Configurar certificados de interface de gerenciamento
Você pode substituir o certificado de interface de gerenciamento padrão por um único certificado personalizado que permite que os usuários acessem o Grid Manager e o Tenant Manager sem encontrar avisos de segurança. Você também pode reverter para o certificado de interface de gerenciamento padrão ou gerar um novo.
Por padrão, cada nó de administração recebe um certificado assinado pela CA da grade. Esses certificados assinados pela CA podem ser substituídos por um único certificado de interface de gerenciamento personalizado comum e pela chave privada correspondente.
Como um único certificado de interface de gerenciamento personalizado é usado para todos os nós de administração, você deve especificar o certificado como um certificado curinga ou multidomínio se os clientes precisarem verificar o nome do host ao se conectar ao Grid Manager e ao Tenant Manager. Defina o certificado personalizado de forma que ele corresponda a todos os nós de administração na grade.
Você precisa concluir a configuração no servidor e, dependendo da autoridade de certificação raiz (CA) que estiver usando, os usuários também podem precisar instalar o certificado Grid CA no navegador da Web que usarão para acessar o Grid Manager e o Tenant Manager.
|
Para garantir que as operações não sejam interrompidas por um certificado de servidor com falha, o alerta Expiração do certificado do servidor para a Interface de Gerenciamento é acionado quando este certificado do servidor está prestes a expirar. Conforme necessário, você pode visualizar quando o certificado atual expira selecionando CONFIGURAÇÃO > Segurança > Certificados e verificando a data de expiração do certificado da interface de gerenciamento na guia Global. |
|
Se você estiver acessando o Grid Manager ou o Tenant Manager usando um nome de domínio em vez de um endereço IP, o navegador mostrará um erro de certificado sem uma opção para ignorar se ocorrer qualquer uma das seguintes situações:
|
Adicionar um certificado de interface de gerenciamento personalizado
Para adicionar um certificado de interface de gerenciamento personalizado, você pode fornecer seu próprio certificado ou gerar um usando o Grid Manager.
-
Selecione CONFIGURAÇÃO > Segurança > Certificados.
-
Na guia Global, selecione Certificado de interface de gerenciamento.
-
Selecione Usar certificado personalizado.
-
Carregue ou gere o certificado.
Carregar certificadoCarregue os arquivos de certificado do servidor necessários.
-
Selecione Carregar certificado.
-
Carregue os arquivos de certificado do servidor necessários:
-
Certificado do servidor: O arquivo de certificado do servidor personalizado (codificado em PEM).
-
Chave privada do certificado: O arquivo de chave privada do certificado do servidor personalizado(
.key
).As chaves privadas da EC devem ter 224 bits ou mais. As chaves privadas RSA devem ter 2048 bits ou mais. -
Pacote CA: Um único arquivo opcional contendo os certificados de cada autoridade certificadora intermediária emissora (CA). O arquivo deve conter cada um dos arquivos de certificado CA codificados em PEM, concatenados na ordem da cadeia de certificados.
-
-
Expanda Detalhes do certificado para ver os metadados de cada certificado que você carregou. Se você carregou um pacote de CA opcional, cada certificado será exibido em sua própria guia.
-
Selecione Baixar certificado para salvar o arquivo de certificado ou selecione Baixar pacote de CA para salvar o pacote de certificados.
Especifique o nome do arquivo do certificado e o local do download. Salve o arquivo com a extensão
.pem
.
Por exemplo:
storagegrid_certificate.pem
-
Selecione Copiar certificado PEM ou Copiar pacote CA PEM para copiar o conteúdo do certificado e colá-lo em outro lugar.
-
-
Selecione Salvar. + O certificado de interface de gerenciamento personalizado é usado para todas as novas conexões subsequentes ao Grid Manager, Tenant Manager, Grid Manager API ou Tenant Manager API.
Gerar certificadoGere os arquivos de certificado do servidor.
A melhor prática para um ambiente de produção é usar um certificado de interface de gerenciamento personalizado assinado por uma autoridade de certificação externa. -
Selecione Gerar certificado.
-
Especifique as informações do certificado:
Campo Descrição Nome de domínio
Um ou mais nomes de domínio totalmente qualificados a serem incluídos no certificado. Use um * como curinga para representar vários nomes de domínio.
IP
Um ou mais endereços IP a serem incluídos no certificado.
Assunto (opcional)
Assunto X.509 ou nome distinto (DN) do proprietário do certificado.
Se nenhum valor for inserido neste campo, o certificado gerado usará o primeiro nome de domínio ou endereço IP como o nome comum do assunto (CN).
Dias válidos
Número de dias após a criação em que o certificado expira.
Adicionar extensões de uso de chave
Se selecionado (padrão e recomendado), as extensões de uso de chave e uso de chave estendido são adicionadas ao certificado gerado.
Essas extensões definem a finalidade da chave contida no certificado.
Observação: deixe esta caixa de seleção marcada, a menos que você tenha problemas de conexão com clientes mais antigos quando os certificados incluem essas extensões.
-
Selecione Gerar.
-
Selecione Detalhes do certificado para ver os metadados do certificado gerado.
-
Selecione Baixar certificado para salvar o arquivo de certificado.
Especifique o nome do arquivo do certificado e o local do download. Salve o arquivo com a extensão
.pem
.
Por exemplo:
storagegrid_certificate.pem
-
Selecione Copiar certificado PEM para copiar o conteúdo do certificado e colá-lo em outro lugar.
-
-
Selecione Salvar. + O certificado de interface de gerenciamento personalizado é usado para todas as novas conexões subsequentes ao Grid Manager, Tenant Manager, Grid Manager API ou Tenant Manager API.
-
-
Atualize a página para garantir que o navegador da web esteja atualizado.
Após carregar ou gerar um novo certificado, aguarde até um dia para que quaisquer alertas de expiração de certificado relacionados sejam apagados. -
Depois de adicionar um certificado de interface de gerenciamento personalizado, a página Certificado da interface de gerenciamento exibe informações detalhadas do certificado que está em uso. + Você pode baixar ou copiar o certificado PEM conforme necessário.
Restaurar o certificado da interface de gerenciamento padrão
Você pode voltar a usar o certificado de interface de gerenciamento padrão para conexões do Grid Manager e do Tenant Manager.
-
Selecione CONFIGURAÇÃO > Segurança > Certificados.
-
Na guia Global, selecione Certificado de interface de gerenciamento.
-
Selecione Usar certificado padrão.
Quando você restaura o certificado da interface de gerenciamento padrão, os arquivos de certificado do servidor personalizado que você configurou são excluídos e não podem ser recuperados do sistema. O certificado de interface de gerenciamento padrão é usado para todas as novas conexões de clientes subsequentes.
-
Atualize a página para garantir que o navegador da web esteja atualizado.
Use um script para gerar um novo certificado de interface de gerenciamento autoassinado
Se for necessária uma validação rigorosa do nome do host, você pode usar um script para gerar o certificado da interface de gerenciamento.
-
Você tem"permissões de acesso específicas" .
-
Você tem o
Passwords.txt
arquivo.
A melhor prática para um ambiente de produção é usar um certificado assinado por uma autoridade de certificação externa.
-
Obtenha o nome de domínio totalmente qualificado (FQDN) de cada nó de administração.
-
Efetue login no nó de administração principal:
-
Digite o seguinte comando:
ssh admin@primary_Admin_Node_IP
-
Digite a senha listada no
Passwords.txt
arquivo. -
Digite o seguinte comando para alternar para root:
su -
-
Digite a senha listada no
Passwords.txt
arquivo.Quando você está logado como root, o prompt muda de
$
para#
.
-
-
Configure o StorageGRID com um novo certificado autoassinado.
$ sudo make-certificate --domains wildcard-admin-node-fqdn --type management
-
Para
--domains
, use curingas para representar os nomes de domínio totalmente qualificados de todos os nós de administração. Por exemplo,*.ui.storagegrid.example.com
usa o curinga * para representaradmin1.ui.storagegrid.example.com
eadmin2.ui.storagegrid.example.com
. -
Definir
--type
paramanagement
para configurar o certificado da interface de gerenciamento, que é usado pelo Grid Manager e pelo Tenant Manager. -
Por padrão, os certificados gerados são válidos por um ano (365 dias) e devem ser recriados antes de expirarem. Você pode usar o
--days
argumento para substituir o período de validade padrão.O período de validade de um certificado começa quando make-certificate
é executado. Você deve garantir que o cliente de gerenciamento esteja sincronizado com a mesma fonte de tempo que o StorageGRID; caso contrário, o cliente poderá rejeitar o certificado.$ sudo make-certificate --domains *.ui.storagegrid.example.com --type management --days 720
A saída resultante contém o certificado público necessário para seu cliente de API de gerenciamento.
-
-
Selecione e copie o certificado.
Inclua as tags BEGIN e END na sua seleção.
-
Saia do shell de comando.
$ exit
-
Confirme se o certificado foi configurado:
-
Acesse o Grid Manager.
-
Selecione CONFIGURAÇÃO > Segurança > Certificados
-
Na guia Global, selecione Certificado de interface de gerenciamento.
-
-
Configure seu cliente de gerenciamento para usar o certificado público que você copiou. Inclua as tags BEGIN e END.
Baixe ou copie o certificado da interface de gerenciamento
Você pode salvar ou copiar o conteúdo do certificado da interface de gerenciamento para uso em outro lugar.
-
Selecione CONFIGURAÇÃO > Segurança > Certificados.
-
Na guia Global, selecione Certificado de interface de gerenciamento.
-
Selecione a aba Servidor ou Pacote de CA e então baixe ou copie o certificado.
Baixar arquivo de certificado ou pacote de CABaixe o certificado ou pacote de CA
.pem
arquivo. Se você estiver usando um pacote de CA opcional, cada certificado no pacote será exibido em sua própria subguia.-
Selecione Baixar certificado ou Baixar pacote de CA.
Se você estiver baixando um pacote de CA, todos os certificados nas guias secundárias do pacote de CA serão baixados como um único arquivo.
-
Especifique o nome do arquivo do certificado e o local do download. Salve o arquivo com a extensão
.pem
.Por exemplo:
storagegrid_certificate.pem
Copiar certificado ou pacote CA PEMCopie o texto do certificado para colar em outro lugar. Se você estiver usando um pacote de CA opcional, cada certificado no pacote será exibido em sua própria subguia.
-
Selecione Copiar certificado PEM ou Copiar pacote CA PEM.
Se você estiver copiando um pacote de CA, todos os certificados nas guias secundárias do pacote de CA serão copiados juntos.
-
Cole o certificado copiado em um editor de texto.
-
Salve o arquivo de texto com a extensão
.pem
.Por exemplo:
storagegrid_certificate.pem
-