Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

配置S3 API证书

贡献者

您可以替换或还原用于将S3客户端连接到存储节点或负载平衡器端点的服务器证书。替换的自定义服务器证书特定于您的组织。

提示 Swift详细信息已从此版本的文档站点中删除。请参阅。 "StorageGRID 11.8:配置S3和Swift API证书"
关于此任务

默认情况下,每个存储节点都会获得一个由网格 CA 签名的 X.509 服务器证书。这些 CA 签名的证书可以替换为一个通用的自定义服务器证书和相应的专用密钥。

所有存储节点都使用一个自定义服务器证书,因此,如果客户端在连接到存储端点时需要验证主机名,则必须将此证书指定为通配符或多域证书。定义自定义证书,使其与网格中的所有存储节点匹配。

在服务器上完成配置后、您可能还需要在要用于访问系统的S3 API客户端中安装Grid CA证书、具体取决于您使用的根证书颁发机构(CA)。

备注 为确保操作不会因服务器证书失败而中断、根服务器证书即将到期时会触发* S3 API*全局服务器证书到期*警报。根据需要,您可以通过选择*configuration*>*Security*>*Certificates*并在全局选项卡上查看S3 API证书的到期日期来查看当前证书的到期时间。

您可以上传或生成自定义S3 API证书。

添加自定义S3 API证书

步骤
  1. 选择 * 配置 * > * 安全性 * > * 证书 * 。

  2. 在*全局*选项卡上,选择*S3 API certificer*。

  3. 选择 * 使用自定义证书 * 。

  4. 上传或生成证书。

    上传证书

    上传所需的服务器证书文件。

    1. 选择 * 上传证书 * 。

    2. 上传所需的服务器证书文件:

      • * 服务器证书 * :自定义服务器证书文件( PEM 编码)。

      • 证书专用密钥:自定义服务器证书专用密钥文件(.key)。

        备注 EC 私钥必须大于或等于 224 位。RSA 私钥必须大于或等于 2048 位。
      • * CA bundle* :一个可选文件,其中包含来自每个中间颁发证书颁发机构的证书。此文件应包含 PEM 编码的每个 CA 证书文件,并按证书链顺序串联。

    3. 选择证书详细信息以显示已上传的每个自定义S3 API证书的元数据和PEM。如果您上传了可选的 CA 包,则每个证书都会显示在其自己的选项卡上。

      • 选择 * 下载证书 * 以保存证书文件,或者选择 * 下载 CA 捆绑包 * 以保存证书捆绑包。

        指定证书文件名和下载位置。使用扩展名保存文件 .pem

      例如: storagegrid_certificate.pem

      • 选择 * 复制证书 PEM* 或 * 复制 CA 捆绑包 PEM* ,将证书内容复制到其他位置进行粘贴。

    4. 选择 * 保存 * 。

      自定义服务器证书将用于后续的新S3客户端连接。

    生成证书

    生成服务器证书文件。

    1. 选择 * 生成证书 * 。

    2. 指定证书信息:

      字段 说明

      域名

      要包含在证书中的一个或多个完全限定域名。使用 * 作为通配符表示多个域名。

      IP

      要包含在证书中的一个或多个IP地址。

      主题(可选)

      证书所有者的X.509主题或可分辨名称(DN)。

      如果未在此字段中输入值、则生成的证书将使用第一个域名或IP地址作为使用者公用名(CN)。

      有效天数

      创建后证书过期的天数。

      添加密钥用法扩展

      如果选中(默认值和建议值)、则会将密钥用法和扩展密钥用法扩展添加到生成的证书中。

      这些扩展定义了证书中所含密钥的用途。

      注意:除非证书包含这些扩展时遇到与旧客户端的连接问题,否则请保持选中此复选框。

    3. 选择 * 生成 * 。

    4. 选择*Certificate Details*以显示生成的自定义S3 API证书的元数据和PEM。

      • 选择 * 下载证书 * 以保存证书文件。

        指定证书文件名和下载位置。使用扩展名保存文件 .pem

      例如: storagegrid_certificate.pem

      • 选择 * 复制证书 PEM* 将证书内容复制到其他位置进行粘贴。

    5. 选择 * 保存 * 。

      自定义服务器证书将用于后续的新S3客户端连接。

  5. 选择一个选项卡以显示默认 StorageGRID 服务器证书,已上传的 CA 签名证书或已生成的自定义证书的元数据。

    备注 上传或生成新证书后,请留出最多一天的时间来清除任何相关证书到期警报。
  6. 刷新页面以确保 Web 浏览器已更新。

  7. 添加自定义S3 API证书后、S3 API证书页面将显示正在使用的自定义S3 API证书的详细证书信息。+ 您可以根据需要下载或复制证书 PEM 。

还原默认S3 API证书

您可以还原为使用默认S3 API证书进行S3客户端与存储节点的连接。但是、不能对负载平衡器端点使用默认S3 API证书。

步骤
  1. 选择 * 配置 * > * 安全性 * > * 证书 * 。

  2. 在*全局*选项卡上,选择*S3 API certificer*。

  3. 选择 * 使用默认证书 * 。

    还原全局S3 API证书的默认版本时、您配置的自定义服务器证书文件将被删除、并且无法从系统中恢复。默认的S3 API证书将用于后续与存储节点的新S3客户端连接。

  4. 选择*OK*确认警告并还原默认S3 API证书。

    如果您具有root访问权限、并且自定义S3 API证书已用于负载平衡器端点连接、则会显示一个列表、其中列出了无法再使用默认S3 API证书访问的负载平衡器端点。转到"配置负载平衡器端点"以编辑或删除受影响的端点。

  5. 刷新页面以确保 Web 浏览器已更新。

下载或复制S3 API证书

您可以保存或复制S3 API证书内容以供其他地方使用。

步骤
  1. 选择 * 配置 * > * 安全性 * > * 证书 * 。

  2. 在*全局*选项卡上,选择*S3 API certificer*。

  3. 选择 * 服务器 * 或 * CA 捆绑包 * 选项卡,然后下载或复制证书。

    下载证书文件或 CA 包

    下载证书或CA包 `.pem`文件。如果您使用的是可选的 CA 包,则该包中的每个证书都会显示在其自己的子选项卡上。

    1. 选择 * 下载证书 * 或 * 下载 CA 捆绑包 * 。

      如果要下载 CA 包,则 CA 包二级选项卡中的所有证书将作为一个文件下载。

    2. 指定证书文件名和下载位置。使用扩展名保存文件 .pem

      例如: storagegrid_certificate.pem

    复制证书或 CA 捆绑包 PEM

    复制证书文本以粘贴到其他位置。如果您使用的是可选的 CA 包,则该包中的每个证书都会显示在其自己的子选项卡上。

    1. 选择 * 复制证书 PEM* 或 * 复制 CA 捆绑包 PEM* 。

      如果要复制 CA 包,则 CA 包二级选项卡中的所有证书会同时复制在一起。

    2. 将复制的证书粘贴到文本编辑器中。

    3. 使用扩展名保存文本文件 .pem

      例如: storagegrid_certificate.pem