配置自定义服务器证书以连接到存储 节点或 CLB 服务

您可以替换用于通过 S3 或 Swift 客户端连接到存储节点或网关节点上的原有 CLB 服务的服务器证书。替换的自定义服务器证书特定于您的组织。

关于本任务

默认情况下,每个存储节点都会获得一个由网格 CA 签名的 X.509 服务器证书。这些 CA 签名的证书可以替换为一个通用的自定义服务器证书和相应的专用密钥。

所有存储节点都使用一个自定义服务器证书,因此,如果客户端在连接到存储端点时需要验证主机名,则必须将此证书指定为通配符或多域证书。定义自定义证书,使其与网格中的所有存储节点匹配。

在服务器上完成配置后,用户可能还需要在用于访问系统的 S3 或 Swift API 客户端中安装根 CA 证书,具体取决于所使用的根证书颁发机构( CA )。

注: 为了确保操作不会因服务器证书失败而中断, 当此服务器证书即将过期时,系统会触发存储 API 服务端点证书到期( Storage API Service Endpoints Certificate Expiration , SCEP )警报和存储 API 端点服务器证书到期警报。根据需要,您可以通过选择来查看当前服务证书到期前的天数 Support > Grid Topology > primary Admin Node > CMN > Resources

请注意,只有当客户端 StorageGRID 使用网关节点上的原有 CLB 服务连接到 StorageGRID 或直接连接到存储节点时,才会使用这些自定义证书。在 StorageGRID 管理节点或网关节点上使用负载平衡器服务连接到 StorageGRID 的 S3 或 Swift 客户端使用为负载平衡器端点配置的证书。

过程

  1. 选择 Configuration > Server Certificates
  2. Object Storage API Service Endpoints Server Certificate在部分中,单击Install Custom Certificate
  3. 上传所需的服务器证书文件:
    • Server Certificate:自定义服务器证书文件(.crt)。
    • Server Certificate Private Key:自定义服务器证书专用密钥文件(.key)。
    • CA Bundle:一个文件,其中包含来自每个中间颁发证书颁发机构( CA )的证书。此文件应包含 PEM 编码的每个 CA 证书文件,并按证书链顺序串联。
  4. 单击 Save
    自定义服务器证书用于所有后续新的 API 客户端连接。
    注: 上传新证书后,请留出最多一天的时间来清除任何相关证书到期警报(或警报)。
  5. 刷新页面以确保 Web 浏览器已更新。