日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

S3 および Swift API 証明書を設定する

寄稿者

ストレージノードへの S3 または Swift クライアント接続、ゲートウェイノード上の廃止された Connection Load Balancer ( CLB )サービス、またはロードバランサエンドポイントへの S3 または Swift クライアント接続に使用するサーバ証明書を交換またはリストアできます。置き換え用のカスタムサーバ証明書は組織に固有のものです。

デフォルトでは、すべてのストレージノードに、グリッド CA によって署名された X.509 サーバ証明書が発行されます。これらの CA 署名証明書は、単一の共通するカスタムサーバ証明書および対応する秘密鍵で置き換えることができます。

1 つのカスタムサーバ証明書がすべてのストレージノードに対して使用されるため、ストレージエンドポイントへの接続時にクライアントがホスト名を確認する必要がある場合は、ワイルドカード証明書またはマルチドメイン証明書として指定する必要があります。グリッド内のすべてのストレージノードに一致するカスタム証明書を定義してください。

サーバでの設定が完了したら、使用しているルート認証局( CA )によっては、システムへのアクセスに使用する S3 または Swift API クライアントにグリッド CA 証明書をインストールすることも必要になる場合があります。

注記 サーバ証明書の問題によって処理が中断されないようにするために、ルートサーバ証明書の有効期限が近づくと、「 S3 および Swift API のグローバルサーバ証明書の有効期限 * 」アラートがトリガーされます。必要に応じて、現在の証明書の有効期限を確認するには、 * configuration * > * Security * > * Certificates * を選択し、 S3 および Swift API 証明書の有効期限を Global タブで確認します。

S3 および Swift のカスタム API 証明書をアップロードまたは生成できます。

S3 および Swift のカスタム API 証明書を追加します

手順
  1. [ * configuration * > * Security * > * Certificates * ] を選択します。

  2. Global * タブで、 * S3 および Swift API 証明書 * を選択します。

  3. [ * カスタム証明書を使用する * ] を選択します。

  4. 証明書をアップロードまたは生成します。

    証明書をアップロードする

    必要なサーバ証明書ファイルをアップロードします。

    1. [ 証明書のアップロード ] を選択します。

    2. 必要なサーバ証明書ファイルをアップロードします。

      • * サーバ証明書 * :カスタムサーバ証明書ファイル( PEM エンコード)。

      • Certificate private key: カスタムサーバ証明書の秘密鍵ファイル (.key) 。

        注記 EC 秘密鍵は 224 ビット以上である必要があります。RSA 秘密鍵は 2048 ビット以上にする必要があります。
      • CA Bundle :各中間発行認証局の証明書を含む単一のオプションファイル。このファイルには、 PEM でエンコードされた各 CA 証明書ファイルが、証明書チェーンの順序で連結して含まれている必要があります。

    3. 証明書の詳細を選択して、アップロードしたカスタムの S3 および Swift API 証明書ごとにメタデータと PEM を表示します。オプションの CA バンドルをアップロードした場合は、各証明書が独自のタブに表示されます。

      • 証明書ファイルを保存するには、 * 証明書のダウンロード * を選択します。証明書バンドルを保存するには、 * CA バンドルのダウンロード * を選択します。

        証明書ファイルの名前とダウンロード先を指定します。ファイルに拡張子「 .pem 」を付けて保存します。

      例: 'storagegrid_certificate.pem

      • 証明書の内容をコピーして他の場所に貼り付けるには、 * 証明書の PEM のコピー * または * CA バンドル PEM のコピー * を選択してください。

    4. [ 保存( Save ) ] を選択します。

      以降の新しい S3 および Swift クライアント接続には、カスタムサーバ証明書が使用されます。

    証明書の生成

    サーバ証明書ファイルを生成します。

    1. [* 証明書の生成 * ] を選択します。

    2. 証明書情報を指定します。

      • * Domain name * :証明書に含める 1 つ以上の完全修飾ドメイン名。複数のドメイン名を表すには、ワイルドカードとして * を使用します。

      • IP :証明書に含める 1 つ以上の IP アドレス。

      • * 件名 * :証明書所有者の X.509 サブジェクトまたは識別名( DN )。

      • days valid: 証明書の有効期限が切れる作成後の日数

    3. [*Generate (生成) ] を選択します

    4. Certificate Details * を選択して、生成されたカスタムの S3 および Swift API 証明書のメタデータと PEM を表示します。

      • 証明書ファイルを保存するには、 [ 証明書のダウンロード ] を選択します。

        証明書ファイルの名前とダウンロード先を指定します。ファイルに拡張子「 .pem 」を付けて保存します。

      例: 'storagegrid_certificate.pem

      • 証明書の内容をコピーして他の場所に貼り付けるには、 * 証明書の PEM をコピー * を選択します。

    5. [ 保存( Save ) ] を選択します。

      以降の新しい S3 および Swift クライアント接続には、カスタムサーバ証明書が使用されます。

  5. タブを選択して、デフォルトの StorageGRID サーバ証明書、アップロードされた CA 署名証明書、または生成されたカスタム証明書のメタデータを表示します。

    注記 新しい証明書をアップロードまたは生成したあと、関連する証明書の有効期限アラートがクリアされるまでに最大 1 日かかります。
  6. Web ブラウザが更新されたことを確認するには、ページをリフレッシュしてください。

  7. カスタムの S3 および Swift API 証明書を追加すると、使用中のカスタムの S3 および Swift API 証明書の詳細な証明書情報が S3 および Swift API の証明書ページに表示されます。+ 必要に応じて証明書 PEM をダウンロードまたはコピーできます。

S3 および Swift のデフォルトの API 証明書をリストア

ストレージノードへの S3 および Swift クライアント接続およびゲートウェイノード上の CLB サービスに対する S3 および Swift クライアント接続に、デフォルトの S3 および Swift API 証明書を使用するように戻すことができます。ただし、ロードバランサエンドポイントにはデフォルトの S3 および Swift API 証明書を使用できません。

手順
  1. [ * configuration * > * Security * > * Certificates * ] を選択します。

  2. Global * タブで、 * S3 および Swift API 証明書 * を選択します。

  3. [ * デフォルト証明書を使用する * ] を選択します。

    グローバルな S3 および Swift API 証明書のデフォルトのバージョンをリストアすると、設定したカスタムサーバ証明書ファイルは削除され、システムからはリカバリできなくなります。デフォルトの S3 および Swift API 証明書は、ストレージノードへの以降の新しい S3 および Swift クライアント接続およびゲートウェイノード上の CLB サービスへの以降の新しい接続に使用されます。

  4. 警告を確認し、デフォルトの S3 および Swift API 証明書をリストアするには、「 * OK 」を選択します。

    Root Access 権限がある環境で、 S3 および Swift API のカスタム証明書をロードバランサエンドポイントの接続に使用していた場合は、デフォルトの S3 および Swift API 証明書を使用してアクセスできなくなるロードバランサエンドポイントのリストが表示されます。に進みます ロードバランサエンドポイントを設定する 影響を受けるエンドポイントを編集または削除します。

  5. Web ブラウザが更新されたことを確認するには、ページをリフレッシュしてください。

S3 および Swift API 証明書をダウンロードまたはコピーします

S3 および Swift API 証明書の内容を保存またはコピーして、他の場所で使用することができます。

手順
  1. [ * configuration * > * Security * > * Certificates * ] を選択します。

  2. Global * タブで、 * S3 および Swift API 証明書 * を選択します。

  3. [Server ] タブまたは [CA Bundle] タブを選択し、証明書をダウンロードまたはコピーします。

    証明書ファイルまたは CA バンドルをダウンロードします

    証明書または CA バンドルの '.pem ファイルをダウンロードしますオプションの CA バンドルを使用している場合は、バンドル内の各証明書が独自のサブタブに表示されます。

    1. [ 証明書のダウンロード *] または [ CA バンドルのダウンロード *] を選択します。

      CA バンドルをダウンロードする場合、 CA バンドルのセカンダリタブにあるすべての証明書が単一のファイルとしてダウンロードされます。

    2. 証明書ファイルの名前とダウンロード先を指定します。ファイルに拡張子「 .pem 」を付けて保存します。

      例: 'storagegrid_certificate.pem

    証明書または CA バンドル PEM をコピーしてください

    証明書のテキストをコピーして別の場所に貼り付けてください。オプションの CA バンドルを使用している場合は、バンドル内の各証明書が独自のサブタブに表示されます。

    1. [Copy certificate PEM* (証明書のコピー) ] または [* Copy CA bundle PEM* ( CA バンドル PEM のコピー)

      CA バンドルをコピーする場合、 CA バンドルのセカンダリタブにあるすべての証明書が一緒にコピーされます。

    2. コピーした証明書をテキストエディタに貼り付けます。

    3. テキスト・ファイルに拡張子「 .pem 」を付けて保存します。

      例: 'storagegrid_certificate.pem