配置管理接口证书
建议更改
PDF
您可以将默认管理接口证书替换为一个自定义证书,使用户可以访问 Grid Manager 和租户管理器,而不会遇到安全警告。您还可以还原到默认管理接口证书或生成新的管理接口证书。
默认情况下,每个管理节点都会获得一个由网格 CA 签名的证书。这些 CA 签名的证书可以替换为一个通用的自定义管理接口证书和相应的专用密钥。
由于所有管理节点都使用一个自定义管理接口证书,因此,如果客户端在连接到网格管理器和租户管理器时需要验证主机名,则必须将此证书指定为通配符或多域证书。定义自定义证书,使其与网格中的所有管理节点匹配。
您需要在服务器上完成配置,根据所使用的根证书颁发机构( CA ),用户可能还需要在用于访问网格管理器和租户管理器的 Web 浏览器中安装网格 CA 证书。
|
为了确保操作不会因服务器证书失败而中断,当此服务器证书即将到期时,将触发 * 管理接口的服务器证书到期 * 警报。根据需要,您可以通过选择 * 配置 * > * 安全性 * > * 证书 * 并在全局选项卡上查看管理接口证书的到期日期来查看当前证书的到期时间。 |
|
|
如果您要使用域名而非 IP 地址访问网格管理器或租户管理器,则在发生以下任一情况时,浏览器将显示证书错误,并且无法绕过此错误:
|
添加自定义管理接口证书
要添加自定义管理接口证书,您可以提供自己的证书或使用网格管理器生成一个证书。
-
选择 * 配置 * > * 安全性 * > * 证书 * 。
-
在 * 全局 * 选项卡上,选择 * 管理接口证书 * 。
-
选择 * 使用自定义证书 * 。
-
上传或生成证书。
上传证书上传所需的服务器证书文件。
-
选择 * 上传证书 * 。
-
上传所需的服务器证书文件:
-
* 服务器证书 * :自定义服务器证书文件( PEM 编码)。
-
* 证书专用密钥 * :自定义服务器证书专用密钥文件(` 。 key` )。
EC 专用密钥必须大于或等于 224 位。RSA 私钥必须大于或等于 2048 位。 -
* CA bundle* :一个可选文件,其中包含来自每个中间颁发证书颁发机构( CA )的证书。此文件应包含 PEM 编码的每个 CA 证书文件,并按证书链顺序串联。
-
-
展开 * 证书详细信息 * 以查看您上传的每个证书的元数据。如果您上传了可选的 CA 包,则每个证书都会显示在其自己的选项卡上。
-
选择 * 下载证书 * 以保存证书文件,或者选择 * 下载 CA 捆绑包 * 以保存证书捆绑包。
指定证书文件名和下载位置。使用扩展名 ` .pem` 保存文件。
例如:
storagegRid_certificate.pem-
选择 * 复制证书 PEM* 或 * 复制 CA 捆绑包 PEM* ,将证书内容复制到其他位置进行粘贴。
-
-
选择 * 保存 * 。+ 自定义管理接口证书用于此后与网格管理器,租户管理器,网格管理器 API 或租户管理器 API 的所有新连接。
生成证书生成服务器证书文件。
生产环境的最佳实践是使用由外部证书颁发机构签名的自定义管理接口证书。 -
选择 * 生成证书 * 。
-
指定证书信息:
-
* 域名 * :要包含在证书中的一个或多个完全限定域名。使用 * 作为通配符表示多个域名。
-
* IP * :要包含在证书中的一个或多个 IP 地址。
-
* 主题 * :证书所有者的 X.509 主题或可分辨名称( DN )。
-
* 有效天数 * :创建证书后的天数到期。
-
-
选择 * 生成 * 。
-
选择 * 证书详细信息 * 可查看生成的证书的元数据。
-
选择 * 下载证书 * 以保存证书文件。
指定证书文件名和下载位置。使用扩展名 ` .pem` 保存文件。
例如:
storagegRid_certificate.pem-
选择 * 复制证书 PEM* 将证书内容复制到其他位置进行粘贴。
-
-
选择 * 保存 * 。+ 自定义管理接口证书用于此后与网格管理器,租户管理器,网格管理器 API 或租户管理器 API 的所有新连接。
-
-
刷新页面以确保 Web 浏览器已更新。
上传或生成新证书后,请留出最多一天的时间来清除任何相关证书到期警报。 -
添加自定义管理接口证书后, " 管理接口证书 " 页面将显示正在使用的证书的详细证书信息。+ 您可以根据需要下载或复制证书 PEM 。
还原默认管理接口证书
您可以使用网格管理器和租户管理器连接的默认管理接口证书还原到。
-
选择 * 配置 * > * 安全性 * > * 证书 * 。
-
在 * 全局 * 选项卡上,选择 * 管理接口证书 * 。
-
选择 * 使用默认证书 * 。
还原默认管理接口证书时,您配置的自定义服务器证书文件将被删除,无法从系统中恢复。默认管理接口证书将用于所有后续的新客户端连接。
-
刷新页面以确保 Web 浏览器已更新。
使用脚本生成新的自签名管理接口证书
如果需要严格验证主机名,可以使用脚本生成管理接口证书。
-
您具有特定的访问权限。
-
您已有
passwords.txt文件。
生产环境的最佳实践是使用由外部证书颁发机构签名的证书。
-
获取每个管理节点的完全限定域名( FQDN )。
-
登录到主管理节点:
-
输入以下命令:
ssh admin@primary_Admin_Node_IP -
输入
passwords.txt文件中列出的密码。 -
输入以下命令切换到 root :
su - -
输入
passwords.txt文件中列出的密码。以 root 用户身份登录时,提示符将从 ` $` 更改为 ` #` 。
-
-
使用新的自签名证书配置 StorageGRID 。
` $sudo make-certificate -domains wilder-admin-node-fqdn -type management`
-
对于 ` 域` ,请使用通配符表示所有管理节点的完全限定域名。例如, ` * .ui.storagegrid.example.com` 使用 * 通配符表示
admin1.ui.storagegrid.example.com和admin2.ui.storagegrid.example.com。 -
将 ` 键入` 设置为
management以配置管理接口证书,网格管理器和租户管理器将使用该证书。 -
默认情况下,生成的证书有效期为一年( 365 天),必须在证书过期之前重新创建。您可以使用 ` -days` 参数覆盖默认有效期。
运行 make-certificate时,证书的有效期开始。您必须确保管理客户端与 StorageGRID 同步到同一个时间源;否则,客户端可能会拒绝此证书。$ sudo make-certificate --domains *.ui.storagegrid.example.com --type management --days 720
生成的输出包含管理 API 客户端所需的公有 证书。
-
-
选择并复制证书。
在您的选择中包括开始和结束标记。
-
从命令 Shell 中注销。` $ 退出`
-
确认已配置证书:
-
访问网格管理器。
-
选择 * 配置 * > * 安全性 * > * 证书 *
-
在 * 全局 * 选项卡上,选择 * 管理接口证书 * 。
-
-
将管理客户端配置为使用您复制的公有 证书。包括开始和结束标记。
下载或复制管理接口证书
您可以保存或复制管理接口证书内容,以便在其他位置使用。
-
选择 * 配置 * > * 安全性 * > * 证书 * 。
-
在 * 全局 * 选项卡上,选择 * 管理接口证书 * 。
-
选择 * 服务器 * 或 * CA 捆绑包 * 选项卡,然后下载或复制证书。
下载证书文件或 CA 包下载证书或 CA 捆绑包 ` .pem` 文件。如果您使用的是可选的 CA 包,则该包中的每个证书都会显示在其自己的子选项卡上。
-
选择 * 下载证书 * 或 * 下载 CA 捆绑包 * 。
如果要下载 CA 包,则 CA 包二级选项卡中的所有证书将作为一个文件下载。
-
指定证书文件名和下载位置。使用扩展名 ` .pem` 保存文件。
例如:
storagegRid_certificate.pem
复制证书或 CA 捆绑包 PEM复制证书文本以粘贴到其他位置。如果您使用的是可选的 CA 包,则该包中的每个证书都会显示在其自己的子选项卡上。
-
选择 * 复制证书 PEM* 或 * 复制 CA 捆绑包 PEM* 。
如果要复制 CA 包,则 CA 包二级选项卡中的所有证书会同时复制在一起。
-
将复制的证书粘贴到文本编辑器中。
-
保存扩展名为 ` .pem` 的文本文件。
例如:
storagegRid_certificate.pem
-