FabricPoolを使用するONTAPクライアント用のStorageGRID Webscale証明書の設定

スクリプトを使用して、厳密なホスト名検証を実行し、厳密なホスト名の無効化をサポートしないS3クライアント(FabricPoolを使用するONTAPクライアントなど)用の自己署名サーバ証明書を生成できます。本番環境では、既知の認証局(CA)によって署名された証明書を使用する必要があります。CAによって署名された証明書は、システムを停止することなくローテーションできます。また、中間者攻撃に対する保護としてもすぐれているためセキュリティも強化されます。

開始する前に

手順

  1. 各APIゲートウェイ ノードの完全修飾ドメイン名(FQDN)を確認します。
  2. プライマリ管理ノードにログインします。
    1. 次のコマンドを入力します:ssh admin@primary_Admin_Node_IP
    2. Passwords.txtファイルに記載されているパスワードを入力します。
  3. 新しい自己署名証明書を使用してStorageGRID Webscaleを設定します。 $ sudo make-certificate --domains wildcard-gateway-node-fqdn --type storage
    • --domainsには、ワイルドカードを使用してすべてのAPIゲートウェイ ノードの完全修飾ドメイン名を指定します。たとえば*.sgws.foo.comは、ワイルドカード*を使用してgn1.sgws.foo.comgn2.sgws.foo.comを表します。
    • --typestorageに設定して、S3およびSwiftストレージ クライアントで使用する証明書を指定します。
    • デフォルトでは、生成された証明書の有効期間は1年間(365日)です。この期間を過ぎる前に証明書を再作成する必要があります。--days引数を使用すると、デフォルトの有効期間を上書きできます。
      注:証明書の有効期間は、make-certificateを実行した時点から始まります。S3クライアントがStorageGRID Webscaleと同じ時間ソースと同期されるようにしてください。同期されていないと、クライアントが証明書を拒否する可能性があります。
    $ sudo make-certificate --domains *.s3.example.com --type storage --days 730
    出力には、S3クライアントで必要なパブリック証明書が含まれています。
  4. 証明書を選択してコピーします。
    BEGINタグとENDタグも含めて選択してください。
  5. コマンド シェルからログアウトします。 $ exit
  6. 証明書が設定されたことを確認します。
    1. Grid Managerにアクセスします。
    2. [Configuration] > [Server Certificates] > [Object Storage API Service Endpoints Server Certificate]を選択します。
  7. コピーしたパブリック証明書を使用するようにS3クライアントを設定します。BEGINタグとENDタグを含めてください。