Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

配置客户端证书

贡献者

客户端证书允许授权的外部客户端访问 StorageGRID Prometheus 数据库,从而为外部工具监控 StorageGRID 提供了一种安全的方式。

如果您需要使用外部监控工具访问StorageGRID 、则必须使用网格管理器上传或生成客户端证书、并将证书信息复制到外部工具。

备注 为了确保操作不会因服务器证书失败而中断,当此服务器证书即将到期时,系统将触发 " 证书 " 页面上配置的 * 客户端证书到期 " 警报。根据需要,您可以通过选择 * 配置 * > * 安全性 * > * 证书 * 并在客户端选项卡上查看客户端证书的到期日期来查看当前证书的到期时间。
备注 如果您使用密钥管理服务器( KMS )保护专门配置的设备节点上的数据,请参见有关的特定信息 上传 KMS 客户端证书
您需要的内容
  • 您具有 root 访问权限。

  • 您将使用登录到网格管理器 支持的 Web 浏览器

  • 配置客户端证书:

    • 您拥有管理节点的 IP 地址或域名。

    • 如果已配置StorageGRID 管理接口证书、则可以使用CA、客户端证书和专用密钥来配置管理接口证书。

    • 要上传您自己的证书、您的本地计算机上提供了证书的专用密钥。

    • 私钥必须在创建时已保存或记录。如果您没有原始私钥、则必须创建一个新的私钥。

  • 编辑客户端证书:

    • 您拥有管理节点的 IP 地址或域名。

    • 要上传您自己的证书或新证书、您的本地计算机上提供了私钥、客户端证书和CA (如果使用)。

添加客户端证书

按照适用于您的场景的操作步骤 添加客户端证书:

已配置管理接口证书

如果已使用客户提供的CA、客户端证书和专用密钥配置管理接口证书、请使用此操作步骤 添加客户端证书。

步骤
  1. 在网格管理器中,选择 * 配置 * > * 安全性 * > * 证书 * ,然后选择 * 客户端 * 选项卡。

  2. 选择 * 添加 * 。

  3. 输入一个证书名称、该名称至少包含1个字符、但不超过32个字符。

  4. 要使用外部监控工具访问 Prometheus 指标,请选择 * 允许 Prometheus* 。

  5. 在*证书类型*部分中、上传管理接口证书`.pem`文件。

    1. 选择 * 上传证书 * ,然后选择 * 继续 * 。

    2. 上传管理接口证书文件(.pem)。

      • 选择 * 客户端证书详细信息 * 以显示证书元数据和证书 PEM 。

      • 选择 * 复制证书 PEM* 将证书内容复制到其他位置进行粘贴。

    3. 选择 * 创建 * 以在网格管理器中保存证书。

      新证书将显示在客户端选项卡上。

  6. 在外部监控工具上配置以下设置,例如 Grafana 。

    1. * 名称 * :输入连接的名称。

      StorageGRID 不需要此信息,但您必须提供一个名称来测试连接。

    2. * URL * :输入管理节点的域名或 IP 地址。指定 HTTPS 和端口 9091 。

    3. 启用 * TLS 客户端身份验证 * 和 * 使用 CA 证书 * 。

    4. 在TLS/SSL身份验证详细信息下、复制并粘贴:+

      • 管理接口CA证书到"** CA证书"

      • 到"Client Cert"的客户端证书

      • "**客户端密钥"的专用密钥

    5. * 服务器名称 * :输入管理节点的域名。

      servername 必须与管理接口证书中显示的域名匹配。

    6. 保存并测试从 StorageGRID 或本地文件复制的证书和私钥。

      现在,您可以使用外部监控工具从 StorageGRID 访问 Prometheus 指标。

    有关指标的信息,请参见 有关监控 StorageGRID 的说明

CA颁发的客户端证书

如果未配置管理接口证书、并且您计划为使用CA颁发的客户端证书和专用密钥的Prometheus添加客户端证书、请使用此操作步骤 添加管理员客户端证书。

步骤
  1. 执行步骤至 配置管理接口证书

  2. 在网格管理器中,选择 * 配置 * > * 安全性 * > * 证书 * ,然后选择 * 客户端 * 选项卡。

  3. 选择 * 添加 * 。

  4. 输入一个证书名称、该名称至少包含1个字符、但不超过32个字符。

  5. 要使用外部监控工具访问 Prometheus 指标,请选择 * 允许 Prometheus* 。

  6. 在*证书类型*部分中、上传客户端证书、私钥和CA捆绑包`.pem` files:

    1. 选择 * 上传证书 * ,然后选择 * 继续 * 。

    2. 上传客户端证书、私钥和CA捆绑包文件(.pem)。

      • 选择 * 客户端证书详细信息 * 以显示证书元数据和证书 PEM 。

      • 选择 * 复制证书 PEM* 将证书内容复制到其他位置进行粘贴。

    3. 选择 * 创建 * 以在网格管理器中保存证书。

      新证书将显示在客户端选项卡上。

  7. 在外部监控工具上配置以下设置,例如 Grafana 。

    1. * 名称 * :输入连接的名称。

      StorageGRID 不需要此信息,但您必须提供一个名称来测试连接。

    2. * URL * :输入管理节点的域名或 IP 地址。指定 HTTPS 和端口 9091 。

    3. 启用 * TLS 客户端身份验证 * 和 * 使用 CA 证书 * 。

    4. 在TLS/SSL身份验证详细信息下、复制并粘贴:+

      • 管理接口CA证书到"** CA证书"

      • 到"Client Cert"的客户端证书

      • "**客户端密钥"的专用密钥

    5. * 服务器名称 * :输入管理节点的域名。

      servername 必须与管理接口证书中显示的域名匹配。

    6. 保存并测试从 StorageGRID 或本地文件复制的证书和私钥。

      现在,您可以使用外部监控工具从 StorageGRID 访问 Prometheus 指标。

    有关指标的信息,请参见 有关监控 StorageGRID 的说明

从网格管理器生成的证书

如果未配置管理接口证书、并且您计划为使用网格管理器中的生成证书功能的Prometheus添加客户端证书、请使用此操作步骤 添加管理员客户端证书。

步骤
  1. 在网格管理器中,选择 * 配置 * > * 安全性 * > * 证书 * ,然后选择 * 客户端 * 选项卡。

  2. 选择 * 添加 * 。

  3. 输入一个证书名称、该名称至少包含1个字符、但不超过32个字符。

  4. 要使用外部监控工具访问 Prometheus 指标,请选择 * 允许 Prometheus* 。

  5. 在*证书类型*部分中、选择*生成证书*。

  6. 指定证书信息:

    • 域名:要包含在证书中的管理节点的一个或多个完全限定域名。使用 * 作为通配符表示多个域名。

    • * IP:要包含在证书中的一个或多个管理节点IP地址。

    • * 主题 * :证书所有者的 X.509 主题或可分辨名称( DN )。

  7. 选择 * 生成 * 。

  8. 【客户端证书详细信息】选择*客户端证书详细信息*可显示证书元数据和证书PEM。

    重要说明 关闭此对话框后,您将无法查看此证书专用密钥。将密钥复制或下载到安全位置。
    • 选择 * 复制证书 PEM* 将证书内容复制到其他位置进行粘贴。

    • 选择 * 下载证书 * 以保存证书文件。

      指定证书文件名和下载位置。使用扩展名 ` .pem` 保存文件。

    例如: storagegRid_certificate.pem

    • 选择 * 复制私钥 * 可复制证书私钥以粘贴到其他位置。

    • 选择 * 下载私钥 * 将私钥另存为文件。

      指定私钥文件名和下载位置。

  9. 选择 * 创建 * 以在网格管理器中保存证书。

    新证书将显示在客户端选项卡上。

  10. 在网格管理器中、选择*配置*>*安全性*>*证书*、然后选择*全局*选项卡。

  11. 选择*管理接口证书*。

  12. 选择 * 使用自定义证书 * 。

  13. 从上传certificate.pem和private_key.pem文件 客户端证书详细信息 步骤。无需上传CA捆绑包。

    1. 选择 * 上传证书 * ,然后选择 * 继续 * 。

    2. 上传每个证书文件(.pem)。

    3. 选择 * 创建 * 以在网格管理器中保存证书。

      新证书将显示在客户端选项卡上。

  14. 在外部监控工具上配置以下设置,例如 Grafana 。

    1. * 名称 * :输入连接的名称。

      StorageGRID 不需要此信息,但您必须提供一个名称来测试连接。

    2. * URL * :输入管理节点的域名或 IP 地址。指定 HTTPS 和端口 9091 。

    3. 启用 * TLS 客户端身份验证 * 和 * 使用 CA 证书 * 。

    4. 在TLS/SSL身份验证详细信息下、复制并粘贴:+

      • 管理接口客户端证书同时提供给"CA证书"和"客户端证书"

      • "**客户端密钥"的专用密钥

    5. * 服务器名称 * :输入管理节点的域名。

      servername 必须与管理接口证书中显示的域名匹配。

    6. 保存并测试从 StorageGRID 或本地文件复制的证书和私钥。

      现在,您可以使用外部监控工具从 StorageGRID 访问 Prometheus 指标。

    有关指标的信息,请参见 有关监控 StorageGRID 的说明

编辑客户端证书

您可以编辑管理员客户端证书以更改其名称,启用或禁用 Prometheus 访问,或者在当前证书已过期时上传新证书。

步骤
  1. 选择 * 配置 * > * 安全性 * > * 证书 * ,然后选择 * 客户端 * 选项卡。

    表中列出了证书到期日期和 Prometheus 访问权限。如果证书即将过期或已过期,则表中会显示一条消息并触发警报。

  2. 选择要编辑的证书。

  3. 选择 * 编辑 * ,然后选择 * 编辑名称和权限 *

  4. 输入一个证书名称、该名称至少包含1个字符、但不超过32个字符。

  5. 要使用外部监控工具访问 Prometheus 指标,请选择 * 允许 Prometheus* 。

  6. 选择 * 继续 * 以在网格管理器中保存证书。

    更新后的证书将显示在客户端选项卡上。

附加新的客户端证书

您可以在当前证书过期后上传新证书。

步骤
  1. 选择 * 配置 * > * 安全性 * > * 证书 * ,然后选择 * 客户端 * 选项卡。

    表中列出了证书到期日期和 Prometheus 访问权限。如果证书即将过期或已过期,则表中会显示一条消息并触发警报。

  2. 选择要编辑的证书。

  3. 选择 * 编辑 * ,然后选择编辑选项。

    上传证书

    复制证书文本以粘贴到其他位置。

    1. 选择 * 上传证书 * ,然后选择 * 继续 * 。

    2. 上传客户端证书名称(` .pem` )。

      选择 * 客户端证书详细信息 * 以显示证书元数据和证书 PEM 。

      • 选择 * 下载证书 * 以保存证书文件。

        指定证书文件名和下载位置。使用扩展名 ` .pem` 保存文件。

      例如: storagegRid_certificate.pem

      • 选择 * 复制证书 PEM* 将证书内容复制到其他位置进行粘贴。

    3. 选择 * 创建 * 以在网格管理器中保存证书。

      更新后的证书将显示在客户端选项卡上。

    生成证书

    生成要粘贴到其他位置的证书文本。

    1. 选择 * 生成证书 * 。

    2. 指定证书信息:

      • * 域名 * :要包含在证书中的一个或多个完全限定域名。使用 * 作为通配符表示多个域名。

      • * IP * :要包含在证书中的一个或多个 IP 地址。

      • * 主题 * :证书所有者的 X.509 主题或可分辨名称( DN )。

      • * 有效天数 * :创建证书后的天数到期。

    3. 选择 * 生成 * 。

    4. 选择 * 客户端证书详细信息 * 以显示证书元数据和证书 PEM 。

      重要说明 关闭此对话框后,您将无法查看此证书专用密钥。将密钥复制或下载到安全位置。
      • 选择 * 复制证书 PEM* 将证书内容复制到其他位置进行粘贴。

      • 选择 * 下载证书 * 以保存证书文件。

        指定证书文件名和下载位置。使用扩展名 ` .pem` 保存文件。

      例如: storagegRid_certificate.pem

      • 选择 * 复制私钥 * 可复制证书私钥以粘贴到其他位置。

      • 选择 * 下载私钥 * 将私钥另存为文件。

        指定私钥文件名和下载位置。

    5. 选择 * 创建 * 以在网格管理器中保存证书。

      新证书将显示在客户端选项卡上。

下载或复制客户端证书

您可以下载或复制客户端证书以供其他位置使用。

步骤
  1. 选择 * 配置 * > * 安全性 * > * 证书 * ,然后选择 * 客户端 * 选项卡。

  2. 选择要复制或下载的证书。

  3. 下载或复制证书。

    下载证书文件

    下载证书 ` .pem` 文件。

    1. 选择 * 下载证书 * 。

    2. 指定证书文件名和下载位置。使用扩展名 ` .pem` 保存文件。

      例如: storagegRid_certificate.pem

    复制证书

    复制证书文本以粘贴到其他位置。

    1. 选择 * 复制证书 PEM* 。

    2. 将复制的证书粘贴到文本编辑器中。

    3. 保存扩展名为 ` .pem` 的文本文件。

      例如: storagegRid_certificate.pem

删除客户端证书

如果您不再需要管理员客户端证书,可以将其删除。

步骤
  1. 选择 * 配置 * > * 安全性 * > * 证书 * ,然后选择 * 客户端 * 选项卡。

  2. 选择要删除的证书。

  3. 选择 * 删除 * ,然后确认。

备注 要删除最多 10 个证书,请在客户端选项卡上选择要删除的每个证书,然后选择 * 操作 * > * 删除 * 。

删除证书后,使用该证书的客户端必须指定一个新的客户端证书,才能访问 StorageGRID Prometheus 数据库。