Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

S3 API証明書の設定

共同作成者
PDF

ストレージノードまたはロードバランサエンドポイントへのS3クライアント接続に使用されるサーバ証明書を置き換えたりリストアしたりできます。置き換え用のカスタムサーバ証明書は組織に固有のものです。

ヒント このバージョンのドキュメントサイトからSwiftの詳細が削除されました。を参照してください "StorageGRID 11.8:S3およびSwift API証明書の設定"
タスクの内容

デフォルトでは、すべてのストレージノードに、グリッド CA によって署名された X.509 サーバ証明書が発行されます。これらの CA 署名証明書は、単一の共通するカスタムサーバ証明書および対応する秘密鍵で置き換えることができます。

1 つのカスタムサーバ証明書がすべてのストレージノードに対して使用されるため、ストレージエンドポイントへの接続時にクライアントがホスト名を確認する必要がある場合は、ワイルドカード証明書またはマルチドメイン証明書として指定する必要があります。グリッド内のすべてのストレージノードに一致するカスタム証明書を定義してください。

サーバでの設定が完了したら、使用しているルート認証局(CA)によっては、システムへのアクセスに使用するS3 APIクライアントにグリッドCA証明書をインストールする必要があります。

メモ サーバ証明書の問題によって処理が中断されないようにするために、ルートサーバ証明書の有効期限が近づくと* Expiration of global server certificate for S3 API アラートがトリガーされます。必要に応じて、 configuration > Security > Certificates *を選択し、[Global]タブでS3 API証明書の有効期限を確認することで、現在の証明書の有効期限を確認できます。

カスタムのS3 API証明書をアップロードまたは生成できます。

カスタムのS3 API証明書を追加する

手順

  1. [ * configuration * > * Security * > * Certificates * ] を選択します。

  2. [グローバル]タブで、* S3 API証明書*を選択します。

  3. [ * カスタム証明書を使用する * ] を選択します。

  4. 証明書をアップロードまたは生成します。

    証明書をアップロードする

    必要なサーバ証明書ファイルをアップロードします。

    1. [ 証明書のアップロード ] を選択します。

    2. 必要なサーバ証明書ファイルをアップロードします。

      • * サーバ証明書 * :カスタムサーバ証明書ファイル( PEM エンコード)。

      • 証明書の秘密鍵:カスタムサーバ証明書の秘密鍵ファイル(.key)。

        メモ EC 秘密鍵は 224 ビット以上にする必要があります。RSA 秘密鍵は 2048 ビット以上にする必要があります。

      • CA Bundle :各中間発行認証局の証明書を含む単一のオプションファイル。このファイルには、PEMでエンコードされた各CA証明書ファイルが、証明書チェーンの順序で連結されている必要があります。

    3. 証明書の詳細を選択して、アップロードされた各カスタムS3 API証明書のメタデータとPEMを表示します。オプションの CA バンドルをアップロードした場合は、各証明書が独自のタブに表示されます。

      • 証明書ファイルを保存するには、 * 証明書のダウンロード * を選択します。証明書バンドルを保存するには、 * CA バンドルのダウンロード * を選択します。

        証明書ファイルの名前とダウンロード先を指定します。拡張子を付けてファイルを保存します .pem

      例: storagegrid_certificate.pem

      • 証明書の内容をコピーして他の場所に貼り付けるには、 * 証明書の PEM のコピー * または * CA バンドル PEM のコピー * を選択してください。

    4. [ 保存( Save ) ] を選択します。

      カスタムサーバ証明書は、以降の新しいS3クライアント接続に使用されます。

    証明書の生成

    サーバ証明書ファイルを生成します。

    1. [* 証明書の生成 * ] を選択します。

    2. 証明書情報を指定します。

      フィールド 製品説明

      ドメイン名

      証明書に含める1つ以上の完全修飾ドメイン名。複数のドメイン名を表すには、ワイルドカードとして * を使用します。

      IP

      証明書に含める1つ以上のIPアドレス。

      件名(オプション)

      証明書所有者のX.509サブジェクト名または識別名(DN)。

      このフィールドに値を入力しない場合、生成される証明書では、最初のドメイン名またはIPアドレスがサブジェクト共通名(CN)として使用されます。

      有効な日数

      作成後に証明書の有効期限が切れる日数。

      キー使用の拡張機能を追加します

      選択されている場合(デフォルトおよび推奨)、キー使用と拡張キー使用拡張が生成された証明書に追加されます。

      これらの拡張機能は、証明書に含まれるキーの目的を定義します。

      :証明書にこれらの拡張機能が含まれている場合、古いクライアントで接続の問題が発生する場合を除き、このチェックボックスをオンのままにします。

    3. [*Generate (生成) ] を選択します

    4. [証明書の詳細]*を選択して、生成されたカスタムS3 API証明書のメタデータとPEMを表示します。

      • 証明書ファイルを保存するには、 [ 証明書のダウンロード ] を選択します。

        証明書ファイルの名前とダウンロード先を指定します。拡張子を付けてファイルを保存します .pem

      例: storagegrid_certificate.pem

      • 証明書の内容をコピーして他の場所に貼り付けるには、 * 証明書の PEM をコピー * を選択します。

    5. [ 保存( Save ) ] を選択します。

      カスタムサーバ証明書は、以降の新しいS3クライアント接続に使用されます。

  5. タブを選択して、デフォルトの StorageGRID サーバ証明書、アップロードされた CA 署名証明書、または生成されたカスタム証明書のメタデータを表示します。

    メモ 新しい証明書をアップロードまたは生成したあと、関連する証明書の有効期限アラートがクリアされるまでに最大 1 日かかります。

  6. Web ブラウザが更新されたことを確認するには、ページをリフレッシュしてください。

  7. カスタムS3 API証明書を追加すると、[S3 API certificate]ページに、使用中のカスタムS3 API証明書の詳細な証明書情報が表示されます。+ 必要に応じて証明書 PEM をダウンロードまたはコピーできます。

デフォルトのS3 API証明書をリストアする

ストレージノードへのS3クライアント接続にデフォルトのS3 API証明書を使用するように戻すことができます。ただし、ロードバランサエンドポイントにはデフォルトのS3 API証明書を使用できません。

手順

  1. [ * configuration * > * Security * > * Certificates * ] を選択します。

  2. [グローバル]タブで、* S3 API証明書*を選択します。

  3. [ * デフォルト証明書を使用する * ] を選択します。

    グローバルS3 API証明書のデフォルトバージョンをリストアすると、設定したカスタムサーバ証明書ファイルは削除され、システムからリカバリできなくなります。ストレージノードへの以降の新しいS3クライアント接続には、デフォルトのS3 API証明書が使用されます。

  4. [OK]*を選択して警告を確認し、デフォルトのS3 API証明書をリストアします。

    Root Access権限があり、カスタムのS3 API証明書がロードバランサエンドポイントの接続に使用されていた場合は、デフォルトのS3 API証明書を使用してアクセスできなくなるロードバランサエンドポイントのリストが表示されます。に移動して"ロードバランサエンドポイントを設定する"、影響を受けるエンドポイントを編集または削除します。

  5. Web ブラウザが更新されたことを確認するには、ページをリフレッシュしてください。

S3 API証明書をダウンロードまたはコピーする

他の場所で使用できるように、S3 API証明書の内容を保存またはコピーできます。

手順

  1. [ * configuration * > * Security * > * Certificates * ] を選択します。

  2. [グローバル]タブで、* S3 API証明書*を選択します。

  3. [Server ] タブまたは [CA Bundle] タブを選択し、証明書をダウンロードまたはコピーします。

    証明書ファイルまたは CA バンドルをダウンロードします

    証明書またはCAバンドルファイルをダウンロードし `.pem`ます。オプションの CA バンドルを使用している場合は、バンドル内の各証明書が独自のサブタブに表示されます。

    1. [ 証明書のダウンロード *] または [ CA バンドルのダウンロード *] を選択します。

      CA バンドルをダウンロードする場合、 CA バンドルのセカンダリタブにあるすべての証明書が単一のファイルとしてダウンロードされます。

    2. 証明書ファイルの名前とダウンロード先を指定します。拡張子を付けてファイルを保存します .pem

      例: storagegrid_certificate.pem

    証明書または CA バンドル PEM をコピーしてください

    証明書のテキストをコピーして別の場所に貼り付けてください。オプションの CA バンドルを使用している場合は、バンドル内の各証明書が独自のサブタブに表示されます。

    1. [Copy certificate PEM* (証明書のコピー) ] または [* Copy CA bundle PEM* ( CA バンドル PEM のコピー)

      CA バンドルをコピーする場合、 CA バンドルのセカンダリタブにあるすべての証明書が一緒にコピーされます。

    2. コピーした証明書をテキストエディタに貼り付けます。

    3. 拡張子を付けてテキストファイルを保存します .pem

      例: storagegrid_certificate.pem

関連情報