Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

配置客户端证书

PDF

客户端证书允许授权的外部客户端访问StorageGRID Prometheus 数据库,为外部工具监控StorageGRID提供一种安全的方式。

如果需要使用外部监控工具访问StorageGRID ,则必须使用 Grid Manager 上传或生成客户端证书,并将证书信息复制到外部工具。

"管理安全证书""配置自定义服务器证书"

备注 为了确保操作不会因服务器证书失败而中断,当此服务器证书即将过期时,将触发*证书页面上配置的客户端证书过期*警报。根据需要,您可以通过选择 配置 > 安全 > 证书 并查看客户端选项卡上的客户端证书的到期日期来查看当前证书的到期时间。
备注 如果您使用密钥管理服务器 (KMS) 来保护特殊配置的设备节点上的数据,请参阅有关"上传 KMS 客户端证书"
开始之前

  • 您拥有 Root 访问权限。

  • 您已使用"支持的网络浏览器"

  • 要配置客户端证书:

    • 您拥有管理节点的 IP 地址或域名。

    • 如果您已配置StorageGRID管理接口证书,则您拥有用于配置管理接口证书的 CA、客户端证书和私钥。

    • 要上传您自己的证书,该证书的私钥可以在您的本地计算机上找到。

    • 私钥在创建时必须被保存或记录。如果您没有原始私钥,则必须创建一个新的私钥。

  • 要编辑客户端证书:

    • 您拥有管理节点的 IP 地址或域名。

    • 要上传您自己的证书或新证书,您的本地计算机上需要有私钥、客户端证书和 CA(如果使用)。

添加客户端证书

要添加客户端证书,请使用以下步骤之一:

管理接口证书已配置

如果已使用客户提供的 CA、客户端证书和私钥配置了管理接口证书,请使用此过程添加客户端证书。

步骤

  1. 在网格管理器中,选择 配置 > 安全 > 证书,然后选择 客户端 选项卡。

  2. 选择“添加”。

  3. 输入证书名称。

  4. 要使用外部监控工具访问 Prometheus 指标,请选择 允许 prometheus

  5. 选择*继续*。

  6. 对于*附加证书*步骤,上传管理接口证书。

    1. 选择*上传证书*。

    2. 选择*浏览*并选择管理接口证书文件(.pem)。

      • 选择*客户端证书详细信息*以显示证书元数据和证书 PEM。

      • 选择*复制证书 PEM* 以复制证书内容并粘贴到其他地方。

    3. 选择*创建*将证书保存在网格管理器中。

      新证书出现在客户端选项卡上。

  7. 配置外部监控工具,例如 Grafana。

CA颁发的客户端证书

如果未配置管理接口证书,并且您计划为 Prometheus 添加使用 CA 颁发的客户端证书和私钥的客户端证书,请使用此过程添加管理员客户端证书。

步骤

  1. 执行以下步骤"配置管理接口证书"

  2. 在网格管理器中,选择 配置 > 安全 > 证书,然后选择 客户端 选项卡。

  3. 选择“添加”。

  4. 输入证书名称。

  5. 要使用外部监控工具访问 Prometheus 指标,请选择 允许 prometheus

  6. 选择*继续*。

  7. 对于*附加证书*步骤,上传客户端证书、私钥和 CA 捆绑文件:

    1. 选择*上传证书*。

    2. 选择“浏览”并选择客户端证书、私钥和 CA 捆绑文件(.pem)。

      • 选择*客户端证书详细信息*以显示证书元数据和证书 PEM。

      • 选择*复制证书 PEM* 以复制证书内容并粘贴到其他地方。

    3. 选择*创建*将证书保存在网格管理器中。

      新证书出现在客户端选项卡上。

  8. 配置外部监控工具,例如 Grafana。

从网格管理器生成的证书

如果未配置管理接口证书,并且您计划为使用 Grid Manager 中的生成证书功能的 Prometheus 添加客户端证书,请使用此过程添加管理员客户端证书。

步骤

  1. 在网格管理器中,选择 配置 > 安全 > 证书,然后选择 客户端 选项卡。

  2. 选择“添加”。

  3. 输入证书名称。

  4. 要使用外部监控工具访问 Prometheus 指标,请选择 允许 prometheus

  5. 选择*继续*。

  6. 对于*附加证书*步骤,选择*生成证书*。

  7. 指定证书信息:

    • 主题(可选):证书所有者的 X.509 主题或专有名称 (DN)。

    • 有效天数:生成的证书从生成时开始的有效天数。

    • 添加密钥使用扩展:如果选择(默认和推荐),则密钥使用和扩展密钥使用扩展将添加到生成的证书中。

      这些扩展定义了证书中包含的密钥的用途。

    备注 除非证书包含这些扩展时遇到与旧客户端的连接问题,否则请选中此复选框。

  8. 选择*生成*。

  9. 选择*客户端证书详细信息*以显示证书元数据和证书 PEM。

    提示 关闭对话框后,您将无法查看证书私钥。将密钥复制或下载到安全位置。

    • 选择*复制证书 PEM* 以复制证书内容并粘贴到其他地方。

    • 选择*下载证书*保存证书文件。

      指定证书文件名和下载位置。使用扩展名保存文件 .pem

    例如: storagegrid_certificate.pem

    • 选择*复制私钥*复制证书私钥以便粘贴到其他地方。

    • 选择*下载私钥*将私钥保存为文件。

      指定私钥文件名和下载位置。

  10. 选择*创建*将证书保存在网格管理器中。

    新证书出现在客户端选项卡上。

  11. 在网格管理器中,选择 CONFIGURATION > Security > Certificates,然后选择 Global 选项卡。

  12. 选择*管理接口证书*。

  13. 选择*使用自定义证书*。

  14. 从上传 certificate.pem 和 private_key.pem 文件客户端证书详细信息步。无需上传 CA 包。

    1. 选择*上传证书*,然后选择*继续*。

    2. 上传每个证书文件(.pem)。

    3. 选择*保存*将证书保存在网格管理器中。

      新证书出现在管理界面证书页面上。

  15. 配置外部监控工具,例如 Grafana。

配置外部监控工具

步骤

  1. 在您的外部监控工具(例如 Grafana)上配置以下设置。

    1. 名称:输入连接的名称。

      StorageGRID不需要此信息,但您必须提供名称来测试连接。

    2. URL:输入管理节点的域名或 IP 地址。指定 HTTPS 和端口 9091。

      例如: https://admin-node.example.com:9091

    3. 启用 TLS 客户端身份验证使用 CA 证书

    4. 在 TLS/SSL 身份验证详细信息下,复制并粘贴:+

      • 管理接口CA证书到CA Cert

      • 客户端证书到客户端证书

      • 客户端密钥的私钥

    5. ServerName:输入管理节点的域名。

      ServerName 必须与管理接口证书中显示的域名匹配。

  2. 保存并测试从StorageGRID或本地文件复制的证书和私钥。

    您现在可以使用外部监控工具从StorageGRID访问 Prometheus 指标。

    有关指标的信息,请参阅"StorageGRID监控说明"

编辑客户端证书

您可以编辑管理员客户端证书以更改其名称、启用或禁用 Prometheus 访问,或者在当前证书过期时上传新证书。

步骤

  1. 选择 配置 > 安全 > 证书,然后选择 客户端 选项卡。

    表中列出了证书到期日期和 Prometheus 访问权限。如果证书即将过期或已经过期,表中会出现一条消息并触发警报。

  2. 选择您要编辑的证书。

  3. 选择*编辑*,然后选择*编辑名称和权限*

  4. 输入证书名称。

  5. 要使用外部监控工具访问 Prometheus 指标,请选择 允许 prometheus

  6. 选择“继续”将证书保存在网格管理器中。

    更新后的证书显示在客户端选项卡上。

附加新的客户端证书

当前证书过期后,您可以上传新证书。

步骤

  1. 选择 配置 > 安全 > 证书,然后选择 客户端 选项卡。

    表中列出了证书到期日期和 Prometheus 访问权限。如果证书即将过期或已经过期,表中会出现一条消息并触发警报。

  2. 选择您要编辑的证书。

  3. 选择*编辑*,然后选择一个编辑选项。

    上传证书

    复制证书文本并粘贴到其他地方。

    1. 选择*上传证书*,然后选择*继续*。

    2. 上传客户端证书名称(.pem)。

      选择*客户端证书详细信息*以显示证书元数据和证书 PEM。

      • 选择*下载证书*保存证书文件。

        指定证书文件名和下载位置。使用扩展名保存文件 .pem

      例如: storagegrid_certificate.pem

      • 选择*复制证书 PEM* 以复制证书内容并粘贴到其他地方。

    3. 选择*创建*将证书保存在网格管理器中。

      更新后的证书显示在客户端选项卡上。

    生成证书

    生成证书文本以粘贴到其他地方。

    1. 选择*生成证书*。

    2. 指定证书信息:

      • 主题(可选):证书所有者的 X.509 主题或专有名称 (DN)。

      • 有效天数:生成的证书从生成时开始的有效天数。

      • 添加密钥使用扩展:如果选择(默认和推荐),则密钥使用和扩展密钥使用扩展将添加到生成的证书中。

        这些扩展定义了证书中包含的密钥的用途。

      备注 除非证书包含这些扩展时遇到与旧客户端的连接问题,否则请选中此复选框。

    3. 选择*生成*。

    4. 选择*客户端证书详细信息*以显示证书元数据和证书 PEM。

      提示 关闭对话框后,您将无法查看证书私钥。将密钥复制或下载到安全位置。

      • 选择*复制证书 PEM* 以复制证书内容并粘贴到其他地方。

      • 选择*下载证书*保存证书文件。

        指定证书文件名和下载位置。使用扩展名保存文件 .pem

      例如: storagegrid_certificate.pem

      • 选择*复制私钥*复制证书私钥以便粘贴到其他地方。

      • 选择*下载私钥*将私钥保存为文件。

        指定私钥文件名和下载位置。

    5. 选择*创建*将证书保存在网格管理器中。

      新证书出现在客户端选项卡上。

下载或复制客户端证书

您可以下载或复制客户端证书以供其他地方使用。

步骤

  1. 选择 配置 > 安全 > 证书,然后选择 客户端 选项卡。

  2. 选择您要复制或下载的证书。

  3. 下载或复制证书。

    下载证书文件

    下载证书 `.pem`文件。

    1. 选择*下载证书*。

    2. 指定证书文件名和下载位置。使用扩展名保存文件 .pem

      例如: storagegrid_certificate.pem

    复印证书

    复制证书文本并粘贴到其他地方。

    1. 选择*复制证书 PEM*。

    2. 将复制的证书粘贴到文本编辑器中。

    3. 保存带有扩展名的文本文件 .pem

      例如: storagegrid_certificate.pem

删除客户端证书

如果您不再需要管理员客户端证书,您可以将其删除。

步骤

  1. 选择 配置 > 安全 > 证书,然后选择 客户端 选项卡。

  2. 选择您要删除的证书。

  3. 选择*删除*然后确认。

备注 要删除最多 10 个证书,请在“客户端”选项卡上选择要删除的每个证书,然后选择“操作”>“删除”。

删除证书后,使用该证书的客户端必须指定新的客户端证书才能访问StorageGRID Prometheus 数据库。