Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

クライアント証明書を構成する

PDF

クライアント証明書により、承認された外部クライアントがStorageGRID Prometheus データベースにアクセスできるようになり、外部ツールがStorageGRID を安全に監視できるようになります。

外部監視ツールを使用してStorageGRIDにアクセスする必要がある場合は、Grid Manager を使用してクライアント証明書をアップロードまたは生成し、証明書情報を外部ツールにコピーする必要があります。

見る"セキュリティ証明書を管理する"そして"カスタムサーバー証明書を構成する"

メモ 失敗したサーバー証明書によって操作が中断されないように、このサーバー証明書の有効期限が近づくと、*証明書ページで構成されたクライアント証明書の有効期限*アラートがトリガーされます。必要に応じて、[構成] > [セキュリティ] > [証明書] を選択し、[クライアント] タブでクライアント証明書の有効期限を確認することで、現在の証明書の有効期限を確認できます。
メモ 特別に構成されたアプライアンスノード上のデータを保護するためにキー管理サーバー(KMS)を使用している場合は、"KMSクライアント証明書のアップロード"
開始する前に

  • ルートアクセス権限があります。

  • グリッドマネージャにサインインするには、"サポートされているウェブブラウザ"

  • クライアント証明書を構成するには:

    • 管理ノードの IP アドレスまたはドメイン名があります。

    • StorageGRID管理インターフェイス証明書を設定している場合は、管理インターフェイス証明書を設定するために使用した CA、クライアント証明書、および秘密キーがあります。

    • 独自の証明書をアップロードするには、証明書の秘密キーがローカル コンピューター上で利用可能である必要があります。

    • 秘密鍵は作成時に保存または記録されている必要があります。元の秘密鍵がない場合は、新しい秘密鍵を作成する必要があります。

  • クライアント証明書を編集するには:

    • 管理ノードの IP アドレスまたはドメイン名があります。

    • 独自の証明書または新しい証明書をアップロードするには、秘密キー、クライアント証明書、および CA (使用されている場合) がローカル コンピューター上で使用可能です。

クライアント証明書を追加する

クライアント証明書を追加するには、次のいずれかの手順を使用します。

管理インターフェース証明書はすでに構成されています

顧客提供の CA、クライアント証明書、および秘密キーを使用して管理インターフェイス証明書がすでに構成されている場合は、この手順を使用してクライアント証明書を追加します。

手順

  1. グリッド マネージャーで、[構成] > [セキュリティ] > [証明書] を選択し、[クライアント] タブを選択します。

  2. *追加*を選択します。

  3. 証明書名を入力します。

  4. 外部監視ツールを使用して Prometheus メトリックにアクセスするには、Prometheus を許可 を選択します。

  5. *続行*を選択します。

  6. *証明書の添付*手順では、管理インターフェース証明書をアップロードします。

    1. *証明書のアップロード*を選択します。

    2. *参照*を選択し、管理インターフェース証明書ファイルを選択します。(.pem )。

      • 証明書のメタデータと証明書 PEM を表示するには、[クライアント証明書の詳細] を選択します。

      • 証明書の内容をコピーして他の場所に貼り付けるには、「証明書 PEM のコピー」を選択します。

    3. 作成 を選択して、証明書をグリッド マネージャーに保存します。

      新しい証明書が [クライアント] タブに表示されます。

  7. 外部監視ツールを構成するGrafana など。

CA発行のクライアント証明書

管理インターフェース証明書が設定されておらず、CA 発行のクライアント証明書と秘密キーを使用する Prometheus のクライアント証明書を追加する予定の場合は、この手順を使用して管理者クライアント証明書を追加します。

手順

  1. 以下の手順を実行します"管理インターフェース証明書を構成する"

  2. グリッド マネージャーで、[構成] > [セキュリティ] > [証明書] を選択し、[クライアント] タブを選択します。

  3. *追加*を選択します。

  4. 証明書名を入力します。

  5. 外部監視ツールを使用して Prometheus メトリックにアクセスするには、Prometheus を許可 を選択します。

  6. *続行*を選択します。

  7. *証明書の添付*手順では、クライアント証明書、秘密キー、および CA バンドル ファイルをアップロードします。

    1. *証明書のアップロード*を選択します。

    2. *参照*を選択し、クライアント証明書、秘密鍵、CAバンドルファイルを選択します。(.pem )。

      • 証明書のメタデータと証明書 PEM を表示するには、[クライアント証明書の詳細] を選択します。

      • 証明書の内容をコピーして他の場所に貼り付けるには、「証明書 PEM のコピー」を選択します。

    3. 作成 を選択して、証明書をグリッド マネージャーに保存します。

      新しい証明書が [クライアント] タブに表示されます。

  8. 外部監視ツールを構成するGrafana など。

グリッドマネージャーから生成された証明書

管理インターフェース証明書が構成されておらず、Grid Manager の証明書生成機能を使用する Prometheus のクライアント証明書を追加する予定の場合は、この手順を使用して管理者クライアント証明書を追加します。

手順

  1. グリッド マネージャーで、[構成] > [セキュリティ] > [証明書] を選択し、[クライアント] タブを選択します。

  2. *追加*を選択します。

  3. 証明書名を入力します。

  4. 外部監視ツールを使用して Prometheus メトリックにアクセスするには、Prometheus を許可 を選択します。

  5. *続行*を選択します。

  6. *証明書の添付*手順では、*証明書の生成*を選択します。

  7. 証明書情報を指定します。

    • Subject (オプション): 証明書所有者の X.509 サブジェクトまたは識別名 (DN)。

    • 有効日数: 生成された証明書が有効な日数 (生成された時点から計算)。

    • キー使用拡張機能の追加: 選択した場合 (デフォルト、推奨)、生成された証明書にキー使用拡張機能と拡張キー使用拡張機能が追加されます。

      これらの拡張機能は、証明書に含まれるキーの目的を定義します。

    メモ 証明書にこれらの拡張機能が含まれている場合に古いクライアントとの接続の問題が発生しない限り、このチェックボックスをオンのままにしておきます。

  8. *生成*を選択します。

  9. 証明書のメタデータと証明書 PEM を表示するには、[クライアント証明書の詳細] を選択します。

    ヒント ダイアログを閉じると、証明書の秘密キーを表示できなくなります。キーを安全な場所にコピーまたはダウンロードします。

    • 証明書の内容をコピーして他の場所に貼り付けるには、「証明書 PEM のコピー」を選択します。

    • 証明書ファイルを保存するには、[証明書のダウンロード] を選択します。

      証明書ファイル名とダウンロード場所を指定します。拡張子を付けてファイルを保存する .pem

    例: storagegrid_certificate.pem

    • 証明書の秘密キーをコピーして他の場所に貼り付けるには、「秘密キーのコピー」を選択します。

    • 秘密鍵をファイルとして保存するには、「秘密鍵のダウンロード」を選択します。

      秘密鍵ファイル名とダウンロード場所を指定します。

  10. 作成 を選択して、証明書をグリッド マネージャーに保存します。

    新しい証明書が [クライアント] タブに表示されます。

  11. グリッド マネージャーで、[構成] > [セキュリティ] > [証明書] を選択し、[グローバル] タブを選択します。

  12. *管理インターフェイス証明書*を選択します。

  13. *カスタム証明書を使用する*を選択します。

  14. certificate.pemとprivate_key.pemファイルをアップロードします。クライアント証明書の詳細ステップ。 CA バンドルをアップロードする必要はありません。

    1. *証明書のアップロード*を選択し、*続行*を選択します。

    2. 各証明書ファイルをアップロードする(.pem)。

    3. 保存 を選択して、証明書をグリッド マネージャーに保存します。

      新しい証明書が管理インターフェイスの証明書ページに表示されます。

  15. 外部監視ツールを構成するGrafana など。

外部監視ツールを設定する

手順

  1. Grafana などの外部監視ツールで次の設定を構成します。

    1. 名前: 接続の名前を入力します。

      StorageGRIDこの情報は必要ありませんが、接続をテストするには名前を指定する必要があります。

    2. URL: 管理ノードのドメイン名または IP アドレスを入力します。 HTTPS とポート 9091 を指定します。

      例: https://admin-node.example.com:9091

    3. TLS クライアント認証CA 証明書 を有効にします。

    4. TLS/SSL認証の詳細の下に、以下の内容をコピーして貼り付けます:

      • 管理インターフェース CA 証明書を CA Cert

      • Client Cert へのクライアント証明書

      • クライアントキーの秘密鍵

    5. ServerName: 管理ノードのドメイン名を入力します。

      ServerName は、管理インターフェイス証明書に表示されるドメイン名と一致する必要があります。

  2. StorageGRIDまたはローカル ファイルからコピーした証明書と秘密キーを保存してテストします。

    外部監視ツールを使用して、 StorageGRIDから Prometheus メトリックにアクセスできるようになりました。

    指標の詳細については、"StorageGRIDの監視手順"

クライアント証明書を編集する

管理者クライアント証明書を編集して名前を変更したり、Prometheus アクセスを有効または無効にしたり、現在の証明書の有効期限が切れたときに新しい証明書をアップロードしたりできます。

手順

  1. 構成 > セキュリティ > 証明書 を選択し、クライアント タブを選択します。

    証明書の有効期限と Prometheus のアクセス権限が表にリストされています。証明書の有効期限が間もなく切れるか、すでに切れている場合は、テーブルにメッセージが表示され、アラートがトリガーされます。

  2. 編集する証明書を選択します。

  3. *編集*を選択し、*名前と権限の編集*を選択します。

  4. 証明書名を入力します。

  5. 外部監視ツールを使用して Prometheus メトリックにアクセスするには、Prometheus を許可 を選択します。

  6. *続行*を選択して、グリッド マネージャーに証明書を保存します。

    更新された証明書が [クライアント] タブに表示されます。

新しいクライアント証明書を添付する

現在の証明書の有効期限が切れた場合は、新しい証明書をアップロードできます。

手順

  1. 構成 > セキュリティ > 証明書 を選択し、クライアント タブを選択します。

    証明書の有効期限と Prometheus のアクセス権限が表にリストされています。証明書の有効期限が間もなく切れるか、すでに切れている場合は、テーブルにメッセージが表示され、アラートがトリガーされます。

  2. 編集する証明書を選択します。

  3. *編集*を選択し、編集オプションを選択します。

    証明書をアップロード

    証明書のテキストをコピーして他の場所に貼り付けます。

    1. *証明書のアップロード*を選択し、*続行*を選択します。

    2. クライアント証明書名をアップロードする(.pem)。

      証明書のメタデータと証明書 PEM を表示するには、[クライアント証明書の詳細] を選択します。

      • 証明書ファイルを保存するには、[証明書のダウンロード] を選択します。

        証明書ファイル名とダウンロード場所を指定します。拡張子を付けてファイルを保存する .pem

      例: storagegrid_certificate.pem

      • 証明書の内容をコピーして他の場所に貼り付けるには、「証明書 PEM のコピー」を選択します。

    3. 作成 を選択して、証明書をグリッド マネージャーに保存します。

      更新された証明書が [クライアント] タブに表示されます。

    証明書を生成する

    他の場所に貼り付けるための証明書テキストを生成します。

    1. *証明書の生成*を選択します。

    2. 証明書情報を指定します。

      • Subject (オプション): 証明書所有者の X.509 サブジェクトまたは識別名 (DN)。

      • 有効日数: 生成された証明書が有効な日数 (生成された時点から計算)。

      • キー使用拡張機能の追加: 選択した場合 (デフォルト、推奨)、生成された証明書にキー使用拡張機能と拡張キー使用拡張機能が追加されます。

        これらの拡張機能は、証明書に含まれるキーの目的を定義します。

      メモ 証明書にこれらの拡張機能が含まれている場合に古いクライアントとの接続の問題が発生しない限り、このチェックボックスをオンのままにしておきます。

    3. *生成*を選択します。

    4. 証明書のメタデータと証明書 PEM を表示するには、[クライアント証明書の詳細] を選択します。

      ヒント ダイアログを閉じると、証明書の秘密キーを表示できなくなります。キーを安全な場所にコピーまたはダウンロードします。

      • 証明書の内容をコピーして他の場所に貼り付けるには、「証明書 PEM のコピー」を選択します。

      • 証明書ファイルを保存するには、[証明書のダウンロード] を選択します。

        証明書ファイル名とダウンロード場所を指定します。拡張子を付けてファイルを保存する .pem

      例: storagegrid_certificate.pem

      • 証明書の秘密キーをコピーして他の場所に貼り付けるには、「秘密キーのコピー」を選択します。

      • 秘密鍵をファイルとして保存するには、「秘密鍵のダウンロード」を選択します。

        秘密鍵ファイル名とダウンロード場所を指定します。

    5. 作成 を選択して、証明書をグリッド マネージャーに保存します。

      新しい証明書が [クライアント] タブに表示されます。

クライアント証明書をダウンロードまたはコピーする

他の場所で使用するためにクライアント証明書をダウンロードまたはコピーすることができます。

手順

  1. 構成 > セキュリティ > 証明書 を選択し、クライアント タブを選択します。

  2. コピーまたはダウンロードする証明書を選択します。

  3. 証明書をダウンロードまたはコピーします。

    証明書ファイルをダウンロード

    証明書をダウンロードする `.pem`ファイル。

    1. *証明書のダウンロード*を選択します。

    2. 証明書ファイル名とダウンロード場所を指定します。拡張子を付けてファイルを保存する .pem

      例: storagegrid_certificate.pem

    証明書のコピー

    証明書のテキストをコピーして他の場所に貼り付けます。

    1. *証明書PEMのコピー*を選択します。

    2. コピーした証明書をテキスト エディターに貼り付けます。

    3. 拡張子をつけてテキストファイルを保存する .pem

      例: storagegrid_certificate.pem

クライアント証明書を削除する

管理者クライアント証明書が不要になった場合は、削除できます。

手順

  1. 構成 > セキュリティ > 証明書 を選択し、クライアント タブを選択します。

  2. 削除する証明書を選択します。

  3. *削除*を選択して確認します。

メモ 最大 10 個の証明書を削除するには、[クライアント] タブで削除する各証明書を選択し、[アクション] > [削除] を選択します。

証明書が削除された後、その証明書を使用していたクライアントは、 StorageGRID Prometheus データベースにアクセスするために新しいクライアント証明書を指定する必要があります。