클라이언트 인증서를 구성합니다
클라이언트 인증서를 사용하면 권한이 있는 외부 클라이언트가 StorageGRID Prometheus 데이터베이스에 액세스할 수 있으므로 외부 도구에서 StorageGRID를 모니터링하는 안전한 방법이 제공됩니다.
외부 모니터링 도구를 사용하여 StorageGRID에 액세스해야 하는 경우 그리드 관리자를 사용하여 클라이언트 인증서를 업로드하거나 생성하고 인증서 정보를 외부 도구에 복사해야 합니다.
을 참조하십시오 "보안 인증서를 관리합니다" 및 "사용자 지정 서버 인증서를 구성합니다".
실패한 서버 인증서로 인해 작업이 중단되지 않도록 하려면 이 서버 인증서가 곧 만료될 때 인증서 페이지 * 알림에 구성된 * 클라이언트 인증서 만료 알림이 트리거됩니다. 필요에 따라 * 구성 * > * 보안 * > * 인증서 * 를 선택하고 클라이언트 탭에서 클라이언트 인증서의 만료 날짜를 보면 현재 인증서가 만료되는 시점을 확인할 수 있습니다. |
KMS(키 관리 서버)를 사용하여 특수하게 구성된 어플라이언스 노드의 데이터를 보호하는 경우 에 대한 특정 정보를 참조하십시오 "KMS 클라이언트 인증서 업로드". |
-
루트 액세스 권한이 있습니다.
-
를 사용하여 그리드 관리자에 로그인했습니다 "지원되는 웹 브라우저".
-
클라이언트 인증서를 구성하려면 다음을 따르십시오.
-
관리 노드의 IP 주소 또는 도메인 이름이 있습니다.
-
StorageGRID 관리 인터페이스 인증서를 구성한 경우 관리 인터페이스 인증서를 구성하는 데 사용되는 CA, 클라이언트 인증서 및 개인 키가 있습니다.
-
인증서를 업로드하려면 로컬 컴퓨터에서 인증서의 개인 키를 사용할 수 있습니다.
-
개인 키는 생성 시 저장 또는 기록되어야 합니다. 원래 개인 키가 없으면 새 개인 키를 만들어야 합니다.
-
-
클라이언트 인증서를 편집하려면 다음을 따르십시오.
-
관리 노드의 IP 주소 또는 도메인 이름이 있습니다.
-
자체 인증서 또는 새 인증서를 업로드하려면 로컬 컴퓨터에서 개인 키, 클라이언트 인증서 및 CA(사용되는 경우)를 사용할 수 있습니다.
-
클라이언트 인증서를 추가합니다
클라이언트 인증서를 추가하려면 다음 절차 중 하나를 사용합니다.
관리 인터페이스 인증서가 이미 구성되어 있습니다
고객이 제공한 CA, 클라이언트 인증서 및 개인 키를 사용하여 관리 인터페이스 인증서가 이미 구성된 경우 이 절차를 사용하여 클라이언트 인증서를 추가합니다.
-
그리드 관리자에서 * 구성 * > * 보안 * > * 인증서 * 를 선택한 다음 * 클라이언트 * 탭을 선택합니다.
-
추가 * 를 선택합니다.
-
인증서 이름을 입력합니다.
-
외부 모니터링 도구를 사용하여 Prometheus 메트릭에 액세스하려면 * Prometheus * 를 선택합니다.
-
Continue * 를 선택합니다.
-
인증서 첨부 * 단계의 경우 관리 인터페이스 인증서를 업로드합니다.
-
인증서 업로드 * 를 선택합니다.
-
Browse * 를 선택하고 관리 인터페이스 인증서 파일을 선택합니다 (
.pem
)를 클릭합니다.-
인증서 메타데이터와 인증서 PEM을 표시하려면 * 클라이언트 인증서 세부 정보 * 를 선택합니다.
-
다른 곳에 붙여넣을 인증서 내용을 복사하려면 * 인증서 PEM * 복사 를 선택합니다.
-
-
Grid Manager에 인증서를 저장하려면 * Create * 를 선택합니다.
새 인증서가 클라이언트 탭에 나타납니다.
-
-
외부 모니터링 툴을 구성합니다Grafana와 같은 기능을 사용할 수 있습니다.
CA 발급 클라이언트 인증서
관리 인터페이스 인증서가 구성되어 있지 않고 CA에서 발급한 클라이언트 인증서 및 개인 키를 사용하는 Prometheus에 대한 클라이언트 인증서를 추가하려는 경우 이 절차를 사용하여 관리자 클라이언트 인증서를 추가하십시오.
-
의 단계를 수행합니다 "관리 인터페이스 인증서를 구성합니다".
-
그리드 관리자에서 * 구성 * > * 보안 * > * 인증서 * 를 선택한 다음 * 클라이언트 * 탭을 선택합니다.
-
추가 * 를 선택합니다.
-
인증서 이름을 입력합니다.
-
외부 모니터링 도구를 사용하여 Prometheus 메트릭에 액세스하려면 * Prometheus * 를 선택합니다.
-
Continue * 를 선택합니다.
-
인증서 첨부 * 단계의 경우 클라이언트 인증서, 개인 키 및 CA 번들 파일을 업로드합니다.
-
인증서 업로드 * 를 선택합니다.
-
Browse * 를 선택하고 클라이언트 인증서, 개인 키 및 CA 번들 파일을 선택합니다 (
.pem
)를 클릭합니다.-
인증서 메타데이터와 인증서 PEM을 표시하려면 * 클라이언트 인증서 세부 정보 * 를 선택합니다.
-
다른 곳에 붙여넣을 인증서 내용을 복사하려면 * 인증서 PEM * 복사 를 선택합니다.
-
-
Grid Manager에 인증서를 저장하려면 * Create * 를 선택합니다.
새 인증서가 클라이언트 탭에 나타납니다.
-
-
외부 모니터링 툴을 구성합니다Grafana와 같은 기능을 사용할 수 있습니다.
Grid Manager에서 인증서를 생성했습니다
관리 인터페이스 인증서가 구성되어 있지 않고 Grid Manager에서 인증서 생성 기능을 사용하는 Prometheus에 대한 클라이언트 인증서를 추가하려는 경우 이 절차를 사용하여 관리자 클라이언트 인증서를 추가하십시오.
-
그리드 관리자에서 * 구성 * > * 보안 * > * 인증서 * 를 선택한 다음 * 클라이언트 * 탭을 선택합니다.
-
추가 * 를 선택합니다.
-
인증서 이름을 입력합니다.
-
외부 모니터링 도구를 사용하여 Prometheus 메트릭에 액세스하려면 * Prometheus * 를 선택합니다.
-
Continue * 를 선택합니다.
-
인증서 첨부 * 단계에서 * 인증서 생성 * 을 선택합니다.
-
인증서 정보를 지정합니다.
-
* subject * (선택 사항): X.509 주체 또는 인증서 소유자의 고유 이름(DN).
-
유효한 * 일 수 *: 생성된 인증서가 생성된 시점부터 생성된 유효 일 수입니다.
-
* 키 사용 확장 추가 *: 선택한 경우(기본값 및 권장) 키 사용 및 확장 키 사용 확장이 생성된 인증서에 추가됩니다.
이러한 확장은 인증서에 포함된 키의 용도를 정의합니다.
인증서에 이러한 확장자가 포함되어 있을 때 이전 클라이언트에 연결 문제가 발생하지 않는 한 이 확인란을 선택된 상태로 둡니다. -
-
Generate * 를 선택합니다.
-
[[CLIENT_CERT_DETAILS] 인증서 메타데이터와 인증서 PEM을 표시하려면 * 클라이언트 인증서 세부 정보 * 를 선택합니다.
대화 상자를 닫은 후에는 인증서 개인 키를 볼 수 없습니다. 키를 안전한 위치에 복사하거나 다운로드합니다. -
다른 곳에 붙여넣을 인증서 내용을 복사하려면 * 인증서 PEM * 복사 를 선택합니다.
-
인증서 파일을 저장하려면 * 인증서 다운로드 * 를 선택합니다.
인증서 파일 이름 및 다운로드 위치를 지정합니다. 파일을 확장자로 저장합니다
.pem
.
예를 들면 다음과 같습니다.
storagegrid_certificate.pem
-
다른 곳에 붙여넣을 인증서 개인 키를 복사하려면 * 개인 키 복사 * 를 선택합니다.
-
개인 키를 파일로 저장하려면 * 개인 키 다운로드 * 를 선택합니다.
개인 키 파일 이름과 다운로드 위치를 지정합니다.
-
-
Grid Manager에 인증서를 저장하려면 * Create * 를 선택합니다.
새 인증서가 클라이언트 탭에 나타납니다.
-
그리드 관리자에서 * 구성 * > * 보안 * > * 인증서 * 를 선택한 다음 * 글로벌 * 탭을 선택합니다.
-
Management Interface certificate * 를 선택합니다.
-
사용자 정의 인증서 사용 * 을 선택합니다.
-
에서 certificate.pem 및 private_key.pem 파일을 업로드합니다 클라이언트 인증서 세부 정보입니다 단계. CA 번들을 업로드할 필요가 없습니다.
-
인증서 업로드 * 를 선택한 다음 * 계속 * 을 선택합니다.
-
각 인증서 파일을 업로드합니다 (
.pem
)를 클릭합니다. -
Grid Manager에 인증서를 저장하려면 * Create * 를 선택합니다.
새 인증서가 클라이언트 탭에 나타납니다.
-
-
외부 모니터링 툴을 구성합니다Grafana와 같은 기능을 사용할 수 있습니다.
외부 모니터링 툴을 설정한다
-
Grafana와 같은 외부 모니터링 도구에서 다음 설정을 구성합니다.
-
* 이름 *: 연결 이름을 입력합니다.
StorageGRID에는 이 정보가 필요하지 않지만 연결을 테스트하려면 이름을 입력해야 합니다.
-
* URL *: 관리자 노드의 도메인 이름 또는 IP 주소를 입력합니다. HTTPS 및 포트 9091을 지정합니다.
예를 들면 다음과 같습니다.
https://admin-node.example.com:9091
-
TLS 클라이언트 인증 * 및 * CA 인증 * 을 활성화합니다.
-
TLS/SSL 인증 세부 정보 에서 다음을 복사하여 붙여 넣습니다.
-
CA 인증서** 에 대한 관리 인터페이스 CA 인증서입니다
-
클라이언트 인증서**
-
클라이언트 키에 대한 개인 키입니다
-
-
* ServerName *: 관리 노드의 도메인 이름을 입력합니다.
servername은 관리 인터페이스 인증서에 표시된 도메인 이름과 일치해야 합니다.
-
-
StorageGRID 또는 로컬 파일에서 복사한 인증서 및 개인 키를 저장하고 테스트합니다.
이제 외부 모니터링 툴을 사용하여 StorageGRID에서 Prometheus 메트릭에 액세스할 수 있습니다.
메트릭에 대한 자세한 내용은 를 참조하십시오 "StorageGRID 모니터링 지침".
클라이언트 인증서를 편집합니다
관리자 클라이언트 인증서를 편집하여 이름을 변경하거나, Prometheus 액세스를 활성화 또는 비활성화하거나, 현재 인증서가 만료되면 새 인증서를 업로드할 수 있습니다.
-
구성 * > * 보안 * > * 인증서 * 를 선택한 다음 * 클라이언트 * 탭을 선택합니다.
인증서 만료 날짜 및 Prometheus 액세스 권한이 표에 나열되어 있습니다. 인증서가 곧 만료되거나 이미 만료된 경우 테이블에 메시지가 나타나고 경고가 트리거됩니다.
-
편집할 인증서를 선택합니다.
-
편집 * 을 선택한 다음 * 이름 및 권한 편집 * 을 선택합니다
-
인증서 이름을 입력합니다.
-
외부 모니터링 도구를 사용하여 Prometheus 메트릭에 액세스하려면 * Prometheus * 를 선택합니다.
-
Grid Manager에 인증서를 저장하려면 * Continue * 를 선택합니다.
업데이트된 인증서가 클라이언트 탭에 표시됩니다.
새 클라이언트 인증서를 연결합니다
현재 인증서가 만료되면 새 인증서를 업로드할 수 있습니다.
-
구성 * > * 보안 * > * 인증서 * 를 선택한 다음 * 클라이언트 * 탭을 선택합니다.
인증서 만료 날짜 및 Prometheus 액세스 권한이 표에 나열되어 있습니다. 인증서가 곧 만료되거나 이미 만료된 경우 테이블에 메시지가 나타나고 경고가 트리거됩니다.
-
편집할 인증서를 선택합니다.
-
편집 * 을 선택한 다음 편집 옵션을 선택합니다.
인증서를 업로드합니다인증서 텍스트를 복사하여 다른 곳에 붙여 넣습니다.
-
인증서 업로드 * 를 선택한 다음 * 계속 * 을 선택합니다.
-
클라이언트 인증서 이름을 업로드합니다 (
.pem
)를 클릭합니다.인증서 메타데이터와 인증서 PEM을 표시하려면 * 클라이언트 인증서 세부 정보 * 를 선택합니다.
-
인증서 파일을 저장하려면 * 인증서 다운로드 * 를 선택합니다.
인증서 파일 이름 및 다운로드 위치를 지정합니다. 파일을 확장자로 저장합니다
.pem
.
예를 들면 다음과 같습니다.
storagegrid_certificate.pem
-
다른 곳에 붙여넣을 인증서 내용을 복사하려면 * 인증서 PEM * 복사 를 선택합니다.
-
-
Grid Manager에 인증서를 저장하려면 * Create * 를 선택합니다.
업데이트된 인증서가 클라이언트 탭에 표시됩니다.
인증서를 생성합니다다른 곳에 붙여 넣을 인증서 텍스트를 생성합니다.
-
인증서 생성 * 을 선택합니다.
-
인증서 정보를 지정합니다.
-
* subject * (선택 사항): X.509 주체 또는 인증서 소유자의 고유 이름(DN).
-
유효한 * 일 수 *: 생성된 인증서가 생성된 시점부터 생성된 유효 일 수입니다.
-
* 키 사용 확장 추가 *: 선택한 경우(기본값 및 권장) 키 사용 및 확장 키 사용 확장이 생성된 인증서에 추가됩니다.
이러한 확장은 인증서에 포함된 키의 용도를 정의합니다.
인증서에 이러한 확장자가 포함되어 있을 때 이전 클라이언트에 연결 문제가 발생하지 않는 한 이 확인란을 선택된 상태로 둡니다. -
-
Generate * 를 선택합니다.
-
인증서 메타데이터와 인증서 PEM을 표시하려면 * 클라이언트 인증서 세부 정보 * 를 선택합니다.
대화 상자를 닫은 후에는 인증서 개인 키를 볼 수 없습니다. 키를 안전한 위치에 복사하거나 다운로드합니다. -
다른 곳에 붙여넣을 인증서 내용을 복사하려면 * 인증서 PEM * 복사 를 선택합니다.
-
인증서 파일을 저장하려면 * 인증서 다운로드 * 를 선택합니다.
인증서 파일 이름 및 다운로드 위치를 지정합니다. 파일을 확장자로 저장합니다
.pem
.
예를 들면 다음과 같습니다.
storagegrid_certificate.pem
-
다른 곳에 붙여넣을 인증서 개인 키를 복사하려면 * 개인 키 복사 * 를 선택합니다.
-
개인 키를 파일로 저장하려면 * 개인 키 다운로드 * 를 선택합니다.
개인 키 파일 이름과 다운로드 위치를 지정합니다.
-
-
Grid Manager에 인증서를 저장하려면 * Create * 를 선택합니다.
새 인증서가 클라이언트 탭에 나타납니다.
-
클라이언트 인증서를 다운로드하거나 복사합니다
다른 곳에서 사용할 클라이언트 인증서를 다운로드하거나 복사할 수 있습니다.
-
구성 * > * 보안 * > * 인증서 * 를 선택한 다음 * 클라이언트 * 탭을 선택합니다.
-
복사 또는 다운로드할 인증서를 선택합니다.
-
인증서를 다운로드하거나 복사합니다.
인증서 파일을 다운로드합니다인증서를 다운로드합니다
.pem
파일.-
인증서 다운로드 * 를 선택합니다.
-
인증서 파일 이름 및 다운로드 위치를 지정합니다. 파일을 확장자로 저장합니다
.pem
.예를 들면 다음과 같습니다.
storagegrid_certificate.pem
인증서를 복사합니다인증서 텍스트를 복사하여 다른 곳에 붙여 넣습니다.
-
인증서 PEM 복사 * 를 선택합니다.
-
복사한 인증서를 텍스트 편집기에 붙여 넣습니다.
-
텍스트 파일을 확장자로 저장합니다
.pem
.예를 들면 다음과 같습니다.
storagegrid_certificate.pem
-
클라이언트 인증서를 제거합니다
더 이상 관리자 클라이언트 인증서가 필요하지 않으면 제거할 수 있습니다.
-
구성 * > * 보안 * > * 인증서 * 를 선택한 다음 * 클라이언트 * 탭을 선택합니다.
-
제거할 인증서를 선택합니다.
-
삭제 * 를 선택한 다음 확인합니다.
최대 10개의 인증서를 제거하려면 클라이언트 탭에서 제거할 각 인증서를 선택한 다음 * 작업 * > * 삭제 * 를 선택합니다. |
인증서가 제거된 후에는 인증서를 사용한 클라이언트가 StorageGRID Prometheus 데이터베이스에 액세스하기 위해 새 클라이언트 인증서를 지정해야 합니다.