Skip to main content
本製品の最新リリースがご利用いただけます。
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

クライアント証明書を設定

共同作成者
PDF

クライアント証明書を使用すると、許可された外部クライアントから StorageGRID の Prometheus データベースにアクセスして、外部ツールで StorageGRID を監視するための安全な方法を提供できます。

外部の監視ツールを使用してStorageGRID にアクセスする必要がある場合は、グリッドマネージャを使用してクライアント証明書をアップロードまたは生成し、証明書の情報を外部ツールにコピーする必要があります。

を参照してください "セキュリティ証明書を管理する" および "カスタムサーバ証明書を設定する"

メモ サーバ証明書の問題によって処理が中断されないようにするために、このサーバ証明書の有効期限が近づくと* Expiration of client certificates configured on the Certificates page *アラートがトリガーされます。必要に応じて、 [ クライアント ] タブで [ * 設定 * ] > [ * セキュリティ * ] > [ * 証明書 * ] を選択し、クライアント証明書の有効期限を確認することで、現在の証明書の有効期限を確認できます。
メモ 特別に設定されたアプライアンスノード上のデータを保護するためにキー管理サーバ( KMS )を使用する場合は、についての具体的な情報を参照してください "KMS クライアント証明書をアップロードする"
作業を開始する前に

  • Root Access 権限が割り当てられている。

  • を使用して Grid Manager にサインインします "サポートされている Web ブラウザ"

  • クライアント証明書を設定するには:

    • 管理ノードの IP アドレスまたはドメイン名を確認しておきます。

    • StorageGRID 管理インターフェイス証明書を設定している場合は、管理インターフェイス証明書の設定に使用するCA、クライアント証明書、および秘密鍵を用意しておきます。

    • 独自の証明書をアップロードするには、証明書の秘密鍵をローカルコンピュータで使用できます。

    • 秘密鍵は、作成時に保存または記録しておく必要があります。元の秘密鍵がない場合は、新しい秘密鍵を作成する必要があります。

  • クライアント証明書を編集するには:

    • 管理ノードの IP アドレスまたはドメイン名を確認しておきます。

    • 独自の証明書または新しい証明書をアップロードするには、ローカルコンピュータ上で秘密鍵、クライアント証明書、およびCA(使用している場合)を使用できます。

クライアント証明書を追加します

クライアント証明書を追加するには、次のいずれかの手順を実行します。

管理インターフェイス証明書はすでに設定されています

顧客が指定したCA、クライアント証明書、および秘密鍵を使用して管理インターフェイス証明書がすでに設定されている場合は、この手順 を使用してクライアント証明書を追加します。

手順

  1. Grid Manager で、 * configuration * > * Security * > * Certificates * を選択し、 * Client * タブを選択します。

  2. 「 * 追加」を選択します。

  3. 証明書名を入力します。

  4. 外部の監視ツールを使用してPrometheus指標にアクセスするには、*[Allow Prometheus]*を選択します。

  5. 「 * Continue * 」を選択します。

  6. [証明書の接続]*ステップでは、管理インターフェイス証明書をアップロードします。

    1. [ 証明書のアップロード ] を選択します。

    2. [参照]*を選択し、管理インターフェイスの証明書ファイルを選択します (.pem)。

      • クライアント証明書の詳細 * を選択して、証明書メタデータと証明書 PEM を表示します。

      • 証明書の内容をコピーして他の場所に貼り付けるには、 * 証明書の PEM をコピー * を選択します。

    3. 証明書を Grid Manager に保存するには、 * Create * を選択します。

      新しい証明書が [ クライアント ] タブに表示されます。

  7. 外部監視ツールを設定します(Grafanaなど)。

CAによって発行されたクライアント証明書

管理インターフェイス証明書が設定されていない場合や、CAによって発行されたクライアント証明書と秘密鍵を使用するPrometheusのクライアント証明書を追加する場合は、この手順 を使用して管理者クライアント証明書を追加します。

手順

  1. 手順~を実行します "管理インターフェイス証明書を設定します"

  2. Grid Manager で、 * configuration * > * Security * > * Certificates * を選択し、 * Client * タブを選択します。

  3. 「 * 追加」を選択します。

  4. 証明書名を入力します。

  5. 外部の監視ツールを使用してPrometheus指標にアクセスするには、*[Allow Prometheus]*を選択します。

  6. 「 * Continue * 」を選択します。

  7. [証明書の添付]手順では、クライアント証明書、秘密鍵、およびCAバンドルファイルをアップロードします。

    1. [ 証明書のアップロード ] を選択します。

    2. [参照]*を選択し、クライアント証明書、秘密鍵、およびCAバンドルファイルを選択します (.pem)。

      • クライアント証明書の詳細 * を選択して、証明書メタデータと証明書 PEM を表示します。

      • 証明書の内容をコピーして他の場所に貼り付けるには、 * 証明書の PEM をコピー * を選択します。

    3. 証明書を Grid Manager に保存するには、 * Create * を選択します。

      新しい証明書が[クライアント]タブに表示されます。

  8. 外部監視ツールを設定します(Grafanaなど)。

Grid Managerから証明書が生成されました

管理インターフェイス証明書が設定されていない場合やGrid Managerの証明書生成機能を使用するPrometheusのクライアント証明書を追加する場合は、この手順 を使用して管理者クライアント証明書を追加します。

手順

  1. Grid Manager で、 * configuration * > * Security * > * Certificates * を選択し、 * Client * タブを選択します。

  2. 「 * 追加」を選択します。

  3. 証明書名を入力します。

  4. 外部の監視ツールを使用してPrometheus指標にアクセスするには、*[Allow Prometheus]*を選択します。

  5. 「 * Continue * 」を選択します。

  6. ステップで、[証明書の生成]*を選択します。

  7. 証明書情報を指定します。

    • * Subject *(オプション):証明書所有者のX.509サブジェクトまたは識別名(DN)。

    • 有効日:生成された証明書の有効日数(生成時から)。

    • キー使用拡張の追加:選択した場合(デフォルトおよび推奨)、キー使用および拡張キー使用拡張が生成された証明書に追加されます。

      これらの拡張機能は、証明書に含まれるキーの目的を定義します。

    メモ 証明書にこれらの拡張機能が含まれている場合に古いクライアントで接続の問題が発生する場合を除き、このチェックボックスをオンのままにします

  8. [*Generate (生成) ] を選択します

  9. 証明書メタデータと証明書PEMを表示するには、[クライアント証明書の詳細]を選択します。

    ヒント ダイアログを閉じると、証明書の秘密鍵を表示できなくなります。キーを安全な場所にコピーまたはダウンロードします。

    • 証明書の内容をコピーして他の場所に貼り付けるには、 * 証明書の PEM をコピー * を選択します。

    • 証明書ファイルを保存するには、 [ 証明書のダウンロード ] を選択します。

      証明書ファイルの名前とダウンロード先を指定します。拡張子を付けてファイルを保存します .pem

    例: storagegrid_certificate.pem

    • 秘密鍵のコピー * を選択して、証明書の秘密鍵をコピーして別の場所に貼り付けます。

    • 秘密鍵をファイルとして保存するには、 * 秘密鍵のダウンロード * を選択します。

      秘密鍵ファイルの名前とダウンロード先を指定します。

  10. 証明書を Grid Manager に保存するには、 * Create * を選択します。

    新しい証明書が [ クライアント ] タブに表示されます。

  11. Grid Managerで、* configuration > Security > Certificates を選択し、 Global *タブを選択します。

  12. 管理インターフェイス証明書*を選択します。

  13. [ * カスタム証明書を使用する * ] を選択します。

  14. 証明書の.pemファイルとprivate_key.pemファイルをからアップロードします クライアント証明書の詳細 ステップ。CAバンドルをアップロードする必要はありません。

    1. [ 証明書のアップロード ] を選択し、 [ 続行 ] を選択します。

    2. 各証明書ファイルをアップロードします (.pem)。

    3. 証明書を Grid Manager に保存するには、 * Create * を選択します。

      新しい証明書が [ クライアント ] タブに表示されます。

  15. 外部監視ツールを設定します(Grafanaなど)。

外部監視ツールを設定します

手順

  1. Grafana などの外部監視ツールで次の設定を行います。

    1. * 名前 * :接続の名前を入力します。

      StorageGRID ではこの情報は必要ありませんが、接続をテストするための名前を指定する必要があります。

    2. * URL * :管理ノードのドメイン名または IP アドレスを入力します。HTTPS とポート 9091 を指定します。

      例: https://admin-node.example.com:9091

    3. CA 証明書を使用して、 * TLS クライアント認証 * および * を有効にします。

    4. TLS/SSL Auth Detailsの下で、+をコピーして貼り付けます

      • 管理インターフェイスのCA証明書をCA Certに追加します

      • クライアント証明書をクライアント証明書に送信します

      • クライアントキー**への秘密鍵

    5. * ServerName* :管理ノードのドメイン名を入力します。

      servername は、管理インターフェイス証明書に表示されるドメイン名と一致する必要があります。

  2. StorageGRID またはローカルファイルからコピーした証明書と秘密鍵を保存してテストします。

    これで、外部の監視ツールを使用して StorageGRID から Prometheus 指標にアクセスできるようになります。

    これらの指標の詳細については、を参照してください "StorageGRID の監視手順"

クライアント証明書を編集します

管理者クライアント証明書を編集して、名前を変更したり、 Prometheus アクセスを有効または無効にしたり、現在の証明書の期限が切れたときに新しい証明書をアップロードしたりできます。

手順

  1. [* configuration*>] > [* Security] * > [* Certificates*] を選択し、 [* Client*] タブを選択します。

    証明書の有効期限と Prometheus のアクセス権限を次の表に示します。証明書の有効期限が近づいた場合、またはすでに有効期限が切れた場合は、メッセージが表に表示され、アラートがトリガーされます。

  2. 編集する証明書を選択します。

  3. 「 * Edit * 」を選択し、「 * 名前と権限を編集 * 」を選択します

  4. 証明書名を入力します。

  5. 外部の監視ツールを使用してPrometheus指標にアクセスするには、*[Allow Prometheus]*を選択します。

  6. 証明書を Grid Manager に保存するには、「 * Continue * 」を選択します。

    更新された証明書が [ クライアント ] タブに表示されます。

新しいクライアント証明書を接続します

現在の証明書の期限が切れたときに新しい証明書をアップロードできます。

手順

  1. [* configuration*>] > [* Security] * > [* Certificates*] を選択し、 [* Client*] タブを選択します。

    証明書の有効期限と Prometheus のアクセス権限を次の表に示します。証明書の有効期限が近づいた場合、またはすでに有効期限が切れた場合は、メッセージが表に表示され、アラートがトリガーされます。

  2. 編集する証明書を選択します。

  3. 「 * 編集」を選択し、編集オプションを選択します。

    証明書をアップロードする

    証明書のテキストをコピーして別の場所に貼り付けてください。

    1. [ 証明書のアップロード ] を選択し、 [ 続行 ] を選択します。

    2. クライアント証明書名をアップロードします (.pem)。

      クライアント証明書の詳細 * を選択して、証明書メタデータと証明書 PEM を表示します。

      • 証明書ファイルを保存するには、 [ 証明書のダウンロード ] を選択します。

        証明書ファイルの名前とダウンロード先を指定します。拡張子を付けてファイルを保存します .pem

      例: storagegrid_certificate.pem

      • 証明書の内容をコピーして他の場所に貼り付けるには、 * 証明書の PEM をコピー * を選択します。

    3. 証明書を Grid Manager に保存するには、 * Create * を選択します。

      更新された証明書が [ クライアント ] タブに表示されます。

    証明書の生成

    証明書のテキストを生成して他の場所に貼り付けます。

    1. [* 証明書の生成 * ] を選択します。

    2. 証明書情報を指定します。

      • * Subject *(オプション):証明書所有者のX.509サブジェクトまたは識別名(DN)。

      • 有効日:生成された証明書の有効日数(生成時から)。

      • キー使用拡張の追加:選択した場合(デフォルトおよび推奨)、キー使用および拡張キー使用拡張が生成された証明書に追加されます。

        これらの拡張機能は、証明書に含まれるキーの目的を定義します。

      メモ 証明書にこれらの拡張機能が含まれている場合に古いクライアントで接続の問題が発生する場合を除き、このチェックボックスをオンのままにします

    3. [*Generate (生成) ] を選択します

    4. クライアント証明書の詳細 * を選択して、証明書メタデータと証明書 PEM を表示します。

      ヒント ダイアログを閉じると、証明書の秘密鍵を表示できなくなります。キーを安全な場所にコピーまたはダウンロードします。

      • 証明書の内容をコピーして他の場所に貼り付けるには、 * 証明書の PEM をコピー * を選択します。

      • 証明書ファイルを保存するには、 [ 証明書のダウンロード ] を選択します。

        証明書ファイルの名前とダウンロード先を指定します。拡張子を付けてファイルを保存します .pem

      例: storagegrid_certificate.pem

      • 秘密鍵のコピー * を選択して、証明書の秘密鍵をコピーして別の場所に貼り付けます。

      • 秘密鍵をファイルとして保存するには、 * 秘密鍵のダウンロード * を選択します。

        秘密鍵ファイルの名前とダウンロード先を指定します。

    5. 証明書を Grid Manager に保存するには、 * Create * を選択します。

      新しい証明書が [ クライアント ] タブに表示されます。

クライアント証明書をダウンロードまたはコピーします

クライアント証明書をダウンロードまたはコピーして、他の場所で使用することができます。

手順

  1. [* configuration*>] > [* Security] * > [* Certificates*] を選択し、 [* Client*] タブを選択します。

  2. コピーまたはダウンロードする証明書を選択します。

  3. 証明書をダウンロードまたはコピーします。

    証明書ファイルをダウンロードします

    証明書をダウンロードします .pem ファイル。

    1. [ 証明書のダウンロード ] を選択します。

    2. 証明書ファイルの名前とダウンロード先を指定します。拡張子を付けてファイルを保存します .pem

      例: storagegrid_certificate.pem

    証明書をコピーします

    証明書のテキストをコピーして別の場所に貼り付けてください。

    1. [* 証明書 PEM のコピー * ] を選択します。

    2. コピーした証明書をテキストエディタに貼り付けます。

    3. 拡張子を付けてテキストファイルを保存します .pem

      例: storagegrid_certificate.pem

クライアント証明書を削除します

管理者クライアント証明書が不要になった場合は削除できます。

手順

  1. [* configuration*>] > [* Security] * > [* Certificates*] を選択し、 [* Client*] タブを選択します。

  2. 削除する証明書を選択します。

  3. 「 * 削除」を選択して確定します。

メモ 最大 10 個の証明書を削除するには、 [ クライアント ] タブで削除する各証明書を選択し、 [ * アクション * > * 削除 * ] を選択します。

証明書を削除したあと、その証明書を使用していたクライアントは、 StorageGRID Prometheus データベースにアクセスするための新しいクライアント証明書を指定する必要があります。