Configurar certificados de API S3
Puede reemplazar o restaurar el certificado de servidor que se utiliza para las conexiones de cliente S3 a los nodos de almacenamiento o a los puntos finales del equilibrador de carga. El certificado de servidor personalizado de reemplazo es específico para su organización.
|
Se han eliminado los detalles rápidos de esta versión del sitio de documentación. Ver "StorageGRID 11.8: Configurar certificados de API de S3 y Swift" . |
De forma predeterminada, a cada nodo de almacenamiento se le emite un certificado de servidor X.509 firmado por la CA de la red. Estos certificados firmados por CA se pueden reemplazar por un único certificado de servidor personalizado común y su clave privada correspondiente.
Se utiliza un único certificado de servidor personalizado para todos los nodos de almacenamiento, por lo que debe especificar el certificado como comodín o un certificado multidominio si los clientes necesitan verificar el nombre de host al conectarse al punto final de almacenamiento. Defina el certificado personalizado de modo que coincida con todos los nodos de almacenamiento de la red.
Después de completar la configuración en el servidor, es posible que también necesite instalar el certificado CA de Grid en el cliente API S3 que usará para acceder al sistema, dependiendo de la autoridad de certificación raíz (CA) que esté utilizando.
|
Para garantizar que las operaciones no se vean interrumpidas por un certificado de servidor fallido, la alerta Expiración del certificado de servidor global para la API S3 se activa cuando el certificado del servidor raíz está a punto de expirar. Según sea necesario, puede ver cuándo vence el certificado actual seleccionando CONFIGURACIÓN > Seguridad > Certificados y mirando la fecha de vencimiento del certificado de API S3 en la pestaña Global. |
Puede cargar o generar un certificado API S3 personalizado.
Agregar un certificado API S3 personalizado
-
Seleccione CONFIGURACIÓN > Seguridad > Certificados.
-
En la pestaña Global, seleccione Certificado API S3.
-
Seleccione Usar certificado personalizado.
-
Subir o generar el certificado.
Subir certificadoCargue los archivos de certificado de servidor necesarios.
-
Seleccione Subir certificado.
-
Cargue los archivos de certificado de servidor necesarios:
-
Certificado de servidor: el archivo de certificado de servidor personalizado (codificado en PEM).
-
Clave privada del certificado: El archivo de clave privada del certificado del servidor personalizado(
.key
).Las claves privadas EC deben tener 224 bits o más. Las claves privadas RSA deben tener 2048 bits o más. -
Paquete CA: un único archivo opcional que contiene los certificados de cada autoridad de certificación emisora intermedia. El archivo debe contener cada uno de los archivos de certificado CA codificados en PEM, concatenados en el orden de la cadena de certificados.
-
-
Seleccione los detalles del certificado para mostrar los metadatos y PEM de cada certificado API S3 personalizado que se cargó. Si cargó un paquete de CA opcional, cada certificado se muestra en su propia pestaña.
-
Seleccione Descargar certificado para guardar el archivo de certificado o seleccione Descargar paquete de CA para guardar el paquete de certificados.
Especifique el nombre del archivo del certificado y la ubicación de descarga. Guarde el archivo con la extensión
.pem
.
Por ejemplo:
storagegrid_certificate.pem
-
Seleccione Copiar certificado PEM o Copiar paquete CA PEM para copiar el contenido del certificado y pegarlo en otro lugar.
-
-
Seleccione Guardar.
El certificado de servidor personalizado se utiliza para nuevas conexiones de cliente S3 posteriores.
Generar certificadoGenerar los archivos de certificado del servidor.
-
Seleccione Generar certificado.
-
Especifique la información del certificado:
Campo Descripción Nombre de dominio
Uno o más nombres de dominio completos para incluir en el certificado. Utilice un * como comodín para representar varios nombres de dominio.
Propiedad intelectual
Una o más direcciones IP para incluir en el certificado.
Asunto (opcional)
Sujeto X.509 o nombre distinguido (DN) del propietario del certificado.
Si no se ingresa ningún valor en este campo, el certificado generado utiliza el primer nombre de dominio o dirección IP como nombre común del sujeto (CN).
Días válidos
Número de días después de su creación que expira el certificado.
Agregar extensiones de uso de claves
Si se selecciona (predeterminado y recomendado), las extensiones de uso de clave y uso de clave extendido se agregan al certificado generado.
Estas extensiones definen el propósito de la clave contenida en el certificado.
Nota: Deje esta casilla de verificación seleccionada a menos que experimente problemas de conexión con clientes más antiguos cuando los certificados incluyan estas extensiones.
-
Seleccione Generar.
-
Seleccione Detalles del certificado para mostrar los metadatos y PEM del certificado API S3 personalizado que se generó.
-
Seleccione Descargar certificado para guardar el archivo del certificado.
Especifique el nombre del archivo del certificado y la ubicación de descarga. Guarde el archivo con la extensión
.pem
.
Por ejemplo:
storagegrid_certificate.pem
-
Seleccione Copiar certificado PEM para copiar el contenido del certificado y pegarlo en otro lugar.
-
-
Seleccione Guardar.
El certificado de servidor personalizado se utiliza para nuevas conexiones de cliente S3 posteriores.
-
-
Seleccione una pestaña para mostrar los metadatos del certificado de servidor StorageGRID predeterminado, un certificado firmado por CA que se cargó o un certificado personalizado que se generó.
Después de cargar o generar un nuevo certificado, espere hasta un día para que desaparezcan las alertas de vencimiento del certificado relacionadas. -
Actualice la página para asegurarse de que el navegador web esté actualizado.
-
Después de agregar un certificado API S3 personalizado, la página del certificado API S3 muestra información detallada del certificado API S3 personalizado que está en uso. + Puede descargar o copiar el certificado PEM según sea necesario.
Restaurar el certificado API S3 predeterminado
Puede volver a utilizar el certificado API S3 predeterminado para las conexiones de cliente S3 a los nodos de almacenamiento. Sin embargo, no puedes usar el certificado API S3 predeterminado para un punto final del balanceador de carga.
-
Seleccione CONFIGURACIÓN > Seguridad > Certificados.
-
En la pestaña Global, seleccione Certificado API S3.
-
Seleccione Usar certificado predeterminado.
Cuando restaura la versión predeterminada del certificado API S3 global, los archivos de certificado de servidor personalizados que configuró se eliminan y no se pueden recuperar del sistema. El certificado API S3 predeterminado se utilizará para las nuevas conexiones de clientes S3 posteriores a los nodos de almacenamiento.
-
Seleccione Aceptar para confirmar la advertencia y restaurar el certificado API S3 predeterminado.
Si tiene permiso de acceso de root y se utilizó el certificado API S3 personalizado para las conexiones de puntos finales del balanceador de carga, se muestra una lista de puntos finales del balanceador de carga que ya no serán accesibles mediante el certificado API S3 predeterminado. Ir a"Configurar los puntos finales del balanceador de carga" para editar o eliminar los puntos finales afectados.
-
Actualice la página para asegurarse de que el navegador web esté actualizado.
Descargue o copie el certificado de API S3
Puede guardar o copiar el contenido del certificado API S3 para usarlo en otro lugar.
-
Seleccione CONFIGURACIÓN > Seguridad > Certificados.
-
En la pestaña Global, seleccione Certificado API S3.
-
Seleccione la pestaña Servidor o Paquete CA y luego descargue o copie el certificado.
Descargar archivo de certificado o paquete de CADescargar el certificado o paquete de CA
.pem
archivo. Si está utilizando un paquete de CA opcional, cada certificado del paquete se muestra en su propia subpestaña.-
Seleccione Descargar certificado o Descargar paquete de CA.
Si está descargando un paquete de CA, todos los certificados en las pestañas secundarias del paquete de CA se descargan como un solo archivo.
-
Especifique el nombre del archivo del certificado y la ubicación de descarga. Guarde el archivo con la extensión
.pem
.Por ejemplo:
storagegrid_certificate.pem
Copiar certificado o paquete de CA PEMCopie el texto del certificado para pegarlo en otro lugar. Si está utilizando un paquete de CA opcional, cada certificado del paquete se muestra en su propia subpestaña.
-
Seleccione Copiar certificado PEM o Copiar paquete CA PEM.
Si está copiando un paquete de CA, todos los certificados en las pestañas secundarias del paquete de CA se copian juntos.
-
Pegue el certificado copiado en un editor de texto.
-
Guarde el archivo de texto con la extensión
.pem
.Por ejemplo:
storagegrid_certificate.pem
-