Configurez les certificats API S3 et Swift
Vous pouvez remplacer ou restaurer le certificat du serveur utilisé pour les connexions des clients S3 ou Swift aux nœuds de stockage ou pour équilibreur de charge des terminaux. Le certificat de serveur personnalisé de remplacement est spécifique à votre organisation.
Par défaut, chaque nœud de stockage est doté d'un certificat de serveur X.509 signé par l'autorité de certification de la grille. Ces certificats signés par l'autorité de certification peuvent être remplacés par un seul certificat de serveur personnalisé commun et une clé privée correspondante.
Un seul certificat de serveur personnalisé est utilisé pour tous les nœuds de stockage. Vous devez donc spécifier le certificat comme un certificat générique ou multidomaine si les clients doivent vérifier le nom d'hôte lors de la connexion au noeud final de stockage. Définissez le certificat personnalisé de sorte qu'il corresponde à tous les nœuds de stockage de la grille.
Une fois la configuration terminée sur le serveur, vous devrez également installer le certificat d'autorité de certification Grid dans le client API S3 ou Swift que vous utiliserez pour accéder au système, en fonction de l'autorité de certification racine (CA) que vous utilisez.
Pour garantir que les opérations ne sont pas interrompues par un certificat de serveur défaillant, l'alerte expiration du certificat de serveur global pour S3 et Swift API est déclenchée lorsque le certificat de serveur racine est sur le point d'expirer. Si nécessaire, vous pouvez afficher le moment où le certificat en cours expire en sélectionnant CONFIGURATION > sécurité > certificats et en consultant la date d'expiration du certificat API S3 et Swift dans l'onglet Global. |
Vous pouvez charger ou générer un certificat API S3 et Swift personnalisé.
Ajoutez un certificat S3 et Swift personnalisé
-
Sélectionnez CONFIGURATION > sécurité > certificats.
-
Dans l'onglet Global, sélectionnez S3 et certificat API Swift.
-
Sélectionnez utiliser le certificat personnalisé.
-
Chargez ou générez le certificat.
Télécharger le certificatTéléchargez les fichiers de certificat de serveur requis.
-
Sélectionnez Télécharger le certificat.
-
Téléchargez les fichiers de certificat de serveur requis :
-
Certificat de serveur : fichier de certificat de serveur personnalisé (codé PEM).
-
Clé privée de certificat : fichier de clé privée de certificat de serveur personnalisé (
.key
).Les clés privées EC doivent être de 224 bits ou plus. Les clés privées RSA doivent être de 2048 bits ou plus. -
Paquet CA : un fichier facultatif unique contenant les certificats de chaque autorité de délivrance de certificat intermédiaire. Le fichier doit contenir chacun des fichiers de certificat d'autorité de certification codés au PEM, concaténés dans l'ordre de la chaîne de certificats.
-
-
Sélectionnez les détails du certificat pour afficher les métadonnées et le PEM pour chaque certificat API S3 et Swift personnalisé chargé. Si vous avez téléchargé un bundle CA facultatif, chaque certificat s'affiche sur son propre onglet.
-
Sélectionnez Télécharger le certificat pour enregistrer le fichier de certificat ou sélectionnez Télécharger le paquet CA pour enregistrer le lot de certificats.
Spécifiez le nom du fichier de certificat et l'emplacement de téléchargement. Enregistrez le fichier avec l'extension
.pem
.
Par exemple :
storagegrid_certificate.pem
-
Sélectionnez Copy certificate PEM ou Copy CA bundle PEM pour copier le contenu du certificat pour le coller ailleurs.
-
-
Sélectionnez Enregistrer.
Le certificat de serveur personnalisé est utilisé pour les nouvelles connexions client S3 et Swift suivantes.
Générez un certificatGénérez les fichiers de certificat du serveur.
-
Sélectionnez générer certificat.
-
Spécifiez les informations de certificat :
Champ Description Nom de domaine
Un ou plusieurs noms de domaine complets à inclure dans le certificat. Utilisez un * comme caractère générique pour représenter plusieurs noms de domaine.
IP
Une ou plusieurs adresses IP à inclure dans le certificat.
Objet (facultatif)
Objet X.509 ou nom distinctif (DN) du propriétaire du certificat.
Si aucune valeur n'est saisie dans ce champ, le certificat généré utilise le premier nom de domaine ou l'adresse IP comme nom commun de l'objet (CN).
Jours valides
Nombre de jours après la création, pendant lesquels le certificat expire.
Ajouter des extensions d'utilisation de clé
Si cette option est sélectionnée (par défaut et recommandée), l'utilisation des clés et les extensions d'utilisation des clés étendues sont ajoutées au certificat généré.
Ces extensions définissent l'objectif de la clé contenue dans le certificat.
Remarque : ne cochez pas cette case si vous rencontrez des problèmes de connexion avec des clients plus anciens lorsque les certificats incluent ces extensions.
-
Sélectionnez generate.
-
Sélectionnez Détails du certificat pour afficher les métadonnées et PEM pour le certificat d'API S3 et Swift personnalisé qui a été généré.
-
Sélectionnez Télécharger le certificat pour enregistrer le fichier de certificat.
Spécifiez le nom du fichier de certificat et l'emplacement de téléchargement. Enregistrez le fichier avec l'extension
.pem
.
Par exemple :
storagegrid_certificate.pem
-
Sélectionnez Copier le certificat PEM pour copier le contenu du certificat pour le coller ailleurs.
-
-
Sélectionnez Enregistrer.
Le certificat de serveur personnalisé est utilisé pour les nouvelles connexions client S3 et Swift suivantes.
-
-
Sélectionnez un onglet pour afficher les métadonnées du certificat de serveur StorageGRID par défaut, un certificat signé par l'autorité de certification qui a été chargé ou un certificat personnalisé qui a été généré.
Après avoir téléchargé ou généré un nouveau certificat, autorisez jusqu'à un jour l'effacement des alertes d'expiration de certificat associées. -
Actualisez la page pour vous assurer que le navigateur Web est mis à jour.
-
Après avoir ajouté un certificat d'API S3 et Swift personnalisé, la page de certificats d'API S3 et Swift affiche des informations détaillées sur le certificat d'API S3 et Swift personnalisé utilisé. + vous pouvez télécharger ou copier le certificat PEM selon vos besoins.
Restaurez le certificat API S3 et Swift par défaut
Vous pouvez revenir à l'utilisation du certificat d'API S3 et Swift par défaut pour les connexions des clients S3 et Swift aux nœuds de stockage. Toutefois, vous ne pouvez pas utiliser le certificat par défaut des API S3 et Swift pour un terminal d'équilibrage des charges.
-
Sélectionnez CONFIGURATION > sécurité > certificats.
-
Dans l'onglet Global, sélectionnez S3 et certificat API Swift.
-
Sélectionnez utiliser le certificat par défaut.
Lorsque vous restaurez la version par défaut du certificat d'API S3 et Swift global, les fichiers de certificat de serveur personnalisé que vous avez configurés sont supprimés et ne peuvent pas être récupérés du système. Le certificat par défaut des API S3 et Swift sera utilisé pour les nouvelles connexions clientes S3 et Swift suivantes aux nœuds de stockage.
-
Sélectionnez OK pour confirmer l'avertissement et restaurer le certificat API S3 et Swift par défaut.
Si vous disposez de l'autorisation d'accès racine et que le certificat d'API S3 et Swift personnalisé a été utilisé pour les connexions de terminal de l'équilibreur de charge, une liste de terminaux d'équilibreur de charge qui ne seront plus accessibles via le certificat d'API S3 et Swift par défaut s'affiche. Accédez à "Configurer les terminaux de l'équilibreur de charge" pour modifier ou supprimer les points finaux affectés.
-
Actualisez la page pour vous assurer que le navigateur Web est mis à jour.
Téléchargez ou copiez le certificat API S3 et Swift
Vous pouvez enregistrer ou copier le contenu du certificat de l'API S3 et Swift pour l'utiliser ailleurs.
-
Sélectionnez CONFIGURATION > sécurité > certificats.
-
Dans l'onglet Global, sélectionnez S3 et certificat API Swift.
-
Sélectionnez l'onglet Server ou CA bundle, puis téléchargez ou copiez le certificat.
Téléchargez le fichier de certificat ou le bundle CATéléchargez le certificat ou le bundle CA
.pem
fichier. Si vous utilisez un bundle CA facultatif, chaque certificat du bundle s'affiche dans son propre sous-onglet.-
Sélectionnez Télécharger le certificat ou Télécharger le paquet CA.
Si vous téléchargez un bundle CA, tous les certificats des onglets secondaires de l'offre CA sont téléchargés en un seul fichier.
-
Spécifiez le nom du fichier de certificat et l'emplacement de téléchargement. Enregistrez le fichier avec l'extension
.pem
.Par exemple :
storagegrid_certificate.pem
Copie du certificat ou pack CA PEMCopiez le texte du certificat pour le coller ailleurs. Si vous utilisez un bundle CA facultatif, chaque certificat du bundle s'affiche dans son propre sous-onglet.
-
Sélectionnez Copy Certificate PEM ou Copy CA bundle PEM.
Si vous copiez un bundle CA, tous les certificats des onglets secondaires de l'offre CA sont copiés ensemble.
-
Collez le certificat copié dans un éditeur de texte.
-
Enregistrez le fichier texte avec l'extension
.pem
.Par exemple :
storagegrid_certificate.pem
-