管理インターフェイス証明書を設定
変更を提案
PDF
デフォルトの管理インターフェイス証明書を単一のカスタム証明書に置き換えると、ユーザがグリッドマネージャとテナントマネージャにアクセスする際にセキュリティの警告が表示されなくなります。デフォルトの管理インターフェイス証明書に戻すか、新しい証明書を生成することもできます。
デフォルトでは、管理ノードごとに、グリッド CA によって署名された証明書が 1 つずつ発行されます。これらの CA 署名証明書は、単一の共通するカスタム管理インターフェイス証明書および対応する秘密鍵に置き換えることができます。
Grid Manager および Tenant Manager への接続時にクライアントがホスト名を確認する必要がある場合は、単一のカスタム管理インターフェイスの証明書がすべての管理ノードに対して使用されるため、ワイルドカード証明書またはマルチドメイン証明書として指定する必要があります。グリッド内のすべての管理ノードに一致するカスタム証明書を定義してください。
設定はサーバ上で行う必要があります。また、使用しているルート認証局( CA )によっては、ユーザが Grid Manager および Tenant Manager へのアクセスに使用する Web ブラウザに Grid CA 証明書をインストールすることも必要になります。
|
サーバ証明書の問題によって処理が中断されないようにするために、このサーバ証明書の有効期限が近づくと、「 Expiration of server certificate for Management Interface * 」アラートがトリガーされます。必要に応じて、 [ グローバル ] タブで [ * 設定 * ] > [ * セキュリティ * ] > [ * 証明書 * ] を選択し、管理インターフェイス証明書の有効期限を確認することで、現在の証明書の有効期限を確認できます。 |
|
|
IP アドレスではなくドメイン名を使用して Grid Manager または Tenant Manager にアクセスする場合は、次のいずれかの場合に証明書のエラーが表示され、バイパスするオプションはありません。
|
カスタム管理インターフェイス証明書を追加します
カスタムの管理インターフェイス証明書を追加するには、 Grid Manager を使用して独自の証明書を指定するか、証明書を生成します。
-
[ * configuration * > * Security * > * Certificates * ] を選択します。
-
[* グローバル * ] タブで、 [* 管理インターフェイス証明書 * ] を選択します。
-
[ * カスタム証明書を使用する * ] を選択します。
-
証明書をアップロードまたは生成します。
証明書をアップロードする必要なサーバ証明書ファイルをアップロードします。
-
[ 証明書のアップロード ] を選択します。
-
必要なサーバ証明書ファイルをアップロードします。
-
* サーバ証明書 * :カスタムサーバ証明書ファイル( PEM エンコード)。
-
Certificate private key: カスタムサーバ証明書の秘密鍵ファイル (
.key) 。
EC 秘密鍵は 224 ビット以上である必要があります。RSA 秘密鍵は 2048 ビット以上にする必要があります。 -
CA Bundle :各中間発行認証局( CA )の証明書を含む単一のオプションファイル。このファイルには、 PEM でエンコードされた各 CA 証明書ファイルが、証明書チェーンの順序で連結して含まれている必要があります。
-
-
[ * 証明書の詳細 * ] を展開して、アップロードした各証明書のメタデータを表示します。オプションの CA バンドルをアップロードした場合は、各証明書が独自のタブに表示されます。
-
証明書ファイルを保存するには、 * 証明書のダウンロード * を選択します。証明書バンドルを保存するには、 * CA バンドルのダウンロード * を選択します。
証明書ファイルの名前とダウンロード先を指定します。ファイルに拡張子「 .pem 」を付けて保存します。
例: 'storagegrid_certificate.pem
-
証明書の内容をコピーして他の場所に貼り付けるには、 * 証明書の PEM のコピー * または * CA バンドル PEM のコピー * を選択してください。
-
-
[ 保存( Save ) ] を選択します。+ Grid Manager 、 Tenant Manager 、 Grid Manager API 、または Tenant Manager API への以降のすべての新しい接続にはカスタムの管理インターフェイス証明書が使用されます。
証明書の生成サーバ証明書ファイルを生成します。
本番環境では、外部の認証局によって署名されたカスタム管理インターフェイス証明書を使用することを推奨します。 -
[* 証明書の生成 * ] を選択します。
-
証明書情報を指定します。
-
* Domain name * :証明書に含める 1 つ以上の完全修飾ドメイン名。複数のドメイン名を表すには、ワイルドカードとして * を使用します。
-
IP :証明書に含める 1 つ以上の IP アドレス。
-
* 件名 * :証明書所有者の X.509 サブジェクトまたは識別名( DN )。
-
days valid: 証明書の有効期限が切れる作成後の日数
-
-
[*Generate (生成) ] を選択します
-
生成された証明書のメタデータを表示するには、 [ 証明書の詳細 ] を選択します。
-
証明書ファイルを保存するには、 [ 証明書のダウンロード ] を選択します。
証明書ファイルの名前とダウンロード先を指定します。ファイルに拡張子「 .pem 」を付けて保存します。
例: 'storagegrid_certificate.pem
-
証明書の内容をコピーして他の場所に貼り付けるには、 * 証明書の PEM をコピー * を選択します。
-
-
[ 保存( Save ) ] を選択します。+ Grid Manager 、 Tenant Manager 、 Grid Manager API 、または Tenant Manager API への以降のすべての新しい接続にはカスタムの管理インターフェイス証明書が使用されます。
-
-
Web ブラウザが更新されたことを確認するには、ページをリフレッシュしてください。
新しい証明書をアップロードまたは生成したあと、関連する証明書の有効期限アラートがクリアされるまでに最大 1 日かかります。 -
カスタムの管理インターフェイス証明書を追加すると、使用中の証明書の詳細な証明書情報が管理インターフェイスの証明書ページに表示されます。+ 必要に応じて証明書 PEM をダウンロードまたはコピーできます。
管理インターフェイスのデフォルトの証明書をリストア
Grid Manager 接続と Tenant Manager 接続でのデフォルトの管理インターフェイス証明書を使用するように戻すことができます。
-
[ * configuration * > * Security * > * Certificates * ] を選択します。
-
[* グローバル * ] タブで、 [* 管理インターフェイス証明書 * ] を選択します。
-
[ * デフォルト証明書を使用する * ] を選択します。
デフォルトの管理インターフェイス証明書をリストアすると、設定したカスタムサーバ証明書ファイルは削除され、システムからはリカバリできなくなります。以降すべての新しいクライアント接続には、デフォルトの管理インターフェイス証明書が使用されます。
-
Web ブラウザが更新されたことを確認するには、ページをリフレッシュしてください。
スクリプトを使用して、新しい自己署名管理インターフェイス証明書を生成します
ホスト名の厳密な検証が必要な場合は、スクリプトを使用して管理インターフェイス証明書を生成できます。
-
特定のアクセス権限が必要です。
-
「 passwords.txt 」ファイルがあります。
本番環境では、外部の認証局によって署名された証明書を使用することを推奨します。
-
各管理ノードの完全修飾ドメイン名( FQDN )を取得します。
-
プライマリ管理ノードにログインします。
-
次のコマンドを入力します ssh admin@primary_Admin_Node_ip
-
「 passwords.txt 」ファイルに記載されたパスワードを入力します。
-
root に切り替えるには、次のコマンドを入力します
-
「 passwords.txt 」ファイルに記載されたパスワードを入力します。
root としてログインすると、プロンプトは「 $` 」から「 #」 に変わります。
-
-
新しい自己署名証明書を使用して StorageGRID を設定します。
$sudo make -certificate — domains_wildcard-admin -node-fqdn_ — タイプ管理
-
「 --domains 」の場合、ワイルドカードを使用してすべての管理ノードの完全修飾ドメイン名を表します。たとえば '*.ui.storagegrid.example.com は '*wildcard を使用して 'admin1.ui.storagegrid.example.com と admin2.ui.storagegrid.example.com を表します
-
Grid Manager および Tenant Manager で使用される管理インターフェイス証明書を設定するには '--type' を 'management' に設定します
-
デフォルトでは、生成された証明書の有効期間は 1 年間( 365 日)です。この期間を過ぎる前に証明書を再作成する必要があります。デフォルトの有効期間を上書きするには '--days' 引数を使用します
証明書の有効期間は 'make -certificate' が実行された時点から始まります管理クライアントが StorageGRID と同じ時間ソースと同期されるようにしてください。同期されていないと、クライアントが証明書を拒否する可能性があります。 $ sudo make-certificate --domains *.ui.storagegrid.example.com --type management --days 720
出力には、管理 API クライアントで必要なパブリック証明書が含まれています。
-
-
証明書を選択してコピーします。
BEGIN タグと END タグも含めて選択してください。
-
コマンドシェルからログアウトします。「 $EXIT 」
-
証明書が設定されたことを確認します。
-
Grid Manager にアクセスします。
-
[ * configuration * > * Security * > * Certificates * ] を選択します
-
[* グローバル * ] タブで、 [* 管理インターフェイス証明書 * ] を選択します。
-
-
コピーしたパブリック証明書を使用するように管理クライアントを設定します。BEGIN タグと END タグを含めてください。
管理インターフェイス証明書をダウンロードまたはコピーします
管理インターフェイスの証明書の内容を保存またはコピーして、他の場所で使用することができます。
-
[ * configuration * > * Security * > * Certificates * ] を選択します。
-
[* グローバル * ] タブで、 [* 管理インターフェイス証明書 * ] を選択します。
-
[Server ] タブまたは [CA Bundle] タブを選択し、証明書をダウンロードまたはコピーします。
証明書ファイルまたは CA バンドルをダウンロードします証明書または CA バンドルの '.pem ファイルをダウンロードしますオプションの CA バンドルを使用している場合は、バンドル内の各証明書が独自のサブタブに表示されます。
-
[ 証明書のダウンロード *] または [ CA バンドルのダウンロード *] を選択します。
CA バンドルをダウンロードする場合、 CA バンドルのセカンダリタブにあるすべての証明書が単一のファイルとしてダウンロードされます。
-
証明書ファイルの名前とダウンロード先を指定します。ファイルに拡張子「 .pem 」を付けて保存します。
例: 'storagegrid_certificate.pem
証明書または CA バンドル PEM をコピーしてください証明書のテキストをコピーして別の場所に貼り付けてください。オプションの CA バンドルを使用している場合は、バンドル内の各証明書が独自のサブタブに表示されます。
-
[Copy certificate PEM* (証明書のコピー) ] または [* Copy CA bundle PEM* ( CA バンドル PEM のコピー)
CA バンドルをコピーする場合、 CA バンドルのセカンダリタブにあるすべての証明書が一緒にコピーされます。
-
コピーした証明書をテキストエディタに貼り付けます。
-
テキスト・ファイルに拡張子「 .pem 」を付けて保存します。
例: 'storagegrid_certificate.pem
-