Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurare i certificati dell'interfaccia di gestione

Collaboratori
PDF

È possibile sostituire il certificato dell'interfaccia di gestione predefinita con un singolo certificato personalizzato che consente agli utenti di accedere a Grid Manager e a Tenant Manager senza incontrare avvisi di sicurezza. È inoltre possibile ripristinare il certificato dell'interfaccia di gestione predefinita o generarne uno nuovo.

A proposito di questa attività

Per impostazione predefinita, ogni nodo amministrativo riceve un certificato firmato dalla CA della griglia. Questi certificati firmati dalla CA possono essere sostituiti da un singolo certificato dell'interfaccia di gestione personalizzata comune e dalla chiave privata corrispondente.

Poiché per tutti i nodi di amministrazione viene utilizzato un singolo certificato di interfaccia di gestione personalizzata, è necessario specificare il certificato come carattere jolly o certificato multidominio se i client devono verificare il nome host durante la connessione a Grid Manager e Tenant Manager. Definire il certificato personalizzato in modo che corrisponda a tutti i nodi Admin nella griglia.

È necessario completare la configurazione sul server e, a seconda dell'autorità di certificazione principale (CA) utilizzata, gli utenti potrebbero dover installare il certificato Grid CA nel browser Web che utilizzeranno per accedere a Grid Manager e a Tenant Manager.

Nota Per garantire che le operazioni non vengano interrotte da un certificato del server guasto, l'avviso scadenza del certificato del server per l'interfaccia di gestione viene attivato quando il certificato del server sta per scadere. Se necessario, è possibile visualizzare la scadenza del certificato corrente selezionando CONFIGURAZIONE sicurezza certificati e osservando la data di scadenza del certificato dell'interfaccia di gestione nella scheda Globale.
Nota

Se si accede a Grid Manager o Tenant Manager utilizzando un nome di dominio invece di un indirizzo IP, il browser mostra un errore di certificato senza l'opzione di ignorare se si verifica una delle seguenti condizioni:

Aggiungere un certificato di interfaccia di gestione personalizzata

Per aggiungere un certificato di interfaccia di gestione personalizzato, è possibile fornire un certificato personalizzato o generarne uno utilizzando Grid Manager.

Fasi

  1. Selezionare CONFIGURAZIONE sicurezza certificati.

  2. Nella scheda Global, selezionare Management interface certificate.

  3. Selezionare Usa certificato personalizzato.

  4. Caricare o generare il certificato.

    Carica certificato

    Caricare i file dei certificati del server richiesti.

    1. Selezionare carica certificato.

    2. Caricare i file dei certificati del server richiesti:

      • Server certificate: Il file di certificato del server personalizzato (con codifica PEM).

      • Certificate private key (chiave privata certificato): Il file di chiave privata del certificato del server personalizzato (.key).

        Nota Le chiavi private EC devono essere 224 bit o superiori. Le chiavi private RSA devono essere 2048 bit o superiori.

      • Bundle CA: Un singolo file opzionale contenente i certificati di ogni autorità di certificazione di emissione intermedia (CA). Il file deve contenere ciascuno dei file di certificato CA con codifica PEM, concatenati in ordine di catena del certificato.

    3. Espandere Dettagli certificato per visualizzare i metadati di ciascun certificato caricato. Se è stato caricato un bundle CA opzionale, ciascun certificato viene visualizzato nella propria scheda.

      • Selezionare Download certificate (Scarica certificato) per salvare il file del certificato oppure selezionare Download CA bundle (Scarica pacchetto CA) per salvare il bundle del certificato.

        Specificare il nome del file del certificato e la posizione di download. Salvare il file con l'estensione .pem.

      Ad esempio: storagegrid_certificate.pem

      • Selezionare Copy certificate PEM or Copy CA bundle PEM per copiare il contenuto del certificato e incollarlo altrove.

    4. Selezionare Salva. Il certificato dell'interfaccia di gestione personalizzata viene utilizzato per tutte le nuove connessioni successive a Grid Manager, Tenant Manager, Grid Manager API o tenant Manager API.

    Generare un certificato

    Generare i file dei certificati del server.

    Nota La procedura consigliata per un ambiente di produzione consiste nell'utilizzare un certificato dell'interfaccia di gestione personalizzata firmato da un'autorità di certificazione esterna.

    1. Selezionare genera certificato.

    2. Specificare le informazioni del certificato:

      • Domain name: Uno o più nomi di dominio completi da includere nel certificato. Utilizzare un * come carattere jolly per rappresentare più nomi di dominio.

      • IP: Uno o più indirizzi IP da includere nel certificato.

      • Oggetto: Nome distinto (DN) o oggetto X.509 del proprietario del certificato.

      • Giorni validi: Numero di giorni successivi alla creazione della scadenza del certificato.

    3. Selezionare generate.

    4. Selezionare Dettagli certificato per visualizzare i metadati del certificato generato.

      • Selezionare Download certificate (Scarica certificato) per salvare il file del certificato.

        Specificare il nome del file del certificato e la posizione di download. Salvare il file con l'estensione .pem.

      Ad esempio: storagegrid_certificate.pem

      • Selezionare Copy certificate PEM (Copia PEM certificato) per copiare il contenuto del certificato e incollarlo altrove.

    5. Selezionare Salva. Il certificato dell'interfaccia di gestione personalizzata viene utilizzato per tutte le nuove connessioni successive a Grid Manager, Tenant Manager, Grid Manager API o tenant Manager API.

  5. Aggiornare la pagina per assicurarsi che il browser Web sia aggiornato.

    Nota Dopo aver caricato o generato un nuovo certificato, attendere fino a un giorno per la cancellazione degli avvisi relativi alla scadenza del certificato.

  6. Dopo aver aggiunto un certificato dell'interfaccia di gestione personalizzata, la pagina del certificato dell'interfaccia di gestione visualizza informazioni dettagliate sul certificato per i certificati in uso. + è possibile scaricare o copiare il PEM del certificato secondo necessità.

Ripristinare il certificato dell'interfaccia di gestione predefinita

È possibile ripristinare l'utilizzo del certificato dell'interfaccia di gestione predefinita per Grid Manager e Tenant Manager Connections.

Fasi

  1. Selezionare CONFIGURAZIONE sicurezza certificati.

  2. Nella scheda Global, selezionare Management interface certificate.

  3. Selezionare Usa certificato predefinito.

    Quando si ripristina il certificato dell'interfaccia di gestione predefinita, i file di certificato del server personalizzati configurati vengono cancellati e non possono essere ripristinati dal sistema. Il certificato predefinito dell'interfaccia di gestione viene utilizzato per tutte le nuove connessioni client successive.

  4. Aggiornare la pagina per assicurarsi che il browser Web sia aggiornato.

Utilizzare uno script per generare un nuovo certificato autofirmato dell'interfaccia di gestione

Se è richiesta una convalida rigorosa del nome host, è possibile utilizzare uno script per generare il certificato dell'interfaccia di gestione.

Di cosa hai bisogno

  • Si dispone di autorizzazioni di accesso specifiche.

  • Hai il Passwords.txt file.

A proposito di questa attività

La procedura consigliata per un ambiente di produzione consiste nell'utilizzare un certificato firmato da un'autorità di certificazione esterna.

Fasi

  1. Ottenere il nome di dominio completo (FQDN) di ciascun nodo di amministrazione.

  2. Accedere al nodo di amministrazione principale:

    1. Immettere il seguente comando: ssh admin@primary_Admin_Node_IP

    2. Immettere la password elencata in Passwords.txt file.

    3. Immettere il seguente comando per passare a root: su -

    4. Immettere la password elencata in Passwords.txt file.

      Una volta effettuato l'accesso come root, il prompt cambia da $ a. #.

  3. Configurare StorageGRID con un nuovo certificato autofirmato.

    $ sudo make-certificate --domains wildcard-admin-node-fqdn --type management

    • Per --domains, Utilizzare i caratteri jolly per rappresentare i nomi di dominio completi di tutti i nodi di amministrazione. Ad esempio, *.ui.storagegrid.example.com utilizza il carattere jolly * per rappresentare admin1.ui.storagegrid.example.com e. admin2.ui.storagegrid.example.com.

    • Impostare --type a. management Per configurare il certificato dell'interfaccia di gestione, utilizzato da Grid Manager e Tenant Manager.

    • Per impostazione predefinita, i certificati generati sono validi per un anno (365 giorni) e devono essere ricreati prima della scadenza. È possibile utilizzare --days argomento per eseguire l'override del periodo di validità predefinito.

      Nota Il periodo di validità di un certificato inizia quando make-certificate è eseguito. È necessario assicurarsi che il client di gestione sia sincronizzato con la stessa origine temporale di StorageGRID; in caso contrario, il client potrebbe rifiutare il certificato. 
      $ sudo make-certificate --domains *.ui.storagegrid.example.com --type management --days 720

      L'output risultante contiene il certificato pubblico necessario al client API di gestione.

  4. Selezionare e copiare il certificato.

    Includere i tag BEGIN e END nella selezione.

  5. Disconnettersi dalla shell dei comandi. $ exit

  6. Verificare che il certificato sia stato configurato:

    1. Accedere a Grid Manager.

    2. Selezionare CONFIGURAZIONE sicurezza certificati

    3. Nella scheda Global, selezionare Management interface certificate.

  7. Configurare il client di gestione in modo che utilizzi il certificato pubblico copiato. Includere i tag inizio e FINE.

Scaricare o copiare il certificato dell'interfaccia di gestione

È possibile salvare o copiare il contenuto del certificato dell'interfaccia di gestione per utilizzarlo altrove.

Fasi

  1. Selezionare CONFIGURAZIONE sicurezza certificati.

  2. Nella scheda Global, selezionare Management interface certificate.

  3. Selezionare la scheda Server o bundle CA, quindi scaricare o copiare il certificato.

    Scaricare il file di certificato o il bundle CA

    Scarica il certificato o il bundle CA .pem file. Se si utilizza un bundle CA opzionale, ciascun certificato del bundle viene visualizzato nella propria sottoscheda.

    1. Selezionare Scarica certificato o Scarica bundle CA.

      Se si sta scaricando un bundle CA, tutti i certificati contenuti nelle schede secondarie del bundle CA vengono scaricati come un singolo file.

    2. Specificare il nome del file del certificato e la posizione di download. Salvare il file con l'estensione .pem.

      Ad esempio: storagegrid_certificate.pem

    Copia certificato o pacchetto CA PEM

    Copiare il testo del certificato per incollarlo altrove. Se si utilizza un bundle CA opzionale, ciascun certificato del bundle viene visualizzato nella propria sottoscheda.

    1. Selezionare Copy certificate PEM or Copy CA bundle PEM.

      Se si copia un bundle CA, tutti i certificati contenuti nelle schede secondarie del bundle CA vengono copiati insieme.

    2. Incollare il certificato copiato in un editor di testo.

    3. Salvare il file di testo con l'estensione .pem.

      Ad esempio: storagegrid_certificate.pem