ストレージノードまたはCLBサービスへの接続用のカスタムサーバ証明書を設定する
変更を提案
PDF
ストレージノードまたはゲートウェイノード上のCLBサービス(廃止)へのS3またはSwiftクライアント接続に使用するサーバ証明書は、置き換えることができます。置き換え用のカスタムサーバ証明書は組織に固有のものです。
デフォルトでは、すべてのストレージノードに、グリッド CA によって署名された X.509 サーバ証明書が発行されます。これらの CA 署名証明書は、単一の共通するカスタムサーバ証明書および対応する秘密鍵で置き換えることができます。
1 つのカスタムサーバ証明書がすべてのストレージノードに対して使用されるため、ストレージエンドポイントへの接続時にクライアントがホスト名を確認する必要がある場合は、ワイルドカード証明書またはマルチドメイン証明書として指定する必要があります。グリッド内のすべてのストレージノードに一致するカスタム証明書を定義してください。
サーバでの設定が完了したら、使用しているルート認証局(CA)によっては、ユーザがシステムへのアクセスに使用するS3またはSwift APIクライアントにルートCA証明書をインストールすることも必要になる場合があります。
|
サーバ証明書の問題によって処理が中断されないようにするために、Expiration of server certificate for Storage API Endpoints アラートと、ルートサーバ証明書の有効期限が近づくと従来のStorage API Service Endpoints Certificate Expiry(SCEP)アラームの両方がトリガーされます。必要に応じて、「 Support Tools * Grid Topology *」を選択することにより、現在のサービス証明書が期限切れになるまでの日数を表示できます。次に、「*_ primary Admin Node_ CMN * Resources *」を選択します。 |
カスタム証明書は、クライアントがゲートウェイノード上の廃止されたCLBサービスを使用してStorageGRID に接続する場合、またはクライアントがストレージノードに直接接続する場合にのみ使用されます。管理ノードまたはゲートウェイノード上のロードバランササービスを使用してStorageGRID に接続するS3またはSwiftクライアントは、ロードバランサエンドポイント用に設定された証明書を使用します。
|
|
*ロードバランサエンドポイント証明書の有効期限*アラートは、まもなく期限切れになるロードバランサエンドポイントに対してトリガーされます。 |
-
[* Configuration ]>[ Network Settings ]>[ Server Certificates*]を選択します。
-
Object Storage API Service Endpoints Server Certificateセクションで、* Install Custom Certificate *をクリックします。
-
必要なサーバ証明書ファイルをアップロードします。
-
サーバー証明書:カスタムサーバー証明書ファイル (
.crt)。 -
* Server Certificate Private Key *:カスタムサーバ証明書の秘密鍵ファイル (
.key)。
EC 秘密鍵は 224 ビット以上である必要があります。RSA 秘密鍵は 2048 ビット以上にする必要があります。 -
CA Bundle:各中間発行認証局(CA)の証明書を含む単一のファイル。このファイルには、 PEM でエンコードされた各 CA 証明書ファイルが、証明書チェーンの順序で連結して含まれている必要があります。
-
-
[ 保存( Save ) ] をクリックします。
以降すべての新しいAPIクライアント接続には、カスタムサーバ証明書が使用されます。
タブを選択して、デフォルトのStorageGRID サーバ証明書またはアップロードされたCA署名証明書に関する詳細情報を表示します。
新しい証明書をアップロードしたあと、関連する証明書の有効期限アラート(またはレガシーアラーム)がクリアされるまでに最大1日かかります。 -
Web ブラウザが更新されたことを確認するには、ページをリフレッシュしてください。