配置客户端证书
客户端证书允许授权的外部客户端访问 StorageGRID Prometheus 数据库,从而为外部工具监控 StorageGRID 提供了一种安全的方式。
如果您需要使用外部监控工具访问StorageGRID 、则必须使用网格管理器上传或生成客户端证书、并将证书信息复制到外部工具。
请参阅"管理安全证书"和"配置自定义服务器证书"。
为确保操作不会因服务器证书失败而中断,当此服务器证书即将到期时,将触发“证书页上配置的客户端证书*到期”警报。根据需要,您可以通过选择 * 配置 * > * 安全性 * > * 证书 * 并在客户端选项卡上查看客户端证书的到期日期来查看当前证书的到期时间。 |
如果使用密钥管理服务器(KMS)保护专门配置的设备节点上的数据,请参见有关的特定信息。"上传 KMS 客户端证书" |
-
您具有 root 访问权限。
-
您已使用登录到网格管理器"支持的 Web 浏览器"。
-
配置客户端证书:
-
您拥有管理节点的 IP 地址或域名。
-
如果已配置StorageGRID 管理接口证书、则可以使用CA、客户端证书和专用密钥来配置管理接口证书。
-
要上传您自己的证书、您的本地计算机上提供了证书的专用密钥。
-
私钥必须在创建时已保存或记录。如果您没有原始私钥、则必须创建一个新的私钥。
-
-
编辑客户端证书:
-
您拥有管理节点的 IP 地址或域名。
-
要上传您自己的证书或新证书、您的本地计算机上提供了私钥、客户端证书和CA (如果使用)。
-
添加客户端证书
要添加客户端证书、请使用以下过程之一:
已配置管理接口证书
如果已使用客户提供的CA、客户端证书和专用密钥配置管理接口证书、请使用此操作步骤 添加客户端证书。
-
在网格管理器中,选择 * 配置 * > * 安全性 * > * 证书 * ,然后选择 * 客户端 * 选项卡。
-
选择 * 添加 * 。
-
输入证书名称。
-
要使用外部监控工具访问Prometheus指标,请选择*Allow Prometheus*(允许Prometheus*)。
-
选择 * 继续 * 。
-
对于*attach certificates*步骤,请上传管理接口证书。
-
选择 * 上传证书 * 。
-
选择*浏览*并选择管理接口证书文件(
.pem
)。-
选择 * 客户端证书详细信息 * 以显示证书元数据和证书 PEM 。
-
选择 * 复制证书 PEM* 将证书内容复制到其他位置进行粘贴。
-
-
选择 * 创建 * 以在网格管理器中保存证书。
新证书将显示在客户端选项卡上。
-
-
配置外部监控工具,如Grafana。
CA颁发的客户端证书
如果未配置管理接口证书、并且您计划为使用CA颁发的客户端证书和专用密钥的Prometheus添加客户端证书、请使用此操作步骤 添加管理员客户端证书。
-
执行步骤至"配置管理接口证书"。
-
在网格管理器中,选择 * 配置 * > * 安全性 * > * 证书 * ,然后选择 * 客户端 * 选项卡。
-
选择 * 添加 * 。
-
输入证书名称。
-
要使用外部监控工具访问Prometheus指标,请选择*Allow Prometheus*(允许Prometheus*)。
-
选择 * 继续 * 。
-
对于*attach certificates*步骤,上传客户端证书、私钥和CA包文件:
-
选择 * 上传证书 * 。
-
选择*浏览*并选择客户证书、私钥和CA包文件(
.pem
)。-
选择 * 客户端证书详细信息 * 以显示证书元数据和证书 PEM 。
-
选择 * 复制证书 PEM* 将证书内容复制到其他位置进行粘贴。
-
-
选择 * 创建 * 以在网格管理器中保存证书。
新证书将显示在客户端选项卡上。
-
-
配置外部监控工具,如Grafana。
从网格管理器生成的证书
如果未配置管理接口证书、并且您计划为使用网格管理器中的生成证书功能的Prometheus添加客户端证书、请使用此操作步骤 添加管理员客户端证书。
-
在网格管理器中,选择 * 配置 * > * 安全性 * > * 证书 * ,然后选择 * 客户端 * 选项卡。
-
选择 * 添加 * 。
-
输入证书名称。
-
要使用外部监控工具访问Prometheus指标,请选择*Allow Prometheus*(允许Prometheus*)。
-
选择 * 继续 * 。
-
对于*attach certificates*步骤,选择*Generate certificates*。
-
指定证书信息:
-
主题(可选):证书所有者的X.509主题或可分辨名称(DN)。
-
有效天数:生成的证书自生成之日起生效的天数。
-
添加密钥用法扩展:如果选择(默认值和建议值),则会将密钥用法扩展和扩展密钥用法扩展添加到生成的证书中。
这些扩展定义了证书中所含密钥的用途。
除非在证书包含这些扩展时遇到与旧客户端的连接问题、否则保持选中此复选框。 -
-
选择 * 生成 * 。
-
【客户端证书详细信息】选择*客户端证书详细信息*可显示证书元数据和证书PEM。
关闭此对话框后,您将无法查看此证书专用密钥。将密钥复制或下载到安全位置。 -
选择 * 复制证书 PEM* 将证书内容复制到其他位置进行粘贴。
-
选择 * 下载证书 * 以保存证书文件。
指定证书文件名和下载位置。使用扩展名保存文件
.pem
。
例如:
storagegrid_certificate.pem
-
选择 * 复制私钥 * 可复制证书私钥以粘贴到其他位置。
-
选择 * 下载私钥 * 将私钥另存为文件。
指定私钥文件名和下载位置。
-
-
选择 * 创建 * 以在网格管理器中保存证书。
新证书将显示在客户端选项卡上。
-
在网格管理器中、选择*配置*>*安全性*>*证书*、然后选择*全局*选项卡。
-
选择*管理接口证书*。
-
选择 * 使用自定义证书 * 。
-
上传步骤中的certifice.pm和prived_key.pm文件客户端证书详细信息。无需上传CA捆绑包。
-
选择 * 上传证书 * ,然后选择 * 继续 * 。
-
上传每个证书文件(
.pem
)。 -
选择*保存*以在网格管理器中保存证书。
新证书将显示在管理接口证书页面上。
-
-
配置外部监控工具,如Grafana。
[[configure-External monitoring-tool]]配置外部监控工具
-
在外部监控工具上配置以下设置,例如 Grafana 。
-
* 名称 * :输入连接的名称。
StorageGRID 不需要此信息,但您必须提供一个名称来测试连接。
-
* URL * :输入管理节点的域名或 IP 地址。指定 HTTPS 和端口 9091 。
例如:
https://admin-node.example.com:9091
-
启用 * TLS 客户端身份验证 * 和 * 使用 CA 证书 * 。
-
在TLS/SSL身份验证详细信息下、复制并粘贴:+
-
管理接口CA证书到"** CA证书"
-
到"Client Cert"的客户端证书
-
"**客户端密钥"的专用密钥
-
-
* 服务器名称 * :输入管理节点的域名。
servername 必须与管理接口证书中显示的域名匹配。
-
-
保存并测试从 StorageGRID 或本地文件复制的证书和私钥。
现在,您可以使用外部监控工具从 StorageGRID 访问 Prometheus 指标。
有关指标的信息,请参见"有关监控 StorageGRID 的说明"。
编辑客户端证书
您可以编辑管理员客户端证书以更改其名称,启用或禁用 Prometheus 访问,或者在当前证书已过期时上传新证书。
-
选择 * 配置 * > * 安全性 * > * 证书 * ,然后选择 * 客户端 * 选项卡。
表中列出了证书到期日期和 Prometheus 访问权限。如果证书即将过期或已过期,则表中会显示一条消息并触发警报。
-
选择要编辑的证书。
-
选择 * 编辑 * ,然后选择 * 编辑名称和权限 *
-
输入证书名称。
-
要使用外部监控工具访问Prometheus指标,请选择*Allow Prometheus*(允许Prometheus*)。
-
选择 * 继续 * 以在网格管理器中保存证书。
更新后的证书将显示在客户端选项卡上。
附加新的客户端证书
您可以在当前证书过期后上传新证书。
-
选择 * 配置 * > * 安全性 * > * 证书 * ,然后选择 * 客户端 * 选项卡。
表中列出了证书到期日期和 Prometheus 访问权限。如果证书即将过期或已过期,则表中会显示一条消息并触发警报。
-
选择要编辑的证书。
-
选择 * 编辑 * ,然后选择编辑选项。
上传证书复制证书文本以粘贴到其他位置。
-
选择 * 上传证书 * ,然后选择 * 继续 * 。
-
上载客户端证书名称(
.pem
)。选择 * 客户端证书详细信息 * 以显示证书元数据和证书 PEM 。
-
选择 * 下载证书 * 以保存证书文件。
指定证书文件名和下载位置。使用扩展名保存文件
.pem
。
例如:
storagegrid_certificate.pem
-
选择 * 复制证书 PEM* 将证书内容复制到其他位置进行粘贴。
-
-
选择 * 创建 * 以在网格管理器中保存证书。
更新后的证书将显示在客户端选项卡上。
生成证书生成要粘贴到其他位置的证书文本。
-
选择 * 生成证书 * 。
-
指定证书信息:
-
主题(可选):证书所有者的X.509主题或可分辨名称(DN)。
-
有效天数:生成的证书自生成之日起生效的天数。
-
添加密钥用法扩展:如果选择(默认值和建议值),则会将密钥用法扩展和扩展密钥用法扩展添加到生成的证书中。
这些扩展定义了证书中所含密钥的用途。
除非在证书包含这些扩展时遇到与旧客户端的连接问题、否则保持选中此复选框。 -
-
选择 * 生成 * 。
-
选择 * 客户端证书详细信息 * 以显示证书元数据和证书 PEM 。
关闭此对话框后,您将无法查看此证书专用密钥。将密钥复制或下载到安全位置。 -
选择 * 复制证书 PEM* 将证书内容复制到其他位置进行粘贴。
-
选择 * 下载证书 * 以保存证书文件。
指定证书文件名和下载位置。使用扩展名保存文件
.pem
。
例如:
storagegrid_certificate.pem
-
选择 * 复制私钥 * 可复制证书私钥以粘贴到其他位置。
-
选择 * 下载私钥 * 将私钥另存为文件。
指定私钥文件名和下载位置。
-
-
选择 * 创建 * 以在网格管理器中保存证书。
新证书将显示在客户端选项卡上。
-
下载或复制客户端证书
您可以下载或复制客户端证书以供其他位置使用。
-
选择 * 配置 * > * 安全性 * > * 证书 * ,然后选择 * 客户端 * 选项卡。
-
选择要复制或下载的证书。
-
下载或复制证书。
下载证书文件下载证书 `.pem`文件。
-
选择 * 下载证书 * 。
-
指定证书文件名和下载位置。使用扩展名保存文件
.pem
。例如:
storagegrid_certificate.pem
复制证书复制证书文本以粘贴到其他位置。
-
选择 * 复制证书 PEM* 。
-
将复制的证书粘贴到文本编辑器中。
-
使用扩展名保存文本文件
.pem
。例如:
storagegrid_certificate.pem
-
删除客户端证书
如果您不再需要管理员客户端证书,可以将其删除。
-
选择 * 配置 * > * 安全性 * > * 证书 * ,然后选择 * 客户端 * 选项卡。
-
选择要删除的证书。
-
选择 * 删除 * ,然后确认。
要删除最多 10 个证书,请在客户端选项卡上选择要删除的每个证书,然后选择 * 操作 * > * 删除 * 。 |
删除证书后,使用该证书的客户端必须指定一个新的客户端证书,才能访问 StorageGRID Prometheus 数据库。