Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

管理インターフェース証明書を構成する

PDF

デフォルトの管理インターフェイス証明書を単一のカスタム証明書に置き換えて、ユーザーがセキュリティ警告に遭遇することなく Grid Manager および Tenant Manager にアクセスできるようにすることができます。デフォルトの管理インターフェイス証明書に戻したり、新しい証明書を生成したりすることもできます。

タスク概要

デフォルトでは、すべての管理ノードにグリッド CA によって署名された証明書が発行されます。これらの CA 署名付き証明書は、単一の共通カスタム管理インターフェイス証明書と対応する秘密キーに置き換えることができます。

すべての管理ノードに単一のカスタム管理インターフェイス証明書が使用されるため、クライアントが Grid Manager および Tenant Manager に接続するときにホスト名を検証する必要がある場合は、証明書をワイルドカードまたはマルチドメイン証明書として指定する必要があります。グリッド内のすべての管理ノードと一致するようにカスタム証明書を定義します。

サーバー上で構成を完了する必要があります。また、使用しているルート証明機関 (CA) によっては、ユーザーが Grid Manager および Tenant Manager にアクセスするために使用する Web ブラウザーに Grid CA 証明書をインストールする必要もあります。

メモ 失敗したサーバー証明書によって操作が中断されないように、このサーバー証明書の有効期限が近づくと、管理インターフェイスのサーバー証明書の有効期限*アラートがトリガーされます。必要に応じて、[*CONFIGURATION] > [Security] > [Certificates] を選択し、[Global] タブで管理インターフェイス証明書の有効期限を確認することで、現在の証明書の有効期限を確認できます。
メモ

IP アドレスではなくドメイン名を使用して Grid Manager または Tenant Manager にアクセスしている場合、次のいずれかが発生すると、ブラウザにバイパス オプションのない証明書エラーが表示されます。

カスタム管理インターフェース証明書を追加する

カスタム管理インターフェイス証明書を追加するには、独自の証明書を提供するか、グリッド マネージャーを使用して証明書を生成します。

手順

  1. 構成 > セキュリティ > *証明書*を選択します。

  2. *グローバル*タブで、*管理インターフェース証明書*を選択します。

  3. *カスタム証明書を使用する*を選択します。

  4. 証明書をアップロードまたは生成します。

    証明書をアップロード

    必要なサーバー証明書ファイルをアップロードします。

    1. *証明書のアップロード*を選択します。

    2. 必要なサーバー証明書ファイルをアップロードします。

      • サーバー証明書: カスタム サーバー証明書ファイル (PEM エンコード)。

      • 証明書の秘密鍵: カスタムサーバー証明書の秘密鍵ファイル(.key)。

        メモ EC 秘密鍵は 224 ビット以上である必要があります。 RSA 秘密鍵は 2048 ビット以上である必要があります。

      • CA バンドル: 各中間発行証明機関 (CA) からの証明書を含む単一のオプション ファイル。このファイルには、PEM でエンコードされた各 CA 証明書ファイルが、証明書チェーンの順序で連結されて含まれている必要があります。

    3. *証明書の詳細*を展開して、アップロードした各証明書のメタデータを表示します。オプションの CA バンドルをアップロードした場合、各証明書は独自のタブに表示されます。

      • 証明書ファイルを保存するには 証明書のダウンロード を選択するか、証明書バンドルを保存するには CA バンドルのダウンロード を選択します。

        証明書ファイル名とダウンロード場所を指定します。拡張子を付けてファイルを保存する .pem

      例: storagegrid_certificate.pem

      • 証明書の内容をコピーして他の場所に貼り付けるには、「証明書 PEM のコピー」または「CA バンドル PEM のコピー」を選択します。

    4. *保存*を選択します。+ カスタム管理インターフェイス証明書は、Grid Manager、Tenant Manager、Grid Manager API、または Tenant Manager API への以降のすべての新しい接続に使用されます。

    証明書を生成する

    サーバー証明書ファイルを生成します。

    メモ 実稼働環境でのベスト プラクティスは、外部証明機関によって署名されたカスタム管理インターフェイス証明書を使用することです。

    1. *証明書の生成*を選択します。

    2. 証明書情報を指定します。

      フィールド 説明

      ドメイン名

      証明書に含める 1 つ以上の完全修飾ドメイン名。複数のドメイン名を表すには、ワイルドカードとして * を使用します。

      IP

      証明書に含める 1 つ以上の IP アドレス。

      件名(任意)

      証明書所有者の X.509 サブジェクトまたは識別名 (DN)。

      このフィールドに値が入力されない場合、生成された証明書では、最初のドメイン名または IP アドレスがサブジェクト共通名 (CN) として使用されます。

      有効日数

      証明書の有効期限が切れるまでの作成後日数。

      キー使用拡張機能を追加する

      選択した場合 (デフォルト、推奨)、生成された証明書にキー使用法と拡張キー使用法の拡張機能が追加されます。

      これらの拡張機能は、証明書に含まれるキーの目的を定義します。

      注意: 証明書にこれらの拡張機能が含まれている場合に古いクライアントとの接続の問題が発生しない限り、このチェックボックスをオンのままにしておきます。

    3. *生成*を選択します。

    4. 生成された証明書のメタデータを表示するには、「証明書の詳細」を選択します。

      • 証明書ファイルを保存するには、[証明書のダウンロード] を選択します。

        証明書ファイル名とダウンロード場所を指定します。拡張子を付けてファイルを保存する .pem

      例: storagegrid_certificate.pem

      • 証明書の内容をコピーして他の場所に貼り付けるには、「証明書 PEM のコピー」を選択します。

    5. *保存*を選択します。+ カスタム管理インターフェイス証明書は、Grid Manager、Tenant Manager、Grid Manager API、または Tenant Manager API への以降のすべての新しい接続に使用されます。

  5. ページを更新して、Web ブラウザが更新されていることを確認します。

    メモ 新しい証明書をアップロードまたは生成した後、関連する証明書の有効期限アラートがクリアされるまで最大 1 日かかります。

  6. カスタム管理インターフェイス証明書を追加すると、管理インターフェイス証明書ページに、使用中の証明書の詳細な証明書情報が表示されます。 + 必要に応じて証明書 PEM をダウンロードまたはコピーできます。

デフォルトの管理インターフェース証明書を復元する

Grid Manager および Tenant Manager 接続にデフォルトの管理インターフェイス証明書を使用するように戻すことができます。

手順

  1. 構成 > セキュリティ > *証明書*を選択します。

  2. *グローバル*タブで、*管理インターフェース証明書*を選択します。

  3. *デフォルトの証明書を使用する*を選択します。

    デフォルトの管理インターフェイス証明書を復元すると、構成したカスタム サーバー証明書ファイルが削除され、システムから回復できなくなります。以降のすべての新しいクライアント接続には、デフォルトの管理インターフェイス証明書が使用されます。

  4. ページを更新して、Web ブラウザが更新されていることを確認します。

スクリプトを使用して新しい自己署名管理インターフェース証明書を生成する

厳密なホスト名検証が必要な場合は、スクリプトを使用して管理インターフェイス証明書を生成できます。

開始する前に
タスク概要

実稼働環境でのベストプラクティスは、外部の証明機関によって署名された証明書を使用することです。

手順

  1. 各管理ノードの完全修飾ドメイン名 (FQDN) を取得します。

  2. プライマリ管理ノードにログインします。

    1. 次のコマンドを入力します。 ssh admin@primary_Admin_Node_IP

    2. 記載されているパスワードを入力してください `Passwords.txt`ファイル。

    3. ルートに切り替えるには、次のコマンドを入力します。 su -

    4. 記載されているパスワードを入力してください `Passwords.txt`ファイル。

      ルートとしてログインすると、プロンプトは $`に `#

  3. 新しい自己署名証明書を使用してStorageGRIDを構成します。

    $ sudo make-certificate --domains wildcard-admin-node-fqdn --type management

    • のために --domains、ワイルドカードを使用して、すべての管理ノードの完全修飾ドメイン名を表します。例えば、 *.ui.storagegrid.example.com *ワイルドカードを使用して admin1.ui.storagegrid.example.com`そして `admin2.ui.storagegrid.example.com

    • セット `--type`に `management`Grid Manager および Tenant Manager で使用される管理インターフェイス証明書を構成します。

    • デフォルトでは、生成された証明書の有効期間は 1 年間 (365 日間) で、有効期限が切れる前に再作成する必要があります。使用することができます `--days`デフォルトの有効期間を上書きする引数。

      メモ 証明書の有効期間は、 `make-certificate`実行されます。管理クライアントがStorageGRIDと同じタイム ソースに同期されていることを確認する必要があります。そうでない場合、クライアントは証明書を拒否する可能性があります。 
      $ sudo make-certificate --domains *.ui.storagegrid.example.com --type management --days 720

      結果の出力には、管理 API クライアントに必要な公開証明書が含まれます。

  4. 証明書を選択してコピーします。

    選択範囲に BEGIN タグと END タグを含めます。

  5. コマンド シェルからログアウトします。 $ exit

  6. 証明書が構成されたことを確認します。

    1. グリッド マネージャーにアクセスします。

    2. 構成 > セキュリティ > *証明書*を選択します。

    3. *グローバル*タブで、*管理インターフェース証明書*を選択します。

  7. コピーした公開証明書を使用するように管理クライアントを構成します。 BEGIN タグと END タグを含めます。

管理インターフェース証明書をダウンロードまたはコピーします

管理インターフェイスの証明書の内容を保存またはコピーして、他の場所で使用することができます。

手順

  1. 構成 > セキュリティ > *証明書*を選択します。

  2. *グローバル*タブで、*管理インターフェース証明書*を選択します。

  3. *サーバー*または*CAバンドル*タブを選択し、証明書をダウンロードまたはコピーします。

    証明書ファイルまたはCAバンドルをダウンロードする

    証明書またはCAバンドルをダウンロードする `.pem`ファイル。オプションの CA バンドルを使用している場合、バンドル内の各証明書はそれぞれのサブタブに表示されます。

    1. *証明書のダウンロード*または*CAバンドルのダウンロード*を選択します。

      CA バンドルをダウンロードする場合、CA バンドルのセカンダリ タブ内のすべての証明書が 1 つのファイルとしてダウンロードされます。

    2. 証明書ファイル名とダウンロード場所を指定します。拡張子を付けてファイルを保存する .pem

      例: storagegrid_certificate.pem

    証明書またはCAバンドルPEMのコピー

    証明書のテキストをコピーして他の場所に貼り付けます。オプションの CA バンドルを使用している場合、バンドル内の各証明書はそれぞれのサブタブに表示されます。

    1. 証明書 PEM のコピー または CA バンドル PEM のコピー を選択します。

      CA バンドルをコピーする場合、CA バンドルのセカンダリ タブ内のすべての証明書が一緒にコピーされます。

    2. コピーした証明書をテキスト エディターに貼り付けます。

    3. 拡張子をつけてテキストファイルを保存する .pem

      例: storagegrid_certificate.pem