スクリプトを使用して、厳密なホスト名検証を実行し、厳密なホスト名の無効化をサポートしないS3クライアント(FabricPoolを使用するONTAPクライアントなど)用の自己署名サーバ証明書を生成できます。本番環境では、既知の認証局(CA)によって署名された証明書を使用する必要があります。CAによって署名された証明書は、システムを停止することなくローテーションできます。また、中間者攻撃に対する保護としてもすぐれているためセキュリティも強化されます。
開始する前に
- このタスクを実行するには、特定のアクセス権限が必要です。詳細については、管理ユーザ アカウントおよびグループを使用したシステム アクセスの制御に関する情報を参照してください。
- Passwords.txtファイルが必要です。
手順
- 各APIゲートウェイ ノードの完全修飾ドメイン名(FQDN)を確認します。
- プライマリ管理ノードにログインします。
- 次のコマンドを入力します:ssh admin@primary_Admin_Node_IP
- Passwords.txtファイルに記載されているパスワードを入力します。
- 新しい自己署名証明書を使用してStorageGRID Webscaleを設定します。 $ sudo make-certificate --domains
wildcard-gateway-node-fqdn --type storage
例
$ sudo make-certificate --domains *.s3.example.com --type storage --days 730
出力には、S3クライアントで必要なパブリック証明書が含まれています。
- 証明書を選択してコピーします。
BEGINタグとENDタグも含めて選択してください。
- コマンド シェルからログアウトします。 $ exit
- 証明書が設定されたことを確認します。
- グリッド管理インターフェイスにアクセスします。
- を選択します。
- コピーしたパブリック証明書を使用するようにS3クライアントを設定します。BEGINタグとENDタグを含めてください。