Skip to main content
Uma versão mais recente deste produto está disponível.
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Gerando um certificado de servidor autoassinado para a interface de gerenciamento

Colaboradores
PDFs

Você pode usar um script para gerar um certificado de servidor auto-assinado para clientes de API de gerenciamento que exigem validação estrita do nome de host.

O que você vai precisar

  • Você deve ter permissões de acesso específicas.

  • Tem de ter o Passwords.txt ficheiro.

Sobre esta tarefa

Em ambientes de produção, você deve usar um certificado assinado por uma autoridade de certificação (CA) conhecida. Os certificados assinados por uma CA podem ser girados sem interrupções. Eles também são mais seguros porque fornecem melhor proteção contra ataques do homem no meio.

Passos

  1. Obtenha o nome de domínio totalmente qualificado (FQDN) de cada nó Admin.

  2. Faça login no nó de administração principal:

    1. Introduza o seguinte comando: ssh admin@primary_Admin_Node_IP

    2. Introduza a palavra-passe listada no Passwords.txt ficheiro.

    3. Digite o seguinte comando para mudar para root: su -

    4. Introduza a palavra-passe listada no Passwords.txt ficheiro.

      Quando você estiver conetado como root, o prompt mudará de $ para #.

  3. Configure o StorageGRID com um novo certificado autoassinado.

    $ sudo make-certificate --domains wildcard-admin-node-fqdn --type management

    • Para --domains, use curingas para representar os nomes de domínio totalmente qualificados de todos os nós de administração. Por exemplo, *.ui.storagegrid.example.com usa o caractere curinga * para representar admin1.ui.storagegrid.example.com e admin2.ui.storagegrid.example.com.

    • Defina --type como management para configurar o certificado usado pelo Gerenciador de Grade e pelo Gerenciador de Tenant.

    • Por padrão, os certificados gerados são válidos por um ano (365 dias) e devem ser recriados antes de expirarem. Você pode usar o --days argumento para substituir o período de validade padrão.

      Observação O período de validade de um certificado começa quando make-certificate é executado. Você deve garantir que o cliente da API de gerenciamento esteja sincronizado com a mesma fonte de tempo que o StorageGRID; caso contrário, o cliente poderá rejeitar o certificado. 
      $ sudo make-certificate --domains *.ui.storagegrid.example.com --type management --days 365

      A saída resultante contém o certificado público necessário pelo cliente da API de gerenciamento.

  4. Selecione e copie o certificado.

    Inclua as tags DE INÍCIO e FIM em sua seleção.

  5. Faça logout do shell de comando. $ exit

  6. Confirme se o certificado foi configurado:

    1. Acesse o Gerenciador de Grade.

    2. Selecione Configuração > certificados de servidor > certificado de servidor de interface de gerenciamento.

  7. Configure seu cliente de API de gerenciamento para usar o certificado público que você copiou. Inclua as tags DE INÍCIO e FIM.