Sie die Zertifikatsinformationen an:

      Feld Beschreibung

      Domänenname

      Ein oder mehrere vollqualifizierte Domänennamen, die in das Zertifikat aufgenommen werden sollen. Verwenden Sie ein * als Platzhalter, um mehrere Domänennamen darzustellen.

      IP

      Eine oder mehrere IP-Adressen, die in das Zertifikat aufgenommen werden sollen.

      Betreff (optional)

      X.509-Betreff oder Distinguished Name (DN) des Zertifikatsinhabers.

      Wenn in dieses Feld kein Wert eingegeben wird, verwendet das generierte Zertifikat den ersten Domänennamen oder die erste IP-Adresse als allgemeinen Namen (CN) des Betreffs.

      Gültigkeitstage

      Anzahl der Tage nach der Erstellung, bis zu der das Zertifikat abläuft.

      Hinzufügen von Schlüsselverwendungserweiterungen

      Wenn ausgewählt (Standard und empfohlen), werden dem generierten Zertifikat Schlüsselverwendung und erweiterte Schlüsselverwendungserweiterungen hinzugefügt.

      Diese Erweiterungen definieren den Zweck des im Zertifikat enthaltenen Schlüssels.

      Hinweis: Lassen Sie dieses Kontrollkästchen aktiviert, es sei denn, Sie haben Verbindungsprobleme mit älteren Clients, wenn die Zertifikate diese Erweiterungen enthalten.

    3. Wählen Sie Generieren.

    4. Wählen Sie Zertifikatdetails aus, um die Metadaten und PEM für das generierte benutzerdefinierte S3-API-Zertifikat anzuzeigen.

      • Wählen Sie Zertifikat herunterladen, um die Zertifikatsdatei zu speichern.

        Geben Sie den Namen der Zertifikatsdatei und den Download-Speicherort an. Speichern Sie die Datei mit der Erweiterung .pem .

      Beispiel: storagegrid_certificate.pem

      • Wählen Sie Zertifikat PEM kopieren, um den Zertifikatsinhalt zum Einfügen an anderer Stelle zu kopieren.

    5. Wählen Sie Speichern.

      Das benutzerdefinierte Serverzertifikat wird für nachfolgende neue S3-Clientverbindungen verwendet.

  5. Wählen Sie eine Registerkarte aus, um Metadaten für das Standard StorageGRID Serverzertifikat, ein hochgeladenes, von einer Zertifizierungsstelle signiertes Zertifikat oder ein generiertes benutzerdefiniertes Zertifikat anzuzeigen.

    Hinweis Warten Sie nach dem Hochladen oder Generieren eines neuen Zertifikats bis zu einem Tag, bis alle zugehörigen Warnungen zum Ablauf des Zertifikats gelöscht werden.

  6. Aktualisieren Sie die Seite, um sicherzustellen, dass der Webbrowser aktualisiert ist.

  7. Nachdem Sie ein benutzerdefiniertes S3-API-Zertifikat hinzugefügt haben, werden auf der S3-API-Zertifikatseite detaillierte Zertifikatsinformationen für das verwendete benutzerdefinierte S3-API-Zertifikat angezeigt. + Sie können das Zertifikat PEM nach Bedarf herunterladen oder kopieren.

Wiederherstellen des Standard-S3-API-Zertifikats

Sie können für S3-Clientverbindungen zu Speicherknoten wieder das standardmäßige S3-API-Zertifikat verwenden. Sie können das Standard-S3-API-Zertifikat jedoch nicht für einen Load Balancer-Endpunkt verwenden.

Schritte

  1. Wählen Sie KONFIGURATION > Sicherheit > Zertifikate.

  2. Wählen Sie auf der Registerkarte Global S3-API-Zertifikat aus.

  3. Wählen Sie Standardzertifikat verwenden.

    Wenn Sie die Standardversion des globalen S3-API-Zertifikats wiederherstellen, werden die von Ihnen konfigurierten benutzerdefinierten Serverzertifikatsdateien gelöscht und können nicht vom System wiederhergestellt werden. Das standardmäßige S3-API-Zertifikat wird für nachfolgende neue S3-Clientverbindungen zu Speicherknoten verwendet.

  4. Wählen Sie OK, um die Warnung zu bestätigen und das Standard-S3-API-Zertifikat wiederherzustellen.

    Wenn Sie über Root-Zugriffsberechtigung verfügen und das benutzerdefinierte S3-API-Zertifikat für Verbindungen mit Load Balancer-Endpunkten verwendet wurde, wird eine Liste der Load Balancer-Endpunkte angezeigt, auf die mit dem standardmäßigen S3-API-Zertifikat nicht mehr zugegriffen werden kann. Gehe zu"Konfigurieren von Load Balancer-Endpunkten" um die betroffenen Endpunkte zu bearbeiten oder zu entfernen.

  5. Aktualisieren Sie die Seite, um sicherzustellen, dass der Webbrowser aktualisiert ist.

Laden Sie das S3-API-Zertifikat herunter oder kopieren Sie es

Sie können den Inhalt des S3-API-Zertifikats zur Verwendung an anderer Stelle speichern oder kopieren.

Schritte

  1. Wählen Sie KONFIGURATION > Sicherheit > Zertifikate.

  2. Wählen Sie auf der Registerkarte Global S3-API-Zertifikat aus.

  3. Wählen Sie die Registerkarte Server oder CA-Paket und laden Sie anschließend das Zertifikat herunter oder kopieren Sie es.

    Zertifikatsdatei oder CA-Paket herunterladen

    Laden Sie das Zertifikat oder CA-Paket herunter .pem Datei. Wenn Sie ein optionales CA-Paket verwenden, wird jedes Zertifikat im Paket auf einer eigenen Unterregisterkarte angezeigt.

    1. Wählen Sie Zertifikat herunterladen oder CA-Paket herunterladen.

      Wenn Sie ein CA-Paket herunterladen, werden alle Zertifikate in den sekundären Registerkarten des CA-Pakets als einzelne Datei heruntergeladen.

    2. Geben Sie den Namen der Zertifikatsdatei und den Download-Speicherort an. Speichern Sie die Datei mit der Erweiterung .pem .

      Beispiel: storagegrid_certificate.pem

    Zertifikat oder CA-Bundle PEM kopieren

    Kopieren Sie den Zertifikatstext, um ihn an anderer Stelle einzufügen. Wenn Sie ein optionales CA-Paket verwenden, wird jedes Zertifikat im Paket auf einer eigenen Unterregisterkarte angezeigt.

    1. Wählen Sie Zertifikat PEM kopieren oder CA-Paket PEM kopieren.

      Wenn Sie ein CA-Paket kopieren, werden alle Zertifikate in den sekundären Registerkarten des CA-Pakets zusammen kopiert.

    2. Fügen Sie das kopierte Zertifikat in einen Texteditor ein.

    3. Speichern Sie die Textdatei mit der Erweiterung .pem .

      Beispiel: storagegrid_certificate.pem

Ähnliche Informationen