ストレージ ノードまたはCLBサービスへの接続用のカスタム サーバ証明書の設定

ストレージ ノードへの、またはゲートウェイ ノード上の従来のCLBサービスへのS3またはSwiftクライアント接続に使用するサーバ証明書は、置き換えることができます。置き換えるカスタム サーバ証明書は組織に固有のものです。

タスク概要

デフォルトでは、すべてのストレージ ノードに、グリッドCAによって署名されたX.509サーバ証明書が発行されます。これらの証明書を、単一の共通するカスタム サーバ証明書および対応する秘密キーに置き換えることができます。

1つのカスタム サーバ証明書がすべてのストレージ ノードに対して使用されるため、ストレージ エンドポイントへの接続時にクライアントがホスト名を確認する必要がある場合は、ワイルドカード証明書またはマルチドメイン証明書として指定する必要があります。グリッド内のすべてのストレージ ノードに一致するカスタム証明書を定義してください。

サーバでの設定が完了したら、使用しているルート認証局(CA)によっては、ユーザがシステムへのアクセスに使用するS3またはSwift APIクライアントにルートCA証明書をインストールする必要があります。

注:サーバ証明書の問題によって処理が中断されないようにするために、このサーバ証明書の有効期限が近づくと、Storage API Service Endpoints Certificate Expiry(SCEP)アラームとExpiration of server certificate for Storage API Endpointsアラートの両方がトリガーされます。必要に応じて、[Support] > [Grid Topology] > [primary Admin Node] > [CMN] > [Resources]を選択して、現在のサーバ証明書の有効期限が切れるまでの日数を確認できます。

これらのカスタム証明書は、クライアントがゲートウェイ ノード上の従来のCLBサービスを使用してStorageGRIDに接続する場合、またはストレージ ノードに直接接続する場合にのみ使用されます。管理ノードまたはゲートウェイ ノード上のロード バランサ サービスを使用してStorageGRIDに接続するS3またはSwiftクライアントは、ロード バランサ エンドポイント用に設定された証明書を使用します。

手順

  1. [Configuration] > [Server Certificates]を選択します。
  2. [Object Storage API Service Endpoints Server Certificate]セクションで、[Install Custom Certificate]をクリックします。
  3. 必要なサーバ証明書ファイルをアップロードします。
    • Server Certificate:カスタム サーバ証明書ファイル(.crt)。
    • Server Certificate Private Key:カスタム サーバ証明書の秘密鍵ファイル(.key)。
    • CA Bundle:各中間発行認証局(CA)の証明書を含む単一のファイル。このファイルには、PEMでエンコードされた各CA証明書ファイルが、証明書チェーンの順序で連結して含まれている必要があります。
  4. [Save]をクリックします。
    以降すべての新しいAPIクライアント接続には、カスタム サーバ証明書が使用されます。
    注:新しい証明書をアップロードしたあと、関連する証明書の有効期限アラーム(またはアラート)がクリアされるまでに最大1日かかります。
  5. ページを更新し、Webブラウザが更新されたことを確認します。