配置管理接口证书
建议更改
PDF
您可以用单个自定义证书替换默认管理接口证书,该证书允许用户访问网格管理器和租户管理器而不会遇到安全警告。您还可以恢复默认管理接口证书或生成新的证书。
默认情况下,每个管理节点都会颁发由网格 CA 签名的证书。这些 CA 签名的证书可以被单个通用自定义管理接口证书和相应的私钥所取代。
由于所有管理节点都使用单个自定义管理接口证书,因此如果客户端在连接到网格管理器和租户管理器时需要验证主机名,则必须将证书指定为通配符或多域证书。定义自定义证书,使其与网格中的所有管理节点匹配。
您需要在服务器上完成配置,并且根据您使用的根证书颁发机构 (CA),用户可能还需要在用于访问网格管理器和租户管理器的 Web 浏览器中安装网格 CA 证书。
|
为了确保操作不会因服务器证书失败而中断,当该服务器证书即将过期时,会触发*管理接口服务器证书过期*警报。根据需要,您可以通过选择 CONFIGURATION > Security > Certificates 并查看 Global 选项卡上的管理接口证书的到期日期来查看当前证书的到期时间。 |
|
|
如果您使用域名而不是 IP 地址访问网格管理器或租户管理器,则在发生以下任一情况时,浏览器将显示证书错误,并且没有绕过选项:
|
添加自定义管理接口证书
要添加自定义管理接口证书,您可以提供自己的证书或使用网格管理器生成一个证书。
-
选择 配置 > 安全 > 证书。
-
在*全局*选项卡上,选择*管理接口证书*。
-
选择*使用自定义证书*。
-
上传或生成证书。
上传证书上传所需的服务器证书文件。
-
选择*上传证书*。
-
上传所需的服务器证书文件:
-
服务器证书:自定义服务器证书文件(PEM编码)。
-
证书私钥:自定义服务器证书私钥文件(
.key)。
EC 私钥必须为 224 位或更大。 RSA 私钥必须为 2048 位或更大。 -
CA 包:一个可选文件,包含来自每个中间颁发证书机构 (CA) 的证书。该文件应包含每个 PEM 编码的 CA 证书文件,按证书链顺序连接。
-
-
展开*证书详细信息*以查看您上传的每个证书的元数据。如果您上传了可选的 CA 包,则每个证书都会显示在其自己的选项卡上。
-
选择*下载证书*保存证书文件或选择*下载 CA 包*保存证书包。
指定证书文件名和下载位置。使用扩展名保存文件
.pem。
例如:
storagegrid_certificate.pem-
选择*复制证书 PEM*或*复制 CA 包 PEM*以复制证书内容以便粘贴到其他地方。
-
-
选择*保存*。+ 自定义管理接口证书用于与网格管理器、租户管理器、网格管理器 API 或租户管理器 API 的所有后续新连接。
生成证书生成服务器证书文件。
生产环境的最佳实践是使用由外部证书颁发机构签名的自定义管理接口证书。 -
选择*生成证书*。
-
指定证书信息:
字段 描述 域名
证书中包含的一个或多个完全限定域名。使用 * 作为通配符来表示多个域名。
IP
证书中包含的一个或多个 IP 地址。
主题(可选)
证书所有者的 X.509 主题或专有名称 (DN)。
如果此字段未输入任何值,则生成的证书将使用第一个域名或 IP 地址作为主题通用名称 (CN)。
有效天数
证书创建后过期的天数。
添加密钥使用扩展
如果选择(默认和推荐),密钥使用和扩展密钥使用扩展将添加到生成的证书中。
这些扩展定义了证书中包含的密钥的用途。
注意:请选中此复选框,除非当证书包含这些扩展时您遇到与旧客户端的连接问题。
-
选择*生成*。
-
选择*证书详细信息*以查看生成的证书的元数据。
-
选择*下载证书*保存证书文件。
指定证书文件名和下载位置。使用扩展名保存文件
.pem。
例如:
storagegrid_certificate.pem-
选择*复制证书 PEM* 以复制证书内容并粘贴到其他地方。
-
-
选择*保存*。+ 自定义管理接口证书用于与网格管理器、租户管理器、网格管理器 API 或租户管理器 API 的所有后续新连接。
-
-
刷新页面以确保 Web 浏览器已更新。
上传或生成新证书后,请等待最多一天的时间以清除所有相关的证书到期警报。 -
添加自定义管理接口证书后,管理接口证书页面将显示正在使用的证书的详细证书信息。 +您可以根据需要下载或复制证书PEM。
恢复默认管理接口证书
您可以恢复使用网格管理器和租户管理器连接的默认管理接口证书。
-
选择 配置 > 安全 > 证书。
-
在*全局*选项卡上,选择*管理接口证书*。
-
选择*使用默认证书*。
当您恢复默认管理接口证书时,您配置的自定义服务器证书文件将被删除,并且无法从系统中恢复。所有后续的新客户端连接均使用默认管理接口证书。
-
刷新页面以确保 Web 浏览器已更新。
使用脚本生成新的自签名管理接口证书
如果需要严格的主机名验证,您可以使用脚本生成管理接口证书。
-
你有"特定访问权限"。
-
你有 `Passwords.txt`文件。
生产环境的最佳实践是使用由外部证书颁发机构签署的证书。
-
获取每个管理节点的完全限定域名 (FQDN)。
-
登录到主管理节点:
-
输入以下命令:
ssh admin@primary_Admin_Node_IP -
输入 `Passwords.txt`文件。
-
输入以下命令切换到root:
su - -
输入 `Passwords.txt`文件。
当您以 root 身份登录时,提示符将从
$`到 `#。
-
-
使用新的自签名证书配置StorageGRID 。
$ sudo make-certificate --domains wildcard-admin-node-fqdn --type management-
为了
--domains,使用通配符来表示所有管理节点的完全限定域名。例如,*.ui.storagegrid.example.com`使用 * 通配符来表示 `admin1.ui.storagegrid.example.com`和 `admin2.ui.storagegrid.example.com。 -
放 `--type`到 `management`配置管理接口证书,供Grid Manager和Tenant Manager使用。
-
默认情况下,生成的证书有效期为一年(365 天),必须在到期前重新创建。您可以使用 `--days`参数来覆盖默认有效期。
证书有效期从 `make-certificate`正在运行。您必须确保管理客户端与StorageGRID同步到同一时间源;否则,客户端可能会拒绝该证书。 $ sudo make-certificate --domains *.ui.storagegrid.example.com --type management --days 720
结果输出包含管理 API 客户端所需的公共证书。
-
-
选择并复制证书。
在您的选择中包含 BEGIN 和 END 标签。
-
退出命令 shell。
$ exit -
确认证书已配置:
-
访问网格管理器。
-
选择 配置 > 安全 > 证书
-
在*全局*选项卡上,选择*管理接口证书*。
-
-
配置您的管理客户端以使用您复制的公共证书。包括 BEGIN 和 END 标签。
下载或复制管理接口证书
您可以保存或复制管理接口证书内容以供其他地方使用。
-
选择 配置 > 安全 > 证书。
-
在*全局*选项卡上,选择*管理接口证书*。
-
选择“服务器”或“CA 包”选项卡,然后下载或复制证书。
下载证书文件或 CA 包下载证书或 CA 包 `.pem`文件。如果您使用可选的 CA 捆绑包,捆绑包中的每个证书都会显示在其自己的子选项卡上。
-
选择*下载证书*或*下载 CA 包*。
如果您正在下载 CA 捆绑包,则 CA 捆绑包二级选项卡中的所有证书都会作为单个文件下载。
-
指定证书文件名和下载位置。使用扩展名保存文件
.pem。例如:
storagegrid_certificate.pem
复制证书或 CA 捆绑包 PEM复制证书文本并粘贴到其他地方。如果您使用可选的 CA 捆绑包,捆绑包中的每个证书都会显示在其自己的子选项卡上。
-
选择*复制证书 PEM*或*复制 CA 包 PEM*。
如果您正在复制 CA 捆绑包,则 CA 捆绑包辅助选项卡中的所有证书都会一起复制。
-
将复制的证书粘贴到文本编辑器中。
-
保存带有扩展名的文本文件
.pem。例如:
storagegrid_certificate.pem
-