管理者クライアント証明書の設定
変更を提案
PDF
クライアント証明書を使用すると、許可された外部クライアントがStorageGRID Prometheusデータベースにアクセスできるようになります。クライアント証明書は、外部ツールを使用してStorageGRID を監視するためのセキュアな方法を提供します。
外部の監視ツールを使用してStorageGRID にアクセスする必要がある場合は、グリッドマネージャを使用してクライアント証明書をアップロードまたは生成し、証明書の情報を外部ツールにコピーする必要があります。
管理者クライアント証明書を追加する
クライアント証明書を追加するには、独自の証明書を指定するか、またはGrid Managerを使用して証明書を生成します。
-
Root Access 権限が必要です。
-
Grid Managerにはサポートされているブラウザを使用してサインインする必要があります。
-
管理ノードのIPアドレスまたはドメイン名を確認しておく必要があります。
-
StorageGRID 管理インターフェイスのサーバ証明書を設定し、対応するCAバンドルを用意しておく必要があります
-
独自の証明書をアップロードする場合は、証明書の公開鍵と秘密鍵がローカルコンピュータ上にある必要があります。
-
Grid Managerで、* Configuration > Access Control > Client Certificates *を選択します。
[Client Certificates]ページが表示されます。
-
「 * 追加」を選択します。
証明書のアップロードページが表示されます。
-
証明書の名前を1~32文字で入力します。
-
外部の監視ツールを使用してPrometheus指標にアクセスするには、* Prometheus *を許可するチェックボックスをオンにします。
-
証明書をアップロードまたは生成します。
-
証明書をアップロードするには、に進みます こちらをご覧ください。
-
証明書を生成するには、に進みます こちらをご覧ください。
-
-
[upload_cert]]証明書をアップロードするには、次の手順を実行します。
-
[クライアント証明書のアップロード]を選択します。
-
証明書の公開鍵を参照します。
証明書の公開鍵をアップロードすると、「Certificate metadata」フィールドと「Certificate PEM」フィールドに値が入力されます。
-
[証明書をクリップボードにコピーする*]を選択し、証明書を外部監視ツールに貼り付けます。
-
編集ツールを使用して、秘密鍵をコピーして外部の監視ツールに貼り付けます。
-
証明書をGrid Managerに保存するには、* Save *を選択します。
-
-
[generate-cert]]証明書を生成するには、次の手順を実行します。
-
[クライアント証明書の生成]を選択します。
-
管理ノードのドメイン名またはIPアドレスを入力します。
-
必要に応じて、証明書を所有する管理者を識別するために、[X.509 subject(Distinguished Name(DN;認定者名)]とも呼ばれる)を入力します。
-
必要に応じて、証明書の有効日数を選択します。デフォルトは730日です。
-
[*Generate (生成) ] を選択します
「* Certificate metadata 」、「 Certificate PEM *」、および「Certificate private key *」の各フィールドに値が入力されます。
-
[証明書をクリップボードにコピーする*]を選択し、証明書を外部監視ツールに貼り付けます。
-
秘密鍵をクリップボードにコピー*を選択し、外部監視ツールに貼り付けます。
このダイアログボックスを閉じると、秘密鍵を表示できなくなります。キーを安全な場所にコピーします。 -
証明書をGrid Managerに保存するには、* Save *を選択します。
-
-
Grafana などの外部監視ツールで次の設定を行います。
Grafana の例は次のスクリーンショットで示されています。
-
* 名前 * :接続の名前を入力します。
StorageGRID ではこの情報は必要ありませんが、接続をテストするための名前を指定する必要があります。
-
* URL * :管理ノードのドメイン名または IP アドレスを入力します。HTTPS とポート 9091 を指定します。
例:
https://admin-node.example.com:9091 -
CA証明書を使用して、* TLSクライアント認証*および*を有効にします。
-
TLS/SSL Auth Detailsの下で、管理インターフェイスのサーバ証明書またはCAバンドルをCA Certにコピーして貼り付けます。
-
* ServerName* :管理ノードのドメイン名を入力します。
servernameは、管理インターフェイスのサーバ証明書に表示されるドメイン名と一致する必要があります。
-
StorageGRID またはローカルファイルからコピーした証明書と秘密鍵を保存してテストします。
これで、外部の監視ツールを使用して StorageGRID から Prometheus 指標にアクセスできるようになります。
指標の詳細については、StorageGRID の監視とトラブルシューティングの手順を参照してください。
-
管理者クライアント証明書の編集
証明書を編集して、名前を変更したり、Prometheusアクセスを有効または無効にしたり、現在の証明書の期限が切れたときに新しい証明書をアップロードしたりできます。
-
Root Access 権限が必要です。
-
Grid Managerにはサポートされているブラウザを使用してサインインする必要があります。
-
管理ノードのIPアドレスまたはドメイン名を確認しておく必要があります。
-
新しい証明書と秘密鍵をアップロードする場合は、ローカルコンピュータ上でそれらの証明書が使用可能である必要があります。
-
[* Configuration > Access Control > Client Certificates *]を選択します。
[Client Certificates]ページが表示されます。既存の証明書のリストが表示されます。
証明書の有効期限が表に記載されています。証明書の有効期限が近づいた場合、またはすでに有効期限が切れた場合は、メッセージが表に表示され、アラートがトリガーされます。
-
編集する証明書の左側にあるオプションボタンを選択します。
-
「 * 編集 * 」を選択します。
[Edit Certificate]ダイアログボックスが表示されます。
-
証明書に必要な変更を加えます。
-
証明書をGrid Managerに保存するには、* Save *を選択します。
-
新しい証明書をアップロードした場合:
-
[証明書をクリップボードにコピーする*]を選択して、証明書を外部監視ツールに貼り付けます。
-
編集ツールを使用して、新しい秘密鍵をコピーして外部の監視ツールに貼り付けます。
-
外部の監視ツールで証明書と秘密鍵を保存してテストします。
-
-
新しい証明書を生成した場合:
-
[証明書をクリップボードにコピーする*]を選択して、証明書を外部監視ツールに貼り付けます。
-
[プライベートキーをクリップボードにコピーする*]を選択して、証明書を外部監視ツールに貼り付けます。
このダイアログボックスを閉じると、秘密鍵を表示したりコピーしたりすることはできなくなります。キーを安全な場所にコピーします。 -
外部の監視ツールで証明書と秘密鍵を保存してテストします。
-
管理者クライアント証明書を削除しています
不要になった証明書は削除できます。
-
Root Access 権限が必要です。
-
Grid Managerにはサポートされているブラウザを使用してサインインする必要があります。
-
[* Configuration > Access Control > Client Certificates *]を選択します。
[Client Certificates]ページが表示されます。既存の証明書のリストが表示されます。
-
削除する証明書の左側にあるオプションボタンを選択します。
-
「 * 削除」を選択します。
確認のダイアログボックスが表示されます。
-
「 * OK 」を選択します。
証明書が削除されます。