Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configurar certificados de interfaz de administración

PDF

Puede reemplazar el certificado de interfaz de administración predeterminado con un único certificado personalizado que permita a los usuarios acceder al Administrador de Grid y al Administrador de inquilinos sin encontrar advertencias de seguridad. También puede volver al certificado de interfaz de administración predeterminado o generar uno nuevo.

Acerca de esta tarea

De forma predeterminada, a cada nodo de administración se le emite un certificado firmado por la CA de la red. Estos certificados firmados por CA se pueden reemplazar por un único certificado de interfaz de administración personalizada común y su clave privada correspondiente.

Debido a que se utiliza un único certificado de interfaz de administración personalizado para todos los nodos de administración, debe especificar el certificado como comodín o como certificado multidominio si los clientes necesitan verificar el nombre de host al conectarse al Administrador de red y al Administrador de inquilinos. Defina el certificado personalizado de modo que coincida con todos los nodos de administración en la cuadrícula.

Debe completar la configuración en el servidor y, dependiendo de la autoridad de certificación raíz (CA) que esté utilizando, los usuarios también podrían necesitar instalar el certificado de CA de Grid en el navegador web que usarán para acceder a Grid Manager y Tenant Manager.

Nota Para garantizar que las operaciones no se vean interrumpidas por un certificado de servidor fallido, se activa la alerta Expiración del certificado de servidor para la interfaz de administración cuando este certificado de servidor está a punto de expirar. Según sea necesario, puede ver cuándo vence el certificado actual seleccionando CONFIGURACIÓN > Seguridad > Certificados y mirando la fecha de vencimiento del certificado de la interfaz de administración en la pestaña Global.
Nota

Si accede al Administrador de red o al Administrador de inquilinos mediante un nombre de dominio en lugar de una dirección IP, el navegador muestra un error de certificado sin una opción para omitirlo si ocurre alguna de las siguientes situaciones:

Agregar un certificado de interfaz de administración personalizado

Para agregar un certificado de interfaz de administración personalizado, puede proporcionar su propio certificado o generar uno utilizando Grid Manager.

Pasos

  1. Seleccione CONFIGURACIÓN > Seguridad > Certificados.

  2. En la pestaña Global, seleccione Certificado de interfaz de administración.

  3. Seleccione Usar certificado personalizado.

  4. Subir o generar el certificado.

    Subir certificado

    Cargue los archivos de certificado de servidor necesarios.

    1. Seleccione Subir certificado.

    2. Cargue los archivos de certificado de servidor necesarios:

      • Certificado de servidor: el archivo de certificado de servidor personalizado (codificado en PEM).

      • Clave privada del certificado: El archivo de clave privada del certificado del servidor personalizado(.key ).

        Nota Las claves privadas EC deben tener 224 bits o más. Las claves privadas RSA deben tener 2048 bits o más.

      • Paquete CA: un único archivo opcional que contiene los certificados de cada autoridad de certificación (CA) emisora intermedia. El archivo debe contener cada uno de los archivos de certificado CA codificados en PEM, concatenados en el orden de la cadena de certificados.

    3. Expande Detalles del certificado para ver los metadatos de cada certificado que hayas cargado. Si cargó un paquete de CA opcional, cada certificado se muestra en su propia pestaña.

      • Seleccione Descargar certificado para guardar el archivo de certificado o seleccione Descargar paquete de CA para guardar el paquete de certificados.

        Especifique el nombre del archivo del certificado y la ubicación de descarga. Guarde el archivo con la extensión .pem .

      Por ejemplo: storagegrid_certificate.pem

      • Seleccione Copiar certificado PEM o Copiar paquete CA PEM para copiar el contenido del certificado y pegarlo en otro lugar.

    4. Seleccione Guardar. + El certificado de interfaz de administración personalizada se utiliza para todas las nuevas conexiones posteriores a Grid Manager, Tenant Manager, Grid Manager API o Tenant Manager API.

    Generar certificado

    Generar los archivos de certificado del servidor.

    Nota La mejor práctica para un entorno de producción es utilizar un certificado de interfaz de administración personalizado firmado por una autoridad de certificación externa.

    1. Seleccione Generar certificado.

    2. Especifique la información del certificado:

      Campo Descripción

      Nombre de dominio

      Uno o más nombres de dominio completos para incluir en el certificado. Utilice un * como comodín para representar varios nombres de dominio.

      Propiedad intelectual

      Una o más direcciones IP para incluir en el certificado.

      Asunto (opcional)

      Sujeto X.509 o nombre distinguido (DN) del propietario del certificado.

      Si no se ingresa ningún valor en este campo, el certificado generado utiliza el primer nombre de dominio o dirección IP como nombre común del sujeto (CN).

      Días válidos

      Número de días después de su creación que expira el certificado.

      Agregar extensiones de uso de claves

      Si se selecciona (predeterminado y recomendado), las extensiones de uso de clave y uso de clave extendido se agregan al certificado generado.

      Estas extensiones definen el propósito de la clave contenida en el certificado.

      Nota: Deje esta casilla de verificación seleccionada a menos que experimente problemas de conexión con clientes más antiguos cuando los certificados incluyan estas extensiones.

    3. Seleccione Generar.

    4. Seleccione Detalles del certificado para ver los metadatos del certificado generado.

      • Seleccione Descargar certificado para guardar el archivo del certificado.

        Especifique el nombre del archivo del certificado y la ubicación de descarga. Guarde el archivo con la extensión .pem .

      Por ejemplo: storagegrid_certificate.pem

      • Seleccione Copiar certificado PEM para copiar el contenido del certificado y pegarlo en otro lugar.

    5. Seleccione Guardar. + El certificado de interfaz de administración personalizada se utiliza para todas las nuevas conexiones posteriores a Grid Manager, Tenant Manager, Grid Manager API o Tenant Manager API.

  5. Actualice la página para asegurarse de que el navegador web esté actualizado.

    Nota Después de cargar o generar un nuevo certificado, espere hasta un día para que desaparezcan las alertas de vencimiento del certificado relacionadas.

  6. Después de agregar un certificado de interfaz de administración personalizado, la página Certificado de interfaz de administración muestra información detallada de los certificados que están en uso. + Puede descargar o copiar el certificado PEM según sea necesario.

Restaurar el certificado de interfaz de administración predeterminado

Puede volver a utilizar el certificado de interfaz de administración predeterminado para las conexiones de Grid Manager y Tenant Manager.

Pasos

  1. Seleccione CONFIGURACIÓN > Seguridad > Certificados.

  2. En la pestaña Global, seleccione Certificado de interfaz de administración.

  3. Seleccione Usar certificado predeterminado.

    Cuando restaura el certificado de interfaz de administración predeterminado, los archivos de certificado de servidor personalizados que configuró se eliminan y no se pueden recuperar del sistema. El certificado de interfaz de administración predeterminado se utiliza para todas las conexiones de nuevos clientes posteriores.

  4. Actualice la página para asegurarse de que el navegador web esté actualizado.

Utilice un script para generar un nuevo certificado de interfaz de administración autofirmado

Si se requiere una validación estricta del nombre de host, puede utilizar un script para generar el certificado de interfaz de administración.

Antes de empezar
Acerca de esta tarea

La mejor práctica para un entorno de producción es utilizar un certificado firmado por una autoridad de certificación externa.

Pasos

  1. Obtenga el nombre de dominio completo (FQDN) de cada nodo de administración.

  2. Inicie sesión en el nodo de administración principal:

    1. Introduzca el siguiente comando: ssh admin@primary_Admin_Node_IP

    2. Introduzca la contraseña que aparece en el Passwords.txt archivo.

    3. Introduzca el siguiente comando para cambiar a root: su -

    4. Introduzca la contraseña que aparece en el Passwords.txt archivo.

      Cuando inicia sesión como root, el mensaje cambia de $ a # .

  3. Configure StorageGRID con un nuevo certificado autofirmado.

    $ sudo make-certificate --domains wildcard-admin-node-fqdn --type management

    • Para --domains , utilice caracteres comodín para representar los nombres de dominio completos de todos los nodos de administración. Por ejemplo, *.ui.storagegrid.example.com utiliza el comodín * para representar admin1.ui.storagegrid.example.com y admin2.ui.storagegrid.example.com .

    • Colocar --type a management para configurar el certificado de la interfaz de administración, que utilizan Grid Manager y Tenant Manager.

    • De forma predeterminada, los certificados generados son válidos por un año (365 días) y deben volver a crearse antes de que caduquen. Puedes utilizar el --days argumento para anular el período de validez predeterminado.

      Nota El período de validez de un certificado comienza cuando make-certificate se ejecuta. Debe asegurarse de que el cliente de administración esté sincronizado con la misma fuente de tiempo que StorageGRID; de lo contrario, el cliente podría rechazar el certificado. 
      $ sudo make-certificate --domains *.ui.storagegrid.example.com --type management --days 720

      La salida resultante contiene el certificado público que necesita su cliente de API de administración.

  4. Seleccione y copie el certificado.

    Incluya las etiquetas BEGIN y END en su selección.

  5. Cierre la sesión del shell de comandos. $ exit

  6. Confirme que se configuró el certificado:

    1. Acceda al Administrador de cuadrícula.

    2. Seleccione CONFIGURACIÓN > Seguridad > Certificados

    3. En la pestaña Global, seleccione Certificado de interfaz de administración.

  7. Configure su cliente de administración para utilizar el certificado público que copió. Incluya las etiquetas BEGIN y END.

Descargue o copie el certificado de interfaz de administración

Puede guardar o copiar el contenido del certificado de la interfaz de administración para usarlo en otro lugar.

Pasos

  1. Seleccione CONFIGURACIÓN > Seguridad > Certificados.

  2. En la pestaña Global, seleccione Certificado de interfaz de administración.

  3. Seleccione la pestaña Servidor o Paquete CA y luego descargue o copie el certificado.

    Descargar archivo de certificado o paquete de CA

    Descargar el certificado o paquete de CA .pem archivo. Si está utilizando un paquete de CA opcional, cada certificado del paquete se muestra en su propia subpestaña.

    1. Seleccione Descargar certificado o Descargar paquete de CA.

      Si está descargando un paquete de CA, todos los certificados en las pestañas secundarias del paquete de CA se descargan como un solo archivo.

    2. Especifique el nombre del archivo del certificado y la ubicación de descarga. Guarde el archivo con la extensión .pem .

      Por ejemplo: storagegrid_certificate.pem

    Copiar certificado o paquete de CA PEM

    Copie el texto del certificado para pegarlo en otro lugar. Si está utilizando un paquete de CA opcional, cada certificado del paquete se muestra en su propia subpestaña.

    1. Seleccione Copiar certificado PEM o Copiar paquete CA PEM.

      Si está copiando un paquete de CA, todos los certificados en las pestañas secundarias del paquete de CA se copian juntos.

    2. Pegue el certificado copiado en un editor de texto.

    3. Guarde el archivo de texto con la extensión .pem .

      Por ejemplo: storagegrid_certificate.pem