Skip to main content
本製品の最新リリースがご利用いただけます。
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

クライアント証明書を設定

共同作成者
PDF

クライアント証明書を使用すると、許可された外部クライアントから StorageGRID の Prometheus データベースにアクセスして、外部ツールで StorageGRID を監視するための安全な方法を提供できます。

外部の監視ツールを使用してStorageGRID にアクセスする必要がある場合は、グリッドマネージャを使用してクライアント証明書をアップロードまたは生成し、証明書の情報を外部ツールにコピーする必要があります。

の情報を参照してください 一般的なセキュリティ証明書の使用 および カスタムサーバ証明書を設定しています

メモ サーバ証明書の問題によって処理が中断されないようにするために、このサーバ証明書の有効期限が近づくと、「証明書ページで設定されたクライアント証明書の有効期限 * 」アラートがトリガーされます。必要に応じて、 [ クライアント ] タブで [ * 設定 * ] > [ * セキュリティ * ] > [ * 証明書 * ] を選択し、クライアント証明書の有効期限を確認することで、現在の証明書の有効期限を確認できます。
メモ 特別に設定されたアプライアンスノード上のデータを保護するためにキー管理サーバ( KMS )を使用する場合は、についての具体的な情報を参照してください KMS クライアント証明書をアップロードする
必要なもの

  • Root Access 権限が割り当てられている。

  • を使用して Grid Manager にサインインします サポートされている Web ブラウザ

  • クライアント証明書を設定するには:

    • 管理ノードの IP アドレスまたはドメイン名を確認しておきます。

    • StorageGRID 管理インターフェイス証明書を設定している場合は、管理インターフェイス証明書の設定に使用するCA、クライアント証明書、および秘密鍵を用意しておきます。

    • 独自の証明書をアップロードするには、証明書の秘密鍵をローカルコンピュータで使用できます。

    • 秘密鍵は、作成時に保存または記録しておく必要があります。元の秘密鍵がない場合は、新しい秘密鍵を作成する必要があります。

  • クライアント証明書を編集するには:

    • 管理ノードの IP アドレスまたはドメイン名を確認しておきます。

    • 独自の証明書または新しい証明書をアップロードするには、ローカルコンピュータ上で秘密鍵、クライアント証明書、およびCA(使用している場合)を使用できます。

クライアント証明書を追加します

シナリオに応じて手順 に従って、クライアント証明書を追加します。

管理インターフェイス証明書はすでに設定されています

顧客が指定したCA、クライアント証明書、および秘密鍵を使用して管理インターフェイス証明書がすでに設定されている場合は、この手順 を使用してクライアント証明書を追加します。

手順

  1. Grid Manager で、 * configuration * > * Security * > * Certificates * を選択し、 * Client * タブを選択します。

  2. 「 * 追加」を選択します。

  3. 証明書名を1文字以上32文字以下で入力します。

  4. 外部の監視ツールを使用して Prometheus 指標にアクセスするには、 * Prometheus * を許可するを選択します。

  5. 「* Certificate type *」セクションで、管理インターフェイス証明書「.pem」ファイルをアップロードします。

    1. [ 証明書のアップロード ] を選択し、 [ 続行 ] を選択します。

    2. 管理インターフェイス証明書ファイル(`.pem')をアップロードします

      • クライアント証明書の詳細 * を選択して、証明書メタデータと証明書 PEM を表示します。

      • 証明書の内容をコピーして他の場所に貼り付けるには、 * 証明書の PEM をコピー * を選択します。

    3. 証明書を Grid Manager に保存するには、 * Create * を選択します。

      新しい証明書が [ クライアント ] タブに表示されます。

  6. Grafana などの外部監視ツールで次の設定を行います。

    1. * 名前 * :接続の名前を入力します。

      StorageGRID ではこの情報は必要ありませんが、接続をテストするための名前を指定する必要があります。

    2. * URL * :管理ノードのドメイン名または IP アドレスを入力します。HTTPS とポート 9091 を指定します。

      たとえば、「 + https://admin-node.example.com:9091+` 」と入力します

    3. CA 証明書を使用して、 * TLS クライアント認証 * および * を有効にします。

    4. TLS/SSL Auth Detailsの下で、+をコピーして貼り付けます

      • 管理インターフェイスのCA証明書をCA Certに追加します

      • クライアント証明書をクライアント証明書に送信します

      • クライアントキー**への秘密鍵

    5. * ServerName* :管理ノードのドメイン名を入力します。

      servername は、管理インターフェイス証明書に表示されるドメイン名と一致する必要があります。

    6. StorageGRID またはローカルファイルからコピーした証明書と秘密鍵を保存してテストします。

      これで、外部の監視ツールを使用して StorageGRID から Prometheus 指標にアクセスできるようになります。

    これらの指標の詳細については、を参照してください StorageGRID の監視手順

CAによって発行されたクライアント証明書

管理インターフェイス証明書が設定されていない場合や、CAによって発行されたクライアント証明書と秘密鍵を使用するPrometheusのクライアント証明書を追加する場合は、この手順 を使用して管理者クライアント証明書を追加します。

手順

  1. 手順~を実行します 管理インターフェイス証明書を設定します

  2. Grid Manager で、 * configuration * > * Security * > * Certificates * を選択し、 * Client * タブを選択します。

  3. 「 * 追加」を選択します。

  4. 証明書名を1文字以上32文字以下で入力します。

  5. 外部の監視ツールを使用して Prometheus 指標にアクセスするには、 * Prometheus * を許可するを選択します。

  6. [証明書の種類*]セクションで、クライアント証明書、秘密鍵、およびCAバンドルの「.pem」ファイルをアップロードします。

    1. [ 証明書のアップロード ] を選択し、 [ 続行 ] を選択します。

    2. クライアント証明書、秘密鍵、およびCAバンドルファイル(`.pem')をアップロードします。

      • クライアント証明書の詳細 * を選択して、証明書メタデータと証明書 PEM を表示します。

      • 証明書の内容をコピーして他の場所に貼り付けるには、 * 証明書の PEM をコピー * を選択します。

    3. 証明書を Grid Manager に保存するには、 * Create * を選択します。

      新しい証明書が[クライアント]タブに表示されます。

  7. Grafana などの外部監視ツールで次の設定を行います。

    1. * 名前 * :接続の名前を入力します。

      StorageGRID ではこの情報は必要ありませんが、接続をテストするための名前を指定する必要があります。

    2. * URL * :管理ノードのドメイン名または IP アドレスを入力します。HTTPS とポート 9091 を指定します。

      たとえば、「 + https://admin-node.example.com:9091+` 」と入力します

    3. CA 証明書を使用して、 * TLS クライアント認証 * および * を有効にします。

    4. TLS/SSL Auth Detailsの下で、+をコピーして貼り付けます

      • 管理インターフェイスのCA証明書をCA Certに追加します

      • クライアント証明書をクライアント証明書に送信します

      • クライアントキー**への秘密鍵

    5. * ServerName* :管理ノードのドメイン名を入力します。

      servername は、管理インターフェイス証明書に表示されるドメイン名と一致する必要があります。

    6. StorageGRID またはローカルファイルからコピーした証明書と秘密鍵を保存してテストします。

      これで、外部の監視ツールを使用して StorageGRID から Prometheus 指標にアクセスできるようになります。

    これらの指標の詳細については、を参照してください StorageGRID の監視手順

Grid Managerから証明書が生成されました

管理インターフェイス証明書が設定されていない場合やGrid Managerの証明書生成機能を使用するPrometheusのクライアント証明書を追加する場合は、この手順 を使用して管理者クライアント証明書を追加します。

手順

  1. Grid Manager で、 * configuration * > * Security * > * Certificates * を選択し、 * Client * タブを選択します。

  2. 「 * 追加」を選択します。

  3. 証明書名を1文字以上32文字以下で入力します。

  4. 外部の監視ツールを使用して Prometheus 指標にアクセスするには、 * Prometheus * を許可するを選択します。

  5. [証明書の種類*]セクションで、[証明書の生成]を選択します。

  6. 証明書情報を指定します。

    • * Domain name *:証明書に含める管理ノードの完全修飾ドメイン名。複数のドメイン名を表すには、ワイルドカードとして * を使用します。

    • * ip *:証明書に含める1つ以上の管理ノードIPアドレス。

    • * 件名 * :証明書所有者の X.509 サブジェクトまたは識別名( DN )。

  7. [*Generate (生成) ] を選択します

  8. 証明書メタデータと証明書PEMを表示するには、[クライアント証明書の詳細]を選択します。

    重要 ダイアログを閉じると、証明書の秘密鍵を表示できなくなります。キーを安全な場所にコピーまたはダウンロードします。

    • 証明書の内容をコピーして他の場所に貼り付けるには、 * 証明書の PEM をコピー * を選択します。

    • 証明書ファイルを保存するには、 [ 証明書のダウンロード ] を選択します。

      証明書ファイルの名前とダウンロード先を指定します。ファイルに拡張子「 .pem 」を付けて保存します。

    例: 'storagegrid_certificate.pem

    • 秘密鍵のコピー * を選択して、証明書の秘密鍵をコピーして別の場所に貼り付けます。

    • 秘密鍵をファイルとして保存するには、 * 秘密鍵のダウンロード * を選択します。

      秘密鍵ファイルの名前とダウンロード先を指定します。

  9. 証明書を Grid Manager に保存するには、 * Create * を選択します。

    新しい証明書が [ クライアント ] タブに表示されます。

  10. Grid Managerで、* configuration > Security > Certificates を選択し、 Global *タブを選択します。

  11. 管理インターフェイス証明書*を選択します。

  12. [ * カスタム証明書を使用する * ] を選択します。

  13. 証明書の.pemファイルとprivate_key.pemファイルをからアップロードします クライアント証明書の詳細 ステップ。CAバンドルをアップロードする必要はありません。

    1. [ 証明書のアップロード ] を選択し、 [ 続行 ] を選択します。

    2. 各証明書ファイル(`.pem')をアップロードします

    3. 証明書を Grid Manager に保存するには、 * Create * を選択します。

      新しい証明書が [ クライアント ] タブに表示されます。

  14. Grafana などの外部監視ツールで次の設定を行います。

    1. * 名前 * :接続の名前を入力します。

      StorageGRID ではこの情報は必要ありませんが、接続をテストするための名前を指定する必要があります。

    2. * URL * :管理ノードのドメイン名または IP アドレスを入力します。HTTPS とポート 9091 を指定します。

      たとえば、「 + https://admin-node.example.com:9091+` 」と入力します

    3. CA 証明書を使用して、 * TLS クライアント認証 * および * を有効にします。

    4. TLS/SSL Auth Detailsの下で、+をコピーして貼り付けます

      • 管理インターフェイスクライアント証明書は、CA Certおよびクライアント証明書の両方に使用されます

      • クライアントキー**への秘密鍵

    5. * ServerName* :管理ノードのドメイン名を入力します。

      servername は、管理インターフェイス証明書に表示されるドメイン名と一致する必要があります。

    6. StorageGRID またはローカルファイルからコピーした証明書と秘密鍵を保存してテストします。

      これで、外部の監視ツールを使用して StorageGRID から Prometheus 指標にアクセスできるようになります。

    これらの指標の詳細については、を参照してください StorageGRID の監視手順

クライアント証明書を編集します

管理者クライアント証明書を編集して、名前を変更したり、 Prometheus アクセスを有効または無効にしたり、現在の証明書の期限が切れたときに新しい証明書をアップロードしたりできます。

手順

  1. [* configuration*>] > [* Security] * > [* Certificates*] を選択し、 [* Client*] タブを選択します。

    証明書の有効期限と Prometheus のアクセス権限を次の表に示します。証明書の有効期限が近づいた場合、またはすでに有効期限が切れた場合は、メッセージが表に表示され、アラートがトリガーされます。

  2. 編集する証明書を選択します。

  3. 「 * Edit * 」を選択し、「 * 名前と権限を編集 * 」を選択します

  4. 証明書名を1文字以上32文字以下で入力します。

  5. 外部の監視ツールを使用して Prometheus 指標にアクセスするには、 * Prometheus * を許可するを選択します。

  6. 証明書を Grid Manager に保存するには、「 * Continue * 」を選択します。

    更新された証明書が [ クライアント ] タブに表示されます。

新しいクライアント証明書を接続します

現在の証明書の期限が切れたときに新しい証明書をアップロードできます。

手順

  1. [* configuration*>] > [* Security] * > [* Certificates*] を選択し、 [* Client*] タブを選択します。

    証明書の有効期限と Prometheus のアクセス権限を次の表に示します。証明書の有効期限が近づいた場合、またはすでに有効期限が切れた場合は、メッセージが表に表示され、アラートがトリガーされます。

  2. 編集する証明書を選択します。

  3. 「 * 編集」を選択し、編集オプションを選択します。

    証明書をアップロードする

    証明書のテキストをコピーして別の場所に貼り付けてください。

    1. [ 証明書のアップロード ] を選択し、 [ 続行 ] を選択します。

    2. クライアント証明書名 (`.pem') をアップロードします

      クライアント証明書の詳細 * を選択して、証明書メタデータと証明書 PEM を表示します。

      • 証明書ファイルを保存するには、 [ 証明書のダウンロード ] を選択します。

        証明書ファイルの名前とダウンロード先を指定します。ファイルに拡張子「 .pem 」を付けて保存します。

      例: 'storagegrid_certificate.pem

      • 証明書の内容をコピーして他の場所に貼り付けるには、 * 証明書の PEM をコピー * を選択します。

    3. 証明書を Grid Manager に保存するには、 * Create * を選択します。

      更新された証明書が [ クライアント ] タブに表示されます。

    証明書の生成

    証明書のテキストを生成して他の場所に貼り付けます。

    1. [* 証明書の生成 * ] を選択します。

    2. 証明書情報を指定します。

      • * Domain name * :証明書に含める 1 つ以上の完全修飾ドメイン名。複数のドメイン名を表すには、ワイルドカードとして * を使用します。

      • IP :証明書に含める 1 つ以上の IP アドレス。

      • * 件名 * :証明書所有者の X.509 サブジェクトまたは識別名( DN )。

      • days valid: 証明書の有効期限が切れる作成後の日数

    3. [*Generate (生成) ] を選択します

    4. クライアント証明書の詳細 * を選択して、証明書メタデータと証明書 PEM を表示します。

      重要 ダイアログを閉じると、証明書の秘密鍵を表示できなくなります。キーを安全な場所にコピーまたはダウンロードします。

      • 証明書の内容をコピーして他の場所に貼り付けるには、 * 証明書の PEM をコピー * を選択します。

      • 証明書ファイルを保存するには、 [ 証明書のダウンロード ] を選択します。

        証明書ファイルの名前とダウンロード先を指定します。ファイルに拡張子「 .pem 」を付けて保存します。

      例: 'storagegrid_certificate.pem

      • 秘密鍵のコピー * を選択して、証明書の秘密鍵をコピーして別の場所に貼り付けます。

      • 秘密鍵をファイルとして保存するには、 * 秘密鍵のダウンロード * を選択します。

        秘密鍵ファイルの名前とダウンロード先を指定します。

    5. 証明書を Grid Manager に保存するには、 * Create * を選択します。

      新しい証明書が [ クライアント ] タブに表示されます。

クライアント証明書をダウンロードまたはコピーします

クライアント証明書をダウンロードまたはコピーして、他の場所で使用することができます。

手順

  1. [* configuration*>] > [* Security] * > [* Certificates*] を選択し、 [* Client*] タブを選択します。

  2. コピーまたはダウンロードする証明書を選択します。

  3. 証明書をダウンロードまたはコピーします。

    証明書ファイルをダウンロードします

    証明書「 .pem 」ファイルをダウンロードします。

    1. [ 証明書のダウンロード ] を選択します。

    2. 証明書ファイルの名前とダウンロード先を指定します。ファイルに拡張子「 .pem 」を付けて保存します。

      例: 'storagegrid_certificate.pem

    証明書をコピーします

    証明書のテキストをコピーして別の場所に貼り付けてください。

    1. [* 証明書 PEM のコピー * ] を選択します。

    2. コピーした証明書をテキストエディタに貼り付けます。

    3. テキスト・ファイルに拡張子「 .pem 」を付けて保存します。

      例: 'storagegrid_certificate.pem

クライアント証明書を削除します

管理者クライアント証明書が不要になった場合は削除できます。

手順

  1. [* configuration*>] > [* Security] * > [* Certificates*] を選択し、 [* Client*] タブを選択します。

  2. 削除する証明書を選択します。

  3. 「 * 削除」を選択して確定します。

メモ 最大 10 個の証明書を削除するには、 [ クライアント ] タブで削除する各証明書を選択し、 [ * アクション * > * 削除 * ] を選択します。

証明書を削除したあと、その証明書を使用していたクライアントは、 StorageGRID Prometheus データベースにアクセスするための新しいクライアント証明書を指定する必要があります。