S3 API証明書を設定する
変更を提案
PDF
ストレージ ノードまたはロード バランサー エンドポイントへの S3 クライアント接続に使用されるサーバー証明書を置き換えたり復元したりできます。交換用のカスタム サーバー証明書は、組織に固有のものです。
|
このバージョンのドキュメント サイトから Swift の詳細は削除されました。見る "StorageGRID 11.8: S3およびSwift API証明書の設定"。 |
デフォルトでは、すべてのストレージ ノードにグリッド CA によって署名された X.509 サーバー証明書が発行されます。これらの CA 署名付き証明書は、単一の共通カスタム サーバー証明書と対応する秘密キーに置き換えることができます。
すべてのストレージ ノードに単一のカスタム サーバー証明書が使用されるため、クライアントがストレージ エンドポイントに接続するときにホスト名を検証する必要がある場合は、証明書をワイルドカードまたはマルチドメイン証明書として指定する必要があります。グリッド内のすべてのストレージ ノードに一致するようにカスタム証明書を定義します。
サーバーでの設定が完了したら、使用しているルート証明機関 (CA) に応じて、システムにアクセスするために使用する S3 API クライアントに Grid CA 証明書をインストールする必要もあります。
|
失敗したサーバー証明書によって操作が中断されないように、ルート サーバー証明書の有効期限が切れそうになると、S3 API のグローバル サーバー証明書の有効期限切れ アラートがトリガーされます。必要に応じて、[設定] > [セキュリティ] > [証明書] を選択し、[グローバル] タブで S3 API 証明書の有効期限を確認することで、現在の証明書の有効期限を確認できます。 |
カスタム S3 API 証明書をアップロードまたは生成できます。
カスタムS3 API証明書を追加する
-
構成 > セキュリティ > *証明書*を選択します。
-
*グローバル*タブで、*S3 API証明書*を選択します。
-
*カスタム証明書を使用する*を選択します。
-
証明書をアップロードまたは生成します。
証明書をアップロード必要なサーバー証明書ファイルをアップロードします。
-
*証明書のアップロード*を選択します。
-
必要なサーバー証明書ファイルをアップロードします。
-
サーバー証明書: カスタム サーバー証明書ファイル (PEM エンコード)。
-
証明書の秘密鍵: カスタムサーバー証明書の秘密鍵ファイル(
.key)。
EC 秘密鍵は 224 ビット以上である必要があります。 RSA 秘密鍵は 2048 ビット以上である必要があります。 -
CA バンドル: 各中間発行証明機関からの証明書を含む単一のオプション ファイル。このファイルには、PEM でエンコードされた各 CA 証明書ファイルが、証明書チェーンの順序で連結されて含まれている必要があります。
-
-
証明書の詳細を選択すると、アップロードされた各カスタム S3 API 証明書のメタデータと PEM が表示されます。オプションの CA バンドルをアップロードした場合、各証明書は独自のタブに表示されます。
-
証明書ファイルを保存するには 証明書のダウンロード を選択するか、証明書バンドルを保存するには CA バンドルのダウンロード を選択します。
証明書ファイル名とダウンロード場所を指定します。拡張子を付けてファイルを保存する
.pem。
例:
storagegrid_certificate.pem-
証明書の内容をコピーして他の場所に貼り付けるには、「証明書 PEM のコピー」または「CA バンドル PEM のコピー」を選択します。
-
-
*保存*を選択します。
カスタム サーバー証明書は、後続の新しい S3 クライアント接続に使用されます。
証明書を生成するサーバー証明書ファイルを生成します。
-
*証明書の生成*を選択します。
-
証明書情報を指定します。
フィールド 説明 ドメイン名
証明書に含める 1 つ以上の完全修飾ドメイン名。複数のドメイン名を表すには、ワイルドカードとして * を使用します。
IP
証明書に含める 1 つ以上の IP アドレス。
件名(任意)
証明書所有者の X.509 サブジェクトまたは識別名 (DN)。
このフィールドに値が入力されない場合、生成された証明書では、最初のドメイン名または IP アドレスがサブジェクト共通名 (CN) として使用されます。
有効日数
証明書の有効期限が切れるまでの作成後日数。
キー使用拡張機能を追加する
選択した場合 (デフォルト、推奨)、生成された証明書にキー使用法と拡張キー使用法の拡張機能が追加されます。
これらの拡張機能は、証明書に含まれるキーの目的を定義します。
注意: 証明書にこれらの拡張機能が含まれている場合に古いクライアントとの接続の問題が発生しない限り、このチェックボックスをオンのままにしておきます。
-
*生成*を選択します。
-
証明書の詳細 を選択すると、生成されたカスタム S3 API 証明書のメタデータと PEM が表示されます。
-
証明書ファイルを保存するには、[証明書のダウンロード] を選択します。
証明書ファイル名とダウンロード場所を指定します。拡張子を付けてファイルを保存する
.pem。
例:
storagegrid_certificate.pem-
証明書の内容をコピーして他の場所に貼り付けるには、「証明書 PEM のコピー」を選択します。
-
-
*保存*を選択します。
カスタム サーバー証明書は、後続の新しい S3 クライアント接続に使用されます。
-
-
タブを選択すると、デフォルトのStorageGRIDサーバー証明書、アップロードされた CA 署名付き証明書、または生成されたカスタム証明書のメタデータが表示されます。
新しい証明書をアップロードまたは生成した後、関連する証明書の有効期限アラートがクリアされるまで最大 1 日かかります。 -
ページを更新して、Web ブラウザが更新されていることを確認します。
-
カスタム S3 API 証明書を追加すると、S3 API 証明書ページに、使用中のカスタム S3 API 証明書の詳細な証明書情報が表示されます。 + 必要に応じて証明書 PEM をダウンロードまたはコピーできます。
デフォルトのS3 API証明書を復元する
ストレージノードへの S3 クライアント接続にデフォルトの S3 API 証明書を使用するように戻すことができます。ただし、ロードバランサーエンドポイントにはデフォルトの S3 API 証明書は使用できません。
-
構成 > セキュリティ > *証明書*を選択します。
-
*グローバル*タブで、*S3 API証明書*を選択します。
-
*デフォルトの証明書を使用する*を選択します。
グローバル S3 API 証明書のデフォルト バージョンを復元すると、設定したカスタム サーバー証明書ファイルが削除され、システムから復元できなくなります。デフォルトの S3 API 証明書は、ストレージ ノードへの後続の新しい S3 クライアント接続に使用されます。
-
OK を選択して警告を確認し、デフォルトの S3 API 証明書を復元します。
ルートアクセス権限があり、カスタム S3 API 証明書がロードバランサーのエンドポイント接続に使用されていた場合、デフォルトの S3 API 証明書を使用してアクセスできなくなるロードバランサーのエンドポイントのリストが表示されます。へ移動"ロードバランサのエンドポイントを構成する"影響を受けるエンドポイントを編集または削除します。
-
ページを更新して、Web ブラウザが更新されていることを確認します。
S3 API証明書をダウンロードまたはコピーします
S3 API 証明書の内容を保存またはコピーして、他の場所で使用することができます。
-
構成 > セキュリティ > *証明書*を選択します。
-
*グローバル*タブで、*S3 API証明書*を選択します。
-
*サーバー*または*CAバンドル*タブを選択し、証明書をダウンロードまたはコピーします。
証明書ファイルまたはCAバンドルをダウンロードする証明書またはCAバンドルをダウンロードする `.pem`ファイル。オプションの CA バンドルを使用している場合、バンドル内の各証明書はそれぞれのサブタブに表示されます。
-
*証明書のダウンロード*または*CAバンドルのダウンロード*を選択します。
CA バンドルをダウンロードする場合、CA バンドルのセカンダリ タブ内のすべての証明書が 1 つのファイルとしてダウンロードされます。
-
証明書ファイル名とダウンロード場所を指定します。拡張子を付けてファイルを保存する
.pem。例:
storagegrid_certificate.pem
証明書またはCAバンドルPEMのコピー証明書のテキストをコピーして他の場所に貼り付けます。オプションの CA バンドルを使用している場合、バンドル内の各証明書はそれぞれのサブタブに表示されます。
-
証明書 PEM のコピー または CA バンドル PEM のコピー を選択します。
CA バンドルをコピーする場合、CA バンドルのセカンダリ タブ内のすべての証明書が一緒にコピーされます。
-
コピーした証明書をテキスト エディターに貼り付けます。
-
拡張子をつけてテキストファイルを保存する
.pem。例:
storagegrid_certificate.pem
-