Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configure los certificados de API S3

Colaboradores
PDF

Es posible reemplazar o restaurar el certificado de servidor que se utiliza para las conexiones de cliente S3 a los nodos de almacenamiento o para extremos de equilibrador de carga. El certificado de servidor personalizado de reemplazo es específico de su organización.

Consejo Se han eliminado los detalles de Swift de esta versión del sitio del documento. Consulte "StorageGRID 11,8: Configure los certificados de API S3 y Swift".
Acerca de esta tarea

De forma predeterminada, cada nodo de almacenamiento recibe un certificado de servidor X.509 firmado por la CA de grid. Estos certificados firmados por CA pueden sustituirse por un solo certificado de servidor personalizado común y una clave privada correspondiente.

Un único certificado de servidor personalizado se usa para todos los nodos de almacenamiento, por lo que debe especificar el certificado como comodín o certificado de varios dominios si los clientes necesitan verificar el nombre de host al conectarse al extremo de almacenamiento. Defina el certificado personalizado de forma que coincida con todos los nodos de almacenamiento de la cuadrícula.

Después de completar la configuración en el servidor, es posible que también necesite instalar el certificado de Grid CA en el cliente API S3 que utilizará para acceder al sistema, según la autoridad de certificación (CA) raíz que esté utilizando.

Nota Para garantizar que las operaciones no se interrumpan por un certificado de servidor fallido, la alerta Expiración del certificado de servidor global para la API S3 se activa cuando el certificado del servidor raíz está a punto de expirar. Según sea necesario, puede ver cuándo caduca el certificado actual seleccionando CONFIGURACIÓN > SEGURIDAD > Certificados y mirando la fecha de caducidad del certificado API S3 en la pestaña Global.

Puede cargar o generar un certificado API personalizado de S3.

Agregue un certificado API S3 personalizado

Pasos

  1. Seleccione CONFIGURACIÓN > Seguridad > certificados.

  2. En la pestaña Global, seleccione S3 certificado API.

  3. Seleccione utilizar certificado personalizado.

  4. Cargue o genere el certificado.

    Cargue el certificado

    Cargue los archivos de certificado de servidor requeridos.

    1. Seleccione cargar certificado.

    2. Cargue los archivos de certificado de servidor requeridos:

      • Certificado de servidor: El archivo de certificado de servidor personalizado (codificado con PEM).

      • Clave privada del certificado: El archivo de clave privada del certificado del servidor personalizado (.key).

        Nota Las claves privadas EC deben ser de 224 bits o más. Las claves privadas RSA deben ser de 2048 bits o más.

      • Paquete CA: Un único archivo opcional que contiene los certificados de cada autoridad de certificación de emisión intermedia. El archivo debe contener cada uno de los archivos de certificado de CA codificados con PEM, concatenados en el orden de la cadena de certificados.

    3. Seleccione los detalles del certificado para mostrar los metadatos y el PEM de cada certificado de API S3 personalizado que se cargó. Si cargó un paquete de CA opcional, cada certificado aparece en su propia pestaña.

      • Seleccione Descargar certificado para guardar el archivo de certificado o seleccione Descargar paquete de CA para guardar el paquete de certificados.

        Especifique el nombre del archivo de certificado y la ubicación de descarga. Guarde el archivo con la extensión .pem.

      Por ejemplo: storagegrid_certificate.pem

      • Seleccione Copiar certificado PEM o Copiar paquete de CA PEM para copiar el contenido del certificado para pegarlo en otro lugar.

    4. Seleccione Guardar.

      El certificado de servidor personalizado se utiliza para las nuevas conexiones de cliente S3 posteriores.

    Generar certificado

    Genere los archivos de certificado de servidor.

    1. Seleccione generar certificado.

    2. Especifique la información del certificado:

      Campo Descripción

      Nombre de dominio

      Uno o varios nombres de dominio completos que se deben incluir en el certificado. Utilice un * como comodín para representar varios nombres de dominio.

      IP

      Una o más direcciones IP que se incluirán en el certificado.

      Asunto (opcional)

      X,509 Asunto o nombre distinguido (DN) del propietario del certificado.

      Si no se introduce ningún valor en este campo, el certificado generado utiliza el primer nombre de dominio o la dirección IP como nombre común del asunto (CN).

      Días válidos

      Núm. De días después de la creación que caduca el certificado.

      Agregue extensiones de uso de claves

      Si se selecciona (predeterminado y recomendado), las extensiones de uso de claves y uso de claves ampliado se agregan al certificado generado.

      Estas extensiones definen el propósito de la clave contenida en el certificado.

      Nota: Deje esta casilla de verificación seleccionada a menos que experimente problemas de conexión con clientes antiguos cuando los certificados incluyen estas extensiones.

    3. Seleccione generar.

    4. Seleccione Detalles del certificado para mostrar los metadatos y PEM para el certificado API S3 personalizado que se generó.

      • Seleccione Descargar certificado para guardar el archivo de certificado.

        Especifique el nombre del archivo de certificado y la ubicación de descarga. Guarde el archivo con la extensión .pem.

      Por ejemplo: storagegrid_certificate.pem

      • Seleccione Copiar certificado PEM para copiar el contenido del certificado para pegarlo en otro lugar.

    5. Seleccione Guardar.

      El certificado de servidor personalizado se utiliza para las nuevas conexiones de cliente S3 posteriores.

  5. Seleccione una pestaña para mostrar los metadatos del certificado de servidor StorageGRID predeterminado, un certificado firmado de una CA que se cargó o un certificado personalizado generado.

    Nota Tras cargar o generar un nuevo certificado, permita que se borren las alertas de caducidad de los certificados relacionados.

  6. Actualice la página para garantizar que se actualice el explorador web.

  7. Después de añadir un certificado de API S3 personalizado, la página de certificado de API S3 muestra información de certificados detallada para el certificado de API S3 personalizado que está en uso. + puede descargar o copiar el certificado PEM según sea necesario.

Restaure el certificado API S3 predeterminado

Se puede revertir a utilizar el certificado de API S3 predeterminado para conexiones de cliente S3 a los nodos de almacenamiento. Sin embargo, no puede usar el certificado de API S3 predeterminado para un punto final de equilibrio de carga.

Pasos

  1. Seleccione CONFIGURACIÓN > Seguridad > certificados.

  2. En la pestaña Global, seleccione S3 certificado API.

  3. Seleccione utilizar certificado predeterminado.

    Cuando restaura la versión predeterminada del certificado de API global S3, los archivos de certificado de servidor personalizados que configuró se eliminan y no se pueden recuperar del sistema. El certificado de API S3 predeterminado se utilizará para las siguientes conexiones de cliente nuevos S3 a nodos de almacenamiento.

  4. Seleccione OK para confirmar la advertencia y restaurar el certificado API S3 predeterminado.

    Si tiene permiso de acceso raíz y se ha utilizado el certificado de API S3 personalizado para las conexiones de punto final del equilibrador de carga, se muestra una lista de puntos finales del equilibrador de carga a los que ya no se podrá acceder utilizando el certificado de API S3 predeterminado. Vaya a "Configurar puntos finales del equilibrador de carga" para editar o eliminar los puntos finales afectados.

  5. Actualice la página para garantizar que se actualice el explorador web.

Descargue o copie el certificado API S3

Puede guardar o copiar el contenido del certificado API de S3 para utilizarlo en cualquier otro lugar.

Pasos

  1. Seleccione CONFIGURACIÓN > Seguridad > certificados.

  2. En la pestaña Global, seleccione S3 certificado API.

  3. Seleccione la ficha servidor o paquete CA y, a continuación, descargue o copie el certificado.

    Descargue el archivo de certificado o el paquete de CA

    Descargue el certificado o el archivo del bundle de CA .pem. Si utiliza un bundle de CA opcional, cada certificado del paquete se muestra en su propia subpestaña.

    1. Seleccione Descargar certificado o Descargar paquete de CA.

      Si está descargando un bundle de CA, todos los certificados de las pestañas secundarias del bundle de CA se descargan como un solo archivo.

    2. Especifique el nombre del archivo de certificado y la ubicación de descarga. Guarde el archivo con la extensión .pem.

      Por ejemplo: storagegrid_certificate.pem

    Copie el certificado o el paquete de CA PEM

    Copie el texto del certificado que se va a pegar en otro lugar. Si utiliza un bundle de CA opcional, cada certificado del paquete se muestra en su propia subpestaña.

    1. Seleccione Copiar certificado PEM o Copiar paquete de CA PEM.

      Si va a copiar un bundle de CA, todos los certificados de las pestañas secundarias del bundle de CA se copian al mismo tiempo.

    2. Pegue el certificado copiado en un editor de texto.

    3. Guarde el archivo de texto con la extensión .pem.

      Por ejemplo: storagegrid_certificate.pem

Información relacionada