配置 S3 API 证书
您可以替换或恢复用于 S3 客户端连接到存储节点或负载均衡器端点的服务器证书。替换的自定义服务器证书特定于您的组织。
|
此版本的文档站点已删除 Swift 详细信息。看 "StorageGRID 11.8:配置 S3 和 Swift API 证书"。 |
默认情况下,每个存储节点都会颁发由网格 CA 签名的 X.509 服务器证书。这些 CA 签名的证书可以被单个通用自定义服务器证书和相应的私钥所取代。
所有存储节点都使用单个自定义服务器证书,因此如果客户端在连接到存储端点时需要验证主机名,则必须将证书指定为通配符或多域证书。定义自定义证书,使其与网格中的所有存储节点匹配。
在服务器上完成配置后,您可能还需要在用于访问系统的 S3 API 客户端中安装 Grid CA 证书,具体取决于您使用的根证书颁发机构 (CA)。
|
为了确保操作不会因服务器证书失败而中断,当根服务器证书即将过期时,会触发*S3 API 的全局服务器证书过期*警报。根据需要,您可以通过选择 CONFIGURATION > Security > Certificates 并查看 Global 选项卡上 S3 API 证书的到期日期来查看当前证书的到期时间。 |
您可以上传或生成自定义 S3 API 证书。
添加自定义 S3 API 证书
-
选择 配置 > 安全 > 证书。
-
在*全局*选项卡上,选择*S3 API 证书*。
-
选择*使用自定义证书*。
-
上传或生成证书。
上传证书上传所需的服务器证书文件。
-
选择*上传证书*。
-
上传所需的服务器证书文件:
-
服务器证书:自定义服务器证书文件(PEM编码)。
-
证书私钥:自定义服务器证书私钥文件(
.key
)。EC 私钥必须为 224 位或更大。 RSA 私钥必须为 2048 位或更大。 -
CA 包:一个可选文件,包含来自每个中间颁发证书机构的证书。该文件应包含每个 PEM 编码的 CA 证书文件,按证书链顺序连接。
-
-
选择证书详细信息以显示已上传的每个自定义 S3 API 证书的元数据和 PEM。如果您上传了可选的 CA 包,则每个证书都会显示在其自己的选项卡上。
-
选择*下载证书*保存证书文件或选择*下载 CA 包*保存证书包。
指定证书文件名和下载位置。使用扩展名保存文件
.pem
。
例如:
storagegrid_certificate.pem
-
选择*复制证书 PEM*或*复制 CA 包 PEM*以复制证书内容以便粘贴到其他地方。
-
-
选择*保存*。
自定义服务器证书用于后续新的 S3 客户端连接。
生成证书生成服务器证书文件。
-
选择*生成证书*。
-
指定证书信息:
字段 描述 域名
证书中包含的一个或多个完全限定域名。使用 * 作为通配符来表示多个域名。
IP
证书中包含的一个或多个 IP 地址。
主题(可选)
证书所有者的 X.509 主题或专有名称 (DN)。
如果此字段未输入任何值,则生成的证书将使用第一个域名或 IP 地址作为主题通用名称 (CN)。
有效天数
证书创建后过期的天数。
添加密钥使用扩展
如果选择(默认和推荐),密钥使用和扩展密钥使用扩展将添加到生成的证书中。
这些扩展定义了证书中包含的密钥的用途。
注意:请选中此复选框,除非当证书包含这些扩展时您遇到与旧客户端的连接问题。
-
选择*生成*。
-
选择*证书详细信息*以显示生成的自定义 S3 API 证书的元数据和 PEM。
-
选择*下载证书*保存证书文件。
指定证书文件名和下载位置。使用扩展名保存文件
.pem
。
例如:
storagegrid_certificate.pem
-
选择*复制证书 PEM* 以复制证书内容并粘贴到其他地方。
-
-
选择*保存*。
自定义服务器证书用于后续新的 S3 客户端连接。
-
-
选择一个选项卡以显示默认StorageGRID服务器证书、已上传的 CA 签名证书或生成的自定义证书的元数据。
上传或生成新证书后,请等待最多一天的时间以清除所有相关的证书到期警报。 -
刷新页面以确保 Web 浏览器已更新。
-
添加自定义 S3 API 证书后,S3 API 证书页面将显示正在使用的自定义 S3 API 证书的详细证书信息。 +您可以根据需要下载或复制证书PEM。
恢复默认的 S3 API 证书
您可以恢复使用默认 S3 API 证书来将 S3 客户端连接到存储节点。但是,您不能将默认的 S3 API 证书用于负载均衡器端点。
-
选择 配置 > 安全 > 证书。
-
在*全局*选项卡上,选择*S3 API 证书*。
-
选择*使用默认证书*。
当您恢复全局 S3 API 证书的默认版本时,您配置的自定义服务器证书文件将被删除,并且无法从系统中恢复。默认 S3 API 证书将用于后续新的 S3 客户端与存储节点的连接。
-
选择“确定”确认警告并恢复默认的 S3 API 证书。
如果您具有 Root 访问权限,并且自定义 S3 API 证书用于负载均衡器端点连接,则会显示一个负载均衡器端点列表,这些端点将无法再使用默认 S3 API 证书进行访问。前往"配置负载均衡器端点"编辑或删除受影响的端点。
-
刷新页面以确保 Web 浏览器已更新。
下载或复制 S3 API 证书
您可以保存或复制 S3 API 证书内容以供在其他地方使用。
-
选择 配置 > 安全 > 证书。
-
在*全局*选项卡上,选择*S3 API 证书*。
-
选择“服务器”或“CA 包”选项卡,然后下载或复制证书。
下载证书文件或 CA 包下载证书或 CA 包 `.pem`文件。如果您使用可选的 CA 捆绑包,捆绑包中的每个证书都会显示在其自己的子选项卡上。
-
选择*下载证书*或*下载 CA 包*。
如果您正在下载 CA 捆绑包,则 CA 捆绑包二级选项卡中的所有证书都会作为单个文件下载。
-
指定证书文件名和下载位置。使用扩展名保存文件
.pem
。例如:
storagegrid_certificate.pem
复制证书或 CA 捆绑包 PEM复制证书文本并粘贴到其他地方。如果您使用可选的 CA 捆绑包,捆绑包中的每个证书都会显示在其自己的子选项卡上。
-
选择*复制证书 PEM*或*复制 CA 包 PEM*。
如果您正在复制 CA 捆绑包,则 CA 捆绑包辅助选项卡中的所有证书都会一起复制。
-
将复制的证书粘贴到文本编辑器中。
-
保存带有扩展名的文本文件
.pem
。例如:
storagegrid_certificate.pem
-