Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurare i certificati API S3

Collaboratori
PDF

È possibile sostituire o ripristinare il certificato del server utilizzato per le connessioni client S3 ai nodi di storage o agli endpoint di bilanciamento del carico. Il certificato del server personalizzato sostitutivo è specifico dell'organizzazione.

Suggerimento I dettagli Swift sono stati rimossi da questa versione del sito della documentazione. Vedere "StorageGRID 11,8: Configurazione dei certificati API S3 e Swift".
A proposito di questa attività

Per impostazione predefinita, ogni nodo di storage viene emesso un certificato server X.509 firmato dalla CA della griglia. Questi certificati firmati dalla CA possono essere sostituiti da un singolo certificato server personalizzato comune e dalla chiave privata corrispondente.

Per tutti i nodi di storage viene utilizzato un singolo certificato server personalizzato, pertanto è necessario specificare il certificato come certificato wildcard o multi-dominio se i client devono verificare il nome host durante la connessione all'endpoint di storage. Definire il certificato personalizzato in modo che corrisponda a tutti i nodi di storage nella griglia.

Dopo aver completato la configurazione sul server, potrebbe essere necessario installare anche il certificato CA Grid nel client API S3 da utilizzare per accedere al sistema, a seconda dell'autorità di certificazione principale (CA) in uso.

Nota Per garantire che le operazioni non vengano interrotte da un certificato del server non riuscito, l'avviso scadenza del certificato del server globale per l'API S3 viene attivato quando il certificato del server principale sta per scadere. Se necessario, è possibile visualizzare la data di scadenza del certificato corrente selezionando CONFIGURAZIONE > sicurezza > certificati e osservando la data di scadenza del certificato API S3 nella scheda Globale.

È possibile caricare o generare un certificato API S3 personalizzato.

Aggiungere un certificato API S3 personalizzato

Fasi

  1. Selezionare CONFIGURAZIONE > sicurezza > certificati.

  2. Nella scheda Globale, selezionare S3 certificato API.

  3. Selezionare Usa certificato personalizzato.

  4. Caricare o generare il certificato.

    Carica certificato

    Caricare i file dei certificati del server richiesti.

    1. Selezionare carica certificato.

    2. Caricare i file dei certificati del server richiesti:

      • Server certificate: Il file di certificato del server personalizzato (con codifica PEM).

      • Chiave privata del certificato: Il file della chiave privata del certificato del server personalizzato (.key).

        Nota Le chiavi private EC devono essere di almeno 224 bit. Le chiavi private RSA devono essere di almeno 2048 bit.

      • Bundle CA: Un singolo file opzionale contenente i certificati di ciascuna autorità di certificazione di emissione intermedia. Il file deve contenere ciascuno dei file di certificato CA con codifica PEM, concatenati in ordine di catena del certificato.

    3. Selezionare i dettagli del certificato per visualizzare i metadati e PEM per ogni certificato API S3 personalizzato caricato. Se è stato caricato un bundle CA opzionale, ciascun certificato viene visualizzato nella propria scheda.

      • Selezionare Download certificate (Scarica certificato) per salvare il file del certificato oppure selezionare Download CA bundle (Scarica pacchetto CA) per salvare il bundle del certificato.

        Specificare il nome del file del certificato e la posizione di download. Salvare il file con l'estensione .pem.

      Ad esempio: storagegrid_certificate.pem

      • Selezionare Copy certificate PEM or Copy CA bundle PEM per copiare il contenuto del certificato e incollarlo altrove.

    4. Selezionare Salva.

      Il certificato server personalizzato viene utilizzato per le nuove connessioni client S3 successive.

    Generare un certificato

    Generare i file dei certificati del server.

    1. Selezionare genera certificato.

    2. Specificare le informazioni del certificato:

      Campo Descrizione

      Nome di dominio

      Uno o più nomi di dominio completi da includere nel certificato. Utilizzare un * come carattere jolly per rappresentare più nomi di dominio.

      IP

      Uno o più indirizzi IP da includere nel certificato.

      Soggetto (facoltativo)

      X.509 nome soggetto o nome distinto (DN) del proprietario del certificato.

      Se in questo campo non viene immesso alcun valore, il certificato generato utilizza il primo nome di dominio o indirizzo IP come nome comune (CN) del soggetto.

      Giorni di validità

      Numero di giorni successivi alla creazione della scadenza del certificato.

      Aggiungere estensioni di utilizzo chiave

      Se selezionata (impostazione predefinita e consigliata), l'utilizzo delle chiavi e le estensioni estese dell'utilizzo delle chiavi vengono aggiunte al certificato generato.

      Queste estensioni definiscono lo scopo della chiave contenuta nel certificato.

      Nota: Lasciare questa casella di controllo selezionata a meno che non si verifichino problemi di connessione con client meno recenti quando i certificati includono queste estensioni.

    3. Selezionare generate.

    4. Selezionare Dettagli certificato per visualizzare i metadati e PEM per il certificato API S3 personalizzato generato.

      • Selezionare Download certificate (Scarica certificato) per salvare il file del certificato.

        Specificare il nome del file del certificato e la posizione di download. Salvare il file con l'estensione .pem.

      Ad esempio: storagegrid_certificate.pem

      • Selezionare Copy certificate PEM (Copia PEM certificato) per copiare il contenuto del certificato e incollarlo altrove.

    5. Selezionare Salva.

      Il certificato server personalizzato viene utilizzato per le nuove connessioni client S3 successive.

  5. Selezionare una scheda per visualizzare i metadati per il certificato del server StorageGRID predefinito, un certificato CA firmato caricato o un certificato personalizzato generato.

    Nota Dopo aver caricato o generato un nuovo certificato, attendere fino a un giorno per la cancellazione degli avvisi relativi alla scadenza del certificato.

  6. Aggiornare la pagina per assicurarsi che il browser Web sia aggiornato.

  7. Dopo aver aggiunto un certificato API S3 personalizzato, la pagina del certificato API S3 visualizza informazioni dettagliate sul certificato API S3 personalizzato in uso. + è possibile scaricare o copiare il PEM del certificato secondo necessità.

Ripristinare il certificato API S3 predefinito

È possibile ripristinare l'utilizzo del certificato API S3 predefinito per le connessioni client S3 ai nodi di archiviazione. Tuttavia, non è possibile utilizzare il certificato API S3 predefinito per un endpoint di bilanciamento del carico.

Fasi

  1. Selezionare CONFIGURAZIONE > sicurezza > certificati.

  2. Nella scheda Globale, selezionare S3 certificato API.

  3. Selezionare Usa certificato predefinito.

    Quando si ripristina la versione predefinita del certificato API S3 globale, i file di certificato del server personalizzato configurati vengono eliminati e non possono essere recuperati dal sistema. Il certificato API S3 predefinito verrà utilizzato per le successive nuove connessioni client S3 ai nodi storage.

  4. Selezionare OK per confermare l'avviso e ripristinare il certificato API S3 predefinito.

    Se si dispone dell'autorizzazione di accesso root e il certificato API S3 personalizzato è stato utilizzato per le connessioni endpoint del bilanciamento del carico, viene visualizzato un elenco degli endpoint del bilanciamento del carico che non saranno più accessibili utilizzando il certificato API S3 predefinito. Accedere a "Configurare gli endpoint del bilanciamento del carico" per modificare o rimuovere gli endpoint interessati.

  5. Aggiornare la pagina per assicurarsi che il browser Web sia aggiornato.

Scaricare o copiare il certificato API S3

È possibile salvare o copiare il contenuto del certificato API S3 per utilizzarlo altrove.

Fasi

  1. Selezionare CONFIGURAZIONE > sicurezza > certificati.

  2. Nella scheda Globale, selezionare S3 certificato API.

  3. Selezionare la scheda Server o bundle CA, quindi scaricare o copiare il certificato.

    Scaricare il file di certificato o il bundle CA

    Scaricare il certificato o il file bundle CA .pem. Se si utilizza un bundle CA opzionale, ciascun certificato del bundle viene visualizzato nella propria sottoscheda.

    1. Selezionare Scarica certificato o Scarica bundle CA.

      Se si sta scaricando un bundle CA, tutti i certificati contenuti nelle schede secondarie del bundle CA vengono scaricati come un singolo file.

    2. Specificare il nome del file del certificato e la posizione di download. Salvare il file con l'estensione .pem.

      Ad esempio: storagegrid_certificate.pem

    Copia certificato o pacchetto CA PEM

    Copiare il testo del certificato per incollarlo altrove. Se si utilizza un bundle CA opzionale, ciascun certificato del bundle viene visualizzato nella propria sottoscheda.

    1. Selezionare Copy certificate PEM or Copy CA bundle PEM.

      Se si copia un bundle CA, tutti i certificati contenuti nelle schede secondarie del bundle CA vengono copiati insieme.

    2. Incollare il certificato copiato in un editor di testo.

    3. Salvare il file di testo con l'estensione .pem.

      Ad esempio: storagegrid_certificate.pem

Informazioni correlate