Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

配置 S3 API 证书

您可以替换或恢复用于 S3 客户端连接到存储节点或负载均衡器端点的服务器证书。替换的自定义服务器证书特定于您的组织。

提示 此版本的文档站点已删除 Swift 详细信息。看 "StorageGRID 11.8:配置 S3 和 Swift API 证书"
关于此任务

默认情况下,每个存储节点都会颁发由网格 CA 签名的 X.509 服务器证书。这些 CA 签名的证书可以被单个通用自定义服务器证书和相应的私钥所取代。

所有存储节点都使用单个自定义服务器证书,因此如果客户端在连接到存储端点时需要验证主机名,则必须将证书指定为通配符或多域证书。定义自定义证书,使其与网格中的所有存储节点匹配。

在服务器上完成配置后,您可能还需要在用于访问系统的 S3 API 客户端中安装 Grid CA 证书,具体取决于您使用的根证书颁发机构 (CA)。

备注 为了确保操作不会因服务器证书失败而中断,当根服务器证书即将过期时,会触发*S3 API 的全局服务器证书过期*警报。根据需要,您可以通过选择 CONFIGURATION > Security > Certificates 并查看 Global 选项卡上 S3 API 证书的到期日期来查看当前证书的到期时间。

您可以上传或生成自定义 S3 API 证书。

添加自定义 S3 API 证书

步骤
  1. 选择 配置 > 安全 > 证书

  2. 在*全局*选项卡上,选择*S3 API 证书*。

  3. 选择*使用自定义证书*。

  4. 上传或生成证书。

    上传证书

    上传所需的服务器证书文件。

    1. 选择*上传证书*。

    2. 上传所需的服务器证书文件:

      • 服务器证书:自定义服务器证书文件(PEM编码)。

      • 证书私钥:自定义服务器证书私钥文件(.key)。

        备注 EC 私钥必须为 224 位或更大。 RSA 私钥必须为 2048 位或更大。
      • CA 包:一个可选文件,包含来自每个中间颁发证书机构的证书。该文件应包含每个 PEM 编码的 CA 证书文件,按证书链顺序连接。

    3. 选择证书详细信息以显示已上传的每个自定义 S3 API 证书的元数据和 PEM。如果您上传了可选的 CA 包,则每个证书都会显示在其自己的选项卡上。

      • 选择*下载证书*保存证书文件或选择*下载 CA 包*保存证书包。

        指定证书文件名和下载位置。使用扩展名保存文件 .pem

      例如: storagegrid_certificate.pem

      • 选择*复制证书 PEM*或*复制 CA 包 PEM*以复制证书内容以便粘贴到其他地方。

    4. 选择*保存*。

      自定义服务器证书用于后续新的 S3 客户端连接。

    生成证书

    生成服务器证书文件。

    1. 选择*生成证书*。

    2. 指定证书信息:

      字段 描述

      域名

      证书中包含的一个或多个完全限定域名。使用 * 作为通配符来表示多个域名。

      IP

      证书中包含的一个或多个 IP 地址。

      主题(可选)

      证书所有者的 X.509 主题或专有名称 (DN)。

      如果此字段未输入任何值,则生成的证书将使用第一个域名或 IP 地址作为主题通用名称 (CN)。

      有效天数

      证书创建后过期的天数。

      添加密钥使用扩展

      如果选择(默认和推荐),密钥使用和扩展密钥使用扩展将添加到生成的证书中。

      这些扩展定义了证书中包含的密钥的用途。

      注意:请选中此复选框,除非当证书包含这些扩展时您遇到与旧客户端的连接问题。

    3. 选择*生成*。

    4. 选择*证书详细信息*以显示生成的自定义 S3 API 证书的元数据和 PEM。

      • 选择*下载证书*保存证书文件。

        指定证书文件名和下载位置。使用扩展名保存文件 .pem

      例如: storagegrid_certificate.pem

      • 选择*复制证书 PEM* 以复制证书内容并粘贴到其他地方。

    5. 选择*保存*。

      自定义服务器证书用于后续新的 S3 客户端连接。

  5. 选择一个选项卡以显示默认StorageGRID服务器证书、已上传的 CA 签名证书或生成的自定义证书的元数据。

    备注 上传或生成新证书后,请等待最多一天的时间以清除所有相关的证书到期警报。
  6. 刷新页面以确保 Web 浏览器已更新。

  7. 添加自定义 S3 API 证书后,S3 API 证书页面将显示正在使用的自定义 S3 API 证书的详细证书信息。 +您可以根据需要下载或复制证书PEM。

恢复默认的 S3 API 证书

您可以恢复使用默认 S3 API 证书来将 S3 客户端连接到存储节点。但是,您不能将默认的 S3 API 证书用于负载均衡器端点。

步骤
  1. 选择 配置 > 安全 > 证书

  2. 在*全局*选项卡上,选择*S3 API 证书*。

  3. 选择*使用默认证书*。

    当您恢复全局 S3 API 证书的默认版本时,您配置的自定义服务器证书文件将被删除,并且无法从系统中恢复。默认 S3 API 证书将用于后续新的 S3 客户端与存储节点的连接。

  4. 选择“确定”确认警告并恢复默认的 S3 API 证书。

    如果您具有 Root 访问权限,并且自定义 S3 API 证书用于负载均衡器端点连接,则会显示一个负载均衡器端点列表,这些端点将无法再使用默认 S3 API 证书进行访问。前往"配置负载均衡器端点"编辑或删除受影响的端点。

  5. 刷新页面以确保 Web 浏览器已更新。

下载或复制 S3 API 证书

您可以保存或复制 S3 API 证书内容以供在其他地方使用。

步骤
  1. 选择 配置 > 安全 > 证书

  2. 在*全局*选项卡上,选择*S3 API 证书*。

  3. 选择“服务器”或“CA 包”选项卡,然后下载或复制证书。

    下载证书文件或 CA 包

    下载证书或 CA 包 `.pem`文件。如果您使用可选的 CA 捆绑包,捆绑包中的每个证书都会显示在其自己的子选项卡上。

    1. 选择*下载证书*或*下载 CA 包*。

      如果您正在下载 CA 捆绑包,则 CA 捆绑包二级选项卡中的所有证书都会作为单个文件下载。

    2. 指定证书文件名和下载位置。使用扩展名保存文件 .pem

      例如: storagegrid_certificate.pem

    复制证书或 CA 捆绑包 PEM

    复制证书文本并粘贴到其他地方。如果您使用可选的 CA 捆绑包,捆绑包中的每个证书都会显示在其自己的子选项卡上。

    1. 选择*复制证书 PEM*或*复制 CA 包 PEM*。

      如果您正在复制 CA 捆绑包,则 CA 捆绑包辅助选项卡中的所有证书都会一起复制。

    2. 将复制的证书粘贴到文本编辑器中。

    3. 保存带有扩展名的文本文件 .pem

      例如: storagegrid_certificate.pem