S3 および Swift API 証明書を設定する
ストレージノードまたはロードバランサエンドポイントへのS3 / Swiftクライアント接続に使用されるサーバ証明書を置き換えたりリストアしたりできます。置き換え用のカスタムサーバ証明書は組織に固有のものです。
デフォルトでは、すべてのストレージノードに、グリッド CA によって署名された X.509 サーバ証明書が発行されます。これらの CA 署名証明書は、単一の共通するカスタムサーバ証明書および対応する秘密鍵で置き換えることができます。
1 つのカスタムサーバ証明書がすべてのストレージノードに対して使用されるため、ストレージエンドポイントへの接続時にクライアントがホスト名を確認する必要がある場合は、ワイルドカード証明書またはマルチドメイン証明書として指定する必要があります。グリッド内のすべてのストレージノードに一致するカスタム証明書を定義してください。
サーバでの設定が完了したら、使用しているルート認証局( CA )によっては、システムへのアクセスに使用する S3 または Swift API クライアントにグリッド CA 証明書をインストールすることも必要になる場合があります。
サーバ証明書の問題によって処理が中断されないようにするために、ルートサーバ証明書の有効期限が近づくと* Expiration of global server certificate for S3 and Swift API *アラートがトリガーされます。必要に応じて、現在の証明書の有効期限を確認するには、 * configuration * > * Security * > * Certificates * を選択し、 S3 および Swift API 証明書の有効期限を Global タブで確認します。 |
S3 および Swift のカスタム API 証明書をアップロードまたは生成できます。
S3 および Swift のカスタム API 証明書を追加します
-
[ * configuration * > * Security * > * Certificates * ] を選択します。
-
Global * タブで、 * S3 および Swift API 証明書 * を選択します。
-
[ * カスタム証明書を使用する * ] を選択します。
-
証明書をアップロードまたは生成します。
証明書をアップロードする必要なサーバ証明書ファイルをアップロードします。
-
[ 証明書のアップロード ] を選択します。
-
必要なサーバ証明書ファイルをアップロードします。
-
* サーバ証明書 * :カスタムサーバ証明書ファイル( PEM エンコード)。
-
証明書の秘密鍵:カスタムサーバ証明書の秘密鍵ファイル (
.key
)。EC 秘密鍵は 224 ビット以上である必要があります。RSA 秘密鍵は 2048 ビット以上にする必要があります。 -
CA Bundle :各中間発行認証局の証明書を含む単一のオプションファイル。このファイルには、 PEM でエンコードされた各 CA 証明書ファイルが、証明書チェーンの順序で連結して含まれている必要があります。
-
-
証明書の詳細を選択して、アップロードしたカスタムの S3 および Swift API 証明書ごとにメタデータと PEM を表示します。オプションの CA バンドルをアップロードした場合は、各証明書が独自のタブに表示されます。
-
証明書ファイルを保存するには、 * 証明書のダウンロード * を選択します。証明書バンドルを保存するには、 * CA バンドルのダウンロード * を選択します。
証明書ファイルの名前とダウンロード先を指定します。拡張子を付けてファイルを保存します
.pem
。
例:
storagegrid_certificate.pem
-
証明書の内容をコピーして他の場所に貼り付けるには、 * 証明書の PEM のコピー * または * CA バンドル PEM のコピー * を選択してください。
-
-
[ 保存( Save ) ] を選択します。
以降の新しい S3 および Swift クライアント接続には、カスタムサーバ証明書が使用されます。
証明書の生成サーバ証明書ファイルを生成します。
-
[* 証明書の生成 * ] を選択します。
-
証明書情報を指定します。
フィールド 説明 ドメイン名
証明書に含める1つ以上の完全修飾ドメイン名。複数のドメイン名を表すには、ワイルドカードとして * を使用します。
IP
証明書に含める1つ以上のIPアドレス。
件名(オプション)
証明書所有者のX.509サブジェクト名または識別名(DN)。
このフィールドに値を入力しない場合、生成される証明書では、最初のドメイン名またはIPアドレスがサブジェクト共通名(CN)として使用されます。
有効な日数
作成後に証明書の有効期限が切れる日数。
キー使用の拡張機能を追加します
選択されている場合(デフォルトおよび推奨)、キー使用と拡張キー使用拡張が生成された証明書に追加されます。
これらの拡張機能は、証明書に含まれるキーの目的を定義します。
注:証明書にこれらの拡張機能が含まれている場合、古いクライアントで接続の問題が発生する場合を除き、このチェックボックスをオンのままにします。
-
[*Generate (生成) ] を選択します
-
Certificate Details * を選択して、生成されたカスタムの S3 および Swift API 証明書のメタデータと PEM を表示します。
-
証明書ファイルを保存するには、 [ 証明書のダウンロード ] を選択します。
証明書ファイルの名前とダウンロード先を指定します。拡張子を付けてファイルを保存します
.pem
。
例:
storagegrid_certificate.pem
-
証明書の内容をコピーして他の場所に貼り付けるには、 * 証明書の PEM をコピー * を選択します。
-
-
[ 保存( Save ) ] を選択します。
以降の新しい S3 および Swift クライアント接続には、カスタムサーバ証明書が使用されます。
-
-
タブを選択して、デフォルトの StorageGRID サーバ証明書、アップロードされた CA 署名証明書、または生成されたカスタム証明書のメタデータを表示します。
新しい証明書をアップロードまたは生成したあと、関連する証明書の有効期限アラートがクリアされるまでに最大 1 日かかります。 -
Web ブラウザが更新されたことを確認するには、ページをリフレッシュしてください。
-
カスタムの S3 および Swift API 証明書を追加すると、使用中のカスタムの S3 および Swift API 証明書の詳細な証明書情報が S3 および Swift API の証明書ページに表示されます。[+] 必要に応じて、証明書PEMをダウンロードまたはコピーできます。
S3 および Swift のデフォルトの API 証明書をリストア
ストレージノードへのS3およびSwiftクライアント接続でデフォルトのS3およびSwift API証明書を使用するように戻すことができます。ただし、ロードバランサエンドポイントにはデフォルトのS3およびSwift API証明書を使用できません。
-
[ * configuration * > * Security * > * Certificates * ] を選択します。
-
Global * タブで、 * S3 および Swift API 証明書 * を選択します。
-
[ * デフォルト証明書を使用する * ] を選択します。
S3およびSwift APIのグローバル証明書のデフォルトバージョンをリストアすると、設定したカスタムサーバ証明書ファイルは削除され、システムからリカバリすることはできません。ストレージノードへの以降の新しいS3およびSwiftクライアント接続には、デフォルトのS3およびSwift API証明書が使用されます。
-
警告を確認し、デフォルトの S3 および Swift API 証明書をリストアするには、「 * OK 」を選択します。
Root Access 権限がある環境で、 S3 および Swift API のカスタム証明書をロードバランサエンドポイントの接続に使用していた場合は、デフォルトの S3 および Swift API 証明書を使用してアクセスできなくなるロードバランサエンドポイントのリストが表示されます。に進みます "ロードバランサエンドポイントを設定する" 影響を受けるエンドポイントを編集または削除します。
-
Web ブラウザが更新されたことを確認するには、ページをリフレッシュしてください。
S3 および Swift API 証明書をダウンロードまたはコピーします
S3 および Swift API 証明書の内容を保存またはコピーして、他の場所で使用することができます。
-
[ * configuration * > * Security * > * Certificates * ] を選択します。
-
Global * タブで、 * S3 および Swift API 証明書 * を選択します。
-
[Server ] タブまたは [CA Bundle] タブを選択し、証明書をダウンロードまたはコピーします。
証明書ファイルまたは CA バンドルをダウンロードします証明書またはCAバンドルをダウンロードします
.pem
ファイル。オプションの CA バンドルを使用している場合は、バンドル内の各証明書が独自のサブタブに表示されます。-
[ 証明書のダウンロード *] または [ CA バンドルのダウンロード *] を選択します。
CA バンドルをダウンロードする場合、 CA バンドルのセカンダリタブにあるすべての証明書が単一のファイルとしてダウンロードされます。
-
証明書ファイルの名前とダウンロード先を指定します。拡張子を付けてファイルを保存します
.pem
。例:
storagegrid_certificate.pem
証明書または CA バンドル PEM をコピーしてください証明書のテキストをコピーして別の場所に貼り付けてください。オプションの CA バンドルを使用している場合は、バンドル内の各証明書が独自のサブタブに表示されます。
-
[Copy certificate PEM* (証明書のコピー) ] または [* Copy CA bundle PEM* ( CA バンドル PEM のコピー)
CA バンドルをコピーする場合、 CA バンドルのセカンダリタブにあるすべての証明書が一緒にコピーされます。
-
コピーした証明書をテキストエディタに貼り付けます。
-
拡張子を付けてテキストファイルを保存します
.pem
。例:
storagegrid_certificate.pem
-