Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Konfigurieren Sie S3-API-Zertifikate

Beitragende
PDFs

Sie können das Serverzertifikat ersetzen oder wiederherstellen, das für S3-Clientverbindungen zu Storage Nodes oder zu Load Balancer-Endpunkten verwendet wird. Das benutzerdefinierte Ersatzserverzertifikat ist speziell für Ihr Unternehmen bestimmt.

Tipp Swift-Details wurden aus dieser Version der doc-Site entfernt. Siehe "StorageGRID 11.8: Konfigurieren Sie S3- und Swift-API-Zertifikate".
Über diese Aufgabe

Standardmäßig wird jeder Speicherknoten ein X.509-Serverzertifikat ausgestellt, das von der Grid-CA signiert wurde. Diese CA-signierten Zertifikate können durch ein einziges allgemeines benutzerdefiniertes Serverzertifikat und den entsprechenden privaten Schlüssel ersetzt werden.

Für alle Speicherknoten wird ein einzelnes benutzerdefiniertes Serverzertifikat verwendet. Sie müssen daher das Zertifikat als Platzhalter- oder Multidomain-Zertifikat angeben, wenn Clients den Hostnamen bei der Verbindung mit dem Speicherendpunkt überprüfen müssen. Definieren Sie das benutzerdefinierte Zertifikat, sodass es mit allen Speicherknoten im Raster übereinstimmt.

Nach Abschluss der Konfiguration auf dem Server müssen Sie möglicherweise auch das Grid-CA-Zertifikat in dem S3-API-Client installieren, den Sie für den Zugriff auf das System verwenden, je nachdem, welche Root-Zertifizierungsstelle Sie verwenden.

Hinweis Um sicherzustellen, dass der Betrieb nicht durch ein fehlerhaftes Serverzertifikat unterbrochen wird, wird die Warnmeldung Ablauf des globalen Serverzertifikats für S3 API ausgelöst, wenn das Stammserverzertifikat abläuft. Wenn erforderlich, können Sie anzeigen, wann das aktuelle Zertifikat abläuft, indem Sie CONFIGURATION > Security > Certificates auswählen und das Ablaufdatum des S3 API-Zertifikats auf der Registerkarte Global anzeigen.

Sie können ein benutzerdefiniertes S3-API-Zertifikat hochladen oder generieren.

Fügen Sie ein benutzerdefiniertes S3-API-Zertifikat hinzu

Schritte

  1. Wählen Sie KONFIGURATION > Sicherheit > Zertifikate.

  2. Wählen Sie auf der Registerkarte Global S3 API-Zertifikat aus.

  3. Wählen Sie Benutzerdefiniertes Zertifikat verwenden.

  4. Hochladen oder Generieren des Zertifikats

    Zertifikat hochladen

    Laden Sie die erforderlichen Serverzertifikatdateien hoch.

    1. Wählen Sie Zertifikat hochladen.

    2. Laden Sie die erforderlichen Serverzertifikatdateien hoch:

      • Server-Zertifikat: Die benutzerdefinierte Server-Zertifikatdatei (PEM-codiert).

      • Zertifikat privater Schlüssel: Die benutzerdefinierte Server Zertifikat private Schlüsseldatei (.key).

        Hinweis EC Private Keys müssen mindestens 224 Bit groß sein. RSA Private Keys müssen mindestens 2048 Bit groß sein.

      • CA-Paket: Eine einzelne optionale Datei, die die Zertifikate jeder Intermediate-Zertifizierungsstelle enthält. Die Datei sollte alle PEM-kodierten CA-Zertifikatdateien enthalten, die in der Reihenfolge der Zertifikatskette verkettet sind.

    3. Wählen Sie die Zertifikatdetails aus, um die Metadaten und PEM für jedes benutzerdefinierte S3-API-Zertifikat anzuzeigen, das hochgeladen wurde. Wenn Sie ein optionales CA-Paket hochgeladen haben, wird jedes Zertifikat auf seiner eigenen Registerkarte angezeigt.

      • Wählen Sie Zertifikat herunterladen, um die Zertifikatdatei zu speichern, oder wählen Sie CA-Paket herunterladen, um das Zertifikatspaket zu speichern.

        Geben Sie den Namen der Zertifikatdatei und den Speicherort für den Download an. Speichern Sie die Datei mit der Endung .pem.

      Beispiel: storagegrid_certificate.pem

      • Wählen Sie Zertifikat kopieren PEM oder CA-Paket kopieren PEM aus, um den Zertifikatinhalt zum Einfügen an eine andere Stelle zu kopieren.

    4. Wählen Sie Speichern.

      Das benutzerdefinierte Serverzertifikat wird für nachfolgende neue S3-Client-Verbindungen verwendet.

    Zertifikat wird generiert

    Erstellen Sie die Serverzertifikatdateien.

    1. Wählen Sie Zertifikat erstellen.

    2. Geben Sie die Zertifikatsinformationen an:

      Feld Beschreibung

      Domain-Name

      Mindestens ein vollständig qualifizierter Domänenname, der in das Zertifikat aufgenommen werden soll. Verwenden Sie ein * als Platzhalter, um mehrere Domain-Namen darzustellen.

      IP

      Mindestens eine IP-Adresse, die in das Zertifikat aufgenommen werden soll.

      Betreff (optional)

      X.509 Subject oder Distinguished Name (DN) des Zertifikateigentümers.

      Wenn in diesem Feld kein Wert eingegeben wird, verwendet das generierte Zertifikat den ersten Domänennamen oder die IP-Adresse als allgemeinen Studienteilnehmer (CN).

      Tage gültig

      Anzahl der Tage nach Erstellung, nach denen das Zertifikat abläuft.

      Fügen Sie wichtige Nutzungserweiterungen hinzu

      Wenn diese Option ausgewählt ist (Standard und empfohlen), werden die Schlüsselnutzung und die erweiterten Schlüsselnutzungserweiterungen dem generierten Zertifikat hinzugefügt.

      Diese Erweiterungen definieren den Zweck des Schlüssels, der im Zertifikat enthalten ist.

      Hinweis: Lassen Sie dieses Kontrollkästchen aktiviert, es sei denn, Sie haben Verbindungsprobleme mit älteren Clients, wenn Zertifikate diese Erweiterungen enthalten.

    3. Wählen Sie Erzeugen.

    4. Wählen Sie Certificate Details, um die Metadaten und PEM für das erzeugte benutzerdefinierte S3 API-Zertifikat anzuzeigen.

      • Wählen Sie Zertifikat herunterladen, um die Zertifikatdatei zu speichern.

        Geben Sie den Namen der Zertifikatdatei und den Speicherort für den Download an. Speichern Sie die Datei mit der Endung .pem.

      Beispiel: storagegrid_certificate.pem

      • Wählen Sie Zertifikat kopieren PEM aus, um den Zertifikatinhalt zum Einfügen an eine andere Stelle zu kopieren.

    5. Wählen Sie Speichern.

      Das benutzerdefinierte Serverzertifikat wird für nachfolgende neue S3-Client-Verbindungen verwendet.

  5. Wählen Sie eine Registerkarte aus, um Metadaten für das Standard-StorageGRID-Serverzertifikat, ein Zertifikat mit einer Zertifizierungsstelle, das hochgeladen wurde, oder ein benutzerdefiniertes Zertifikat anzuzeigen, das erstellt wurde.

    Hinweis Nachdem Sie ein Zertifikat hochgeladen oder generiert haben, lassen Sie sich bis zu einen Tag lang alle damit verbundenen Warnmeldungen zum Ablauf des Zertifikats löschen.

  6. Aktualisieren Sie die Seite, um sicherzustellen, dass der Webbrowser aktualisiert wird.

  7. Nach dem Hinzufügen eines benutzerdefinierten S3-API-Zertifikats zeigt die Seite mit dem S3-API-Zertifikat detaillierte Zertifikatinformationen für das verwendete benutzerdefinierte S3-API-Zertifikat an. + Sie können das PEM-Zertifikat nach Bedarf herunterladen oder kopieren.

Stellen Sie das standardmäßige S3-API-Zertifikat wieder her

Sie können auf die Verwendung des standardmäßigen S3-API-Zertifikats für S3-Client-Verbindungen zu Storage-Nodes zurücksetzen. Sie können jedoch das S3-API-Standardzertifikat nicht für einen Load Balancer-Endpunkt verwenden.

Schritte

  1. Wählen Sie KONFIGURATION > Sicherheit > Zertifikate.

  2. Wählen Sie auf der Registerkarte Global S3 API-Zertifikat aus.

  3. Wählen Sie Standard-Zertifikat verwenden.

    Wenn Sie die Standardversion des globalen S3-API-Zertifikats wiederherstellen, werden die von Ihnen konfigurierten benutzerdefinierten Serverzertifikatdateien gelöscht und können nicht vom System wiederhergestellt werden. Das S3-API-Standardzertifikat wird für nachfolgende neue S3-Client-Verbindungen zu Storage-Nodes verwendet.

  4. Wählen Sie OK, um die Warnung zu bestätigen und das Standard-S3-API-Zertifikat wiederherzustellen.

    Wenn Sie über Root-Zugriffsberechtigungen verfügen und das benutzerdefinierte S3-API-Zertifikat für Load Balancer-Endpunktverbindungen verwendet wurde, wird eine Liste der Load Balancer-Endpunkte angezeigt, auf die über das standardmäßige S3-API-Zertifikat nicht mehr zugegriffen werden kann. Gehen Sie zu, um die betroffenen Endpunkte zu "Konfigurieren von Load Balancer-Endpunkten"bearbeiten oder zu entfernen.

  5. Aktualisieren Sie die Seite, um sicherzustellen, dass der Webbrowser aktualisiert wird.

Laden Sie das S3-API-Zertifikat herunter oder kopieren Sie es

Sie können den Inhalt des S3-API-Zertifikats speichern oder kopieren und an anderer Stelle verwenden.

Schritte

  1. Wählen Sie KONFIGURATION > Sicherheit > Zertifikate.

  2. Wählen Sie auf der Registerkarte Global S3 API-Zertifikat aus.

  3. Wählen Sie die Registerkarte Server oder CA Bundle aus und laden Sie das Zertifikat herunter oder kopieren Sie es.

    Laden Sie die Zertifikatdatei oder das CA-Paket herunter

    Laden Sie das Zertifikat oder die CA-Paketdatei herunter .pem. Wenn Sie ein optionales CA-Bundle verwenden, wird jedes Zertifikat im Paket auf seiner eigenen Unterregisterkarte angezeigt.

    1. Wählen Sie Zertifikat herunterladen oder CA-Paket herunterladen.

      Wenn Sie ein CA-Bundle herunterladen, werden alle Zertifikate in den sekundären Registerkarten des CA-Pakets als einzelne Datei heruntergeladen.

    2. Geben Sie den Namen der Zertifikatdatei und den Speicherort für den Download an. Speichern Sie die Datei mit der Endung .pem.

      Beispiel: storagegrid_certificate.pem

    Zertifikat oder CA-Bundle-PEM kopieren

    Kopieren Sie den Zertifikatstext, um ihn an eine andere Stelle einzufügen. Wenn Sie ein optionales CA-Bundle verwenden, wird jedes Zertifikat im Paket auf seiner eigenen Unterregisterkarte angezeigt.

    1. Wählen Sie Zertifikat kopieren PEM oder CA-Paket kopieren PEM.

      Wenn Sie ein CA-Bundle kopieren, kopieren alle Zertifikate in den sekundären Registerkarten des CA-Bundles zusammen.

    2. Fügen Sie das kopierte Zertifikat in einen Texteditor ein.

    3. Speichern Sie die Textdatei mit der Endung .pem.

      Beispiel: storagegrid_certificate.pem

Verwandte Informationen