配置管理接口证书
您可以将默认管理接口证书替换为一个自定义证书,使用户可以访问 Grid Manager 和租户管理器,而不会遇到安全警告。您还可以还原到默认管理接口证书或生成新的管理接口证书。
默认情况下,每个管理节点都会获得一个由网格 CA 签名的证书。这些 CA 签名的证书可以替换为一个通用的自定义管理接口证书和相应的专用密钥。
由于所有管理节点都使用一个自定义管理接口证书,因此,如果客户端在连接到网格管理器和租户管理器时需要验证主机名,则必须将此证书指定为通配符或多域证书。定义自定义证书,使其与网格中的所有管理节点匹配。
您需要在服务器上完成配置,根据所使用的根证书颁发机构( CA ),用户可能还需要在用于访问网格管理器和租户管理器的 Web 浏览器中安装网格 CA 证书。
为确保操作不会因服务器证书失败而中断,当此服务器证书即将到期时,将触发*管理接口的服务器证书到期*警报。根据需要,您可以通过选择 * 配置 * > * 安全性 * > * 证书 * 并在全局选项卡上查看管理接口证书的到期日期来查看当前证书的到期时间。 |
如果您要使用域名而非 IP 地址访问网格管理器或租户管理器,则在发生以下任一情况时,浏览器将显示证书错误,并且无法绕过此错误:
|
添加自定义管理接口证书
要添加自定义管理接口证书,您可以提供自己的证书或使用网格管理器生成一个证书。
-
选择 * 配置 * > * 安全性 * > * 证书 * 。
-
在 * 全局 * 选项卡上,选择 * 管理接口证书 * 。
-
选择 * 使用自定义证书 * 。
-
上传或生成证书。
上传证书上传所需的服务器证书文件。
-
选择 * 上传证书 * 。
-
上传所需的服务器证书文件:
-
* 服务器证书 * :自定义服务器证书文件( PEM 编码)。
-
证书专用密钥:自定义服务器证书专用密钥文件(
.key
)。EC 私钥必须大于或等于 224 位。RSA 私钥必须大于或等于 2048 位。 -
* CA bundle* :一个可选文件,其中包含来自每个中间颁发证书颁发机构( CA )的证书。此文件应包含 PEM 编码的每个 CA 证书文件,并按证书链顺序串联。
-
-
展开 * 证书详细信息 * 以查看您上传的每个证书的元数据。如果您上传了可选的 CA 包,则每个证书都会显示在其自己的选项卡上。
-
选择 * 下载证书 * 以保存证书文件,或者选择 * 下载 CA 捆绑包 * 以保存证书捆绑包。
指定证书文件名和下载位置。使用扩展名保存文件
.pem
。
例如:
storagegrid_certificate.pem
-
选择 * 复制证书 PEM* 或 * 复制 CA 捆绑包 PEM* ,将证书内容复制到其他位置进行粘贴。
-
-
选择 * 保存 * 。+ 自定义管理接口证书用于此后与网格管理器,租户管理器,网格管理器 API 或租户管理器 API 的所有新连接。
生成证书生成服务器证书文件。
生产环境的最佳实践是使用由外部证书颁发机构签名的自定义管理接口证书。 -
选择 * 生成证书 * 。
-
指定证书信息:
字段 说明 域名
要包含在证书中的一个或多个完全限定域名。使用 * 作为通配符表示多个域名。
IP
要包含在证书中的一个或多个IP地址。
主题(可选)
证书所有者的X.509主题或可分辨名称(DN)。
如果未在此字段中输入值、则生成的证书将使用第一个域名或IP地址作为使用者公用名(CN)。
有效天数
创建后证书过期的天数。
添加密钥用法扩展
如果选中(默认值和建议值)、则会将密钥用法和扩展密钥用法扩展添加到生成的证书中。
这些扩展定义了证书中所含密钥的用途。
注意:除非证书包含这些扩展时遇到与旧客户端的连接问题,否则请保持选中此复选框。
-
选择 * 生成 * 。
-
选择 * 证书详细信息 * 可查看生成的证书的元数据。
-
选择 * 下载证书 * 以保存证书文件。
指定证书文件名和下载位置。使用扩展名保存文件
.pem
。
例如:
storagegrid_certificate.pem
-
选择 * 复制证书 PEM* 将证书内容复制到其他位置进行粘贴。
-
-
选择 * 保存 * 。+ 自定义管理接口证书用于此后与网格管理器,租户管理器,网格管理器 API 或租户管理器 API 的所有新连接。
-
-
刷新页面以确保 Web 浏览器已更新。
上传或生成新证书后,请留出最多一天的时间来清除任何相关证书到期警报。 -
添加自定义管理接口证书后, " 管理接口证书 " 页面将显示正在使用的证书的详细证书信息。+ 您可以根据需要下载或复制证书 PEM 。
还原默认管理接口证书
您可以使用网格管理器和租户管理器连接的默认管理接口证书还原到。
-
选择 * 配置 * > * 安全性 * > * 证书 * 。
-
在 * 全局 * 选项卡上,选择 * 管理接口证书 * 。
-
选择 * 使用默认证书 * 。
还原默认管理接口证书时、您配置的自定义服务器证书文件将被删除、并且无法从系统中恢复。默认管理接口证书将用于所有后续的新客户端连接。
-
刷新页面以确保 Web 浏览器已更新。
使用脚本生成新的自签名管理接口证书
如果需要严格验证主机名,可以使用脚本生成管理接口证书。
-
您拥有 "特定访问权限"。
-
您已获得 `Passwords.txt`文件。
生产环境的最佳实践是使用由外部证书颁发机构签名的证书。
-
获取每个管理节点的完全限定域名( FQDN )。
-
登录到主管理节点:
-
输入以下命令:
ssh admin@primary_Admin_Node_IP
-
输入文件中列出的密码
Passwords.txt
。 -
输入以下命令切换到root:
su -
-
输入文件中列出的密码
Passwords.txt
。当您以root用户身份登录时,提示符将从更
$`改为 `#
。
-
-
使用新的自签名证书配置 StorageGRID 。
$ sudo make-certificate --domains wildcard-admin-node-fqdn --type management
-
对于
--domains
,请使用通配符表示所有管理节点的完全限定域名。例如,*.ui.storagegrid.example.com`使用*通配符表示 `admin1.ui.storagegrid.example.com`和 `admin2.ui.storagegrid.example.com
。 -
设置 `--type`为 `management`可配置网格管理器和租户管理器使用的管理接口证书。
-
默认情况下,生成的证书有效期为一年( 365 天),必须在证书过期之前重新创建。您可以使用 `--days`参数覆盖默认有效期。
证书的有效期从运行时开始 make-certificate
。您必须确保管理客户端与 StorageGRID 同步到同一个时间源;否则,客户端可能会拒绝此证书。$ sudo make-certificate --domains *.ui.storagegrid.example.com --type management --days 720
生成的输出包含管理 API 客户端所需的公有 证书。
-
-
选择并复制证书。
在您的选择中包括开始和结束标记。
-
从命令Shell中注销。
$ exit
-
确认已配置证书:
-
访问网格管理器。
-
选择 * 配置 * > * 安全性 * > * 证书 *
-
在 * 全局 * 选项卡上,选择 * 管理接口证书 * 。
-
-
将管理客户端配置为使用您复制的公有 证书。包括开始和结束标记。
下载或复制管理接口证书
您可以保存或复制管理接口证书内容,以便在其他位置使用。
-
选择 * 配置 * > * 安全性 * > * 证书 * 。
-
在 * 全局 * 选项卡上,选择 * 管理接口证书 * 。
-
选择 * 服务器 * 或 * CA 捆绑包 * 选项卡,然后下载或复制证书。
下载证书文件或 CA 包下载证书或CA包 `.pem`文件。如果您使用的是可选的 CA 包,则该包中的每个证书都会显示在其自己的子选项卡上。
-
选择 * 下载证书 * 或 * 下载 CA 捆绑包 * 。
如果要下载 CA 包,则 CA 包二级选项卡中的所有证书将作为一个文件下载。
-
指定证书文件名和下载位置。使用扩展名保存文件
.pem
。例如:
storagegrid_certificate.pem
复制证书或 CA 捆绑包 PEM复制证书文本以粘贴到其他位置。如果您使用的是可选的 CA 包,则该包中的每个证书都会显示在其自己的子选项卡上。
-
选择 * 复制证书 PEM* 或 * 复制 CA 捆绑包 PEM* 。
如果要复制 CA 包,则 CA 包二级选项卡中的所有证书会同时复制在一起。
-
将复制的证书粘贴到文本编辑器中。
-
使用扩展名保存文本文件
.pem
。例如:
storagegrid_certificate.pem
-