Configurez les certificats API S3 et Swift
Vous pouvez remplacer ou restaurer le certificat de serveur utilisé pour les connexions client S3 ou Swift vers les nœuds de stockage, le service CLB (Connection Load Balancer) obsolète sur les nœuds de passerelle ou pour charger les noeuds finaux de l'équilibreur. Le certificat de serveur personnalisé de remplacement est spécifique à votre organisation.
Par défaut, chaque nœud de stockage est doté d'un certificat de serveur X.509 signé par l'autorité de certification de la grille. Ces certificats signés par l'autorité de certification peuvent être remplacés par un seul certificat de serveur personnalisé commun et une clé privée correspondante.
Un seul certificat de serveur personnalisé est utilisé pour tous les nœuds de stockage. Vous devez donc spécifier le certificat comme un certificat générique ou multidomaine si les clients doivent vérifier le nom d'hôte lors de la connexion au noeud final de stockage. Définissez le certificat personnalisé de sorte qu'il corresponde à tous les nœuds de stockage de la grille.
Une fois la configuration terminée sur le serveur, vous devrez également installer le certificat d'autorité de certification Grid dans le client API S3 ou Swift que vous utiliserez pour accéder au système, en fonction de l'autorité de certification racine (CA) que vous utilisez.
Pour garantir que les opérations ne sont pas interrompues par un certificat de serveur ayant échoué, l'alerte expiration du certificat de serveur global pour S3 et l'API Swift est déclenchée lorsque le certificat de serveur racine est sur le point d'expirer. Si nécessaire, vous pouvez afficher quand le certificat en cours expire en sélectionnant CONFIGURATION sécurité certificats et en regardant la date d'expiration du certificat API S3 et Swift dans l'onglet Global. |
Vous pouvez charger ou générer un certificat API S3 et Swift personnalisé.
Ajoutez un certificat S3 et Swift personnalisé
-
Sélectionnez CONFIGURATION sécurité certificats.
-
Dans l'onglet Global, sélectionnez S3 et certificat API Swift.
-
Sélectionnez utiliser le certificat personnalisé.
-
Chargez ou générez le certificat.
Télécharger le certificatTéléchargez les fichiers de certificat de serveur requis.
-
Sélectionnez Télécharger le certificat.
-
Téléchargez les fichiers de certificat de serveur requis :
-
Certificat de serveur : fichier de certificat de serveur personnalisé (codé PEM).
-
Clé privée de certificat : fichier de clé privée de certificat de serveur personnalisé (
.key
).Les clés privées EC doivent être de 224 bits ou plus. Les clés privées RSA doivent être de 2048 bits ou plus. -
Paquet CA : un fichier facultatif unique contenant les certificats de chaque autorité de délivrance de certificat intermédiaire. Le fichier doit contenir chacun des fichiers de certificat d'autorité de certification codés au PEM, concaténés dans l'ordre de la chaîne de certificats.
-
-
Sélectionnez les détails du certificat pour afficher les métadonnées et le PEM pour chaque certificat API S3 et Swift personnalisé chargé. Si vous avez téléchargé un bundle CA facultatif, chaque certificat s'affiche sur son propre onglet.
-
Sélectionnez Télécharger le certificat pour enregistrer le fichier de certificat ou sélectionnez Télécharger le paquet CA pour enregistrer le lot de certificats.
Spécifiez le nom du fichier de certificat et l'emplacement de téléchargement. Enregistrez le fichier avec l'extension
.pem
.
Par exemple :
storagegrid_certificate.pem
-
Sélectionnez Copy certificate PEM ou Copy CA bundle PEM pour copier le contenu du certificat pour le coller ailleurs.
-
-
Sélectionnez Enregistrer.
Le certificat de serveur personnalisé est utilisé pour les nouvelles connexions client S3 et Swift suivantes.
Générez un certificatGénérez les fichiers de certificat du serveur.
-
Sélectionnez générer certificat.
-
Spécifiez les informations de certificat :
-
Nom de domaine : un ou plusieurs noms de domaine pleinement qualifiés à inclure dans le certificat. Utilisez un * comme caractère générique pour représenter plusieurs noms de domaine.
-
IP : une ou plusieurs adresses IP à inclure dans le certificat.
-
Sujet: X.509 sujet ou nom distinctif (DN) du propriétaire du certificat.
-
Jours valides: Nombre de jours après la création que le certificat expire.
-
-
Sélectionnez generate.
-
Sélectionnez Détails du certificat pour afficher les métadonnées et PEM pour le certificat d'API S3 et Swift personnalisé qui a été généré.
-
Sélectionnez Télécharger le certificat pour enregistrer le fichier de certificat.
Spécifiez le nom du fichier de certificat et l'emplacement de téléchargement. Enregistrez le fichier avec l'extension
.pem
.
Par exemple :
storagegrid_certificate.pem
-
Sélectionnez Copier le certificat PEM pour copier le contenu du certificat pour le coller ailleurs.
-
-
Sélectionnez Enregistrer.
Le certificat de serveur personnalisé est utilisé pour les nouvelles connexions client S3 et Swift suivantes.
-
-
Sélectionnez un onglet pour afficher les métadonnées du certificat de serveur StorageGRID par défaut, un certificat signé par l'autorité de certification qui a été chargé ou un certificat personnalisé qui a été généré.
Après avoir téléchargé ou généré un nouveau certificat, autorisez jusqu'à un jour l'effacement des alertes d'expiration de certificat associées. -
Actualisez la page pour vous assurer que le navigateur Web est mis à jour.
-
Après avoir ajouté un certificat d'API S3 et Swift personnalisé, la page de certificats d'API S3 et Swift affiche des informations détaillées sur le certificat d'API S3 et Swift personnalisé utilisé. + vous pouvez télécharger ou copier le certificat PEM selon vos besoins.
Restaurez le certificat API S3 et Swift par défaut
Vous pouvez revenir à l'utilisation du certificat d'API S3 et Swift par défaut pour les connexions des clients S3 et Swift vers les nœuds de stockage et du service CLB obsolète sur les nœuds de passerelle. Cependant, vous ne pouvez pas utiliser le certificat API S3 et Swift par défaut pour un noeud final d'équilibreur de charge.
-
Sélectionnez CONFIGURATION sécurité certificats.
-
Dans l'onglet Global, sélectionnez S3 et certificat API Swift.
-
Sélectionnez utiliser le certificat par défaut.
Lorsque vous restaurez la version par défaut du certificat de l'API globale S3 et Swift, les fichiers de certificat de serveur personnalisés que vous avez configurés sont supprimés et ne peuvent pas être récupérés à partir du système. Le certificat API S3 et Swift par défaut sera utilisé pour les nouvelles connexions clients S3 et Swift ultérieures aux nœuds de stockage et pour le service CLB obsolète sur les nœuds de passerelle.
-
Sélectionnez OK pour confirmer l'avertissement et restaurer le certificat API S3 et Swift par défaut.
Si vous disposez de l'autorisation d'accès racine et que le certificat d'API S3 et Swift personnalisé a été utilisé pour les connexions de terminal de l'équilibreur de charge, une liste de terminaux d'équilibreur de charge qui ne seront plus accessibles via le certificat d'API S3 et Swift par défaut s'affiche. Accédez à Configurer les terminaux de l'équilibreur de charge pour modifier ou supprimer les points finaux affectés.
-
Actualisez la page pour vous assurer que le navigateur Web est mis à jour.
Téléchargez ou copiez le certificat API S3 et Swift
Vous pouvez enregistrer ou copier le contenu du certificat de l'API S3 et Swift pour l'utiliser ailleurs.
-
Sélectionnez CONFIGURATION sécurité certificats.
-
Dans l'onglet Global, sélectionnez S3 et certificat API Swift.
-
Sélectionnez l'onglet Server ou CA bundle, puis téléchargez ou copiez le certificat.
Téléchargez le fichier de certificat ou le bundle CATéléchargez le certificat ou le bundle CA
.pem
fichier. Si vous utilisez un bundle CA facultatif, chaque certificat du bundle s'affiche dans son propre sous-onglet.-
Sélectionnez Télécharger le certificat ou Télécharger le paquet CA.
Si vous téléchargez un bundle CA, tous les certificats des onglets secondaires de l'offre CA sont téléchargés en un seul fichier.
-
Spécifiez le nom du fichier de certificat et l'emplacement de téléchargement. Enregistrez le fichier avec l'extension
.pem
.Par exemple :
storagegrid_certificate.pem
Copie du certificat ou pack CA PEMCopiez le texte du certificat pour le coller ailleurs. Si vous utilisez un bundle CA facultatif, chaque certificat du bundle s'affiche dans son propre sous-onglet.
-
Sélectionnez Copy Certificate PEM ou Copy CA bundle PEM.
Si vous copiez un bundle CA, tous les certificats des onglets secondaires de l'offre CA sont copiés ensemble.
-
Collez le certificat copié dans un éditeur de texte.
-
Enregistrez le fichier texte avec l'extension
.pem
.Par exemple :
storagegrid_certificate.pem
-