設定用戶端憑證
用戶端憑證可讓獲授權的外部用戶端存取StorageGRID 《The》《The VMware資料庫》、為外部工具提供安全的監控StorageGRID 方式。
如果您需要StorageGRID 使用外部監控工具存取功能、則必須使用Grid Manager上傳或產生用戶端憑證、並將憑證資訊複製到外部工具。
為了確保作業不會因為失敗的伺服器憑證而中斷、當此伺服器憑證即將過期時、會觸發「憑證頁面*」警示中設定的用戶端憑證過期。如有需要、您可以選取*組態*>*安全性*>*憑證*來檢視目前憑證的到期日、並在「用戶端」索引標籤上查看用戶端憑證的到期日。 |
如果您使用金鑰管理伺服器(KMS)來保護特殊設定應用裝置節點上的資料、請參閱相關的特定資訊 上傳KMS用戶端憑證。 |
-
您擁有root存取權限。
-
您將使用登入Grid Manager 支援的網頁瀏覽器。
-
若要設定用戶端憑證:
-
您擁有管理節點的IP位址或網域名稱。
-
如果您已設定StorageGRID 完整套管理介面認證、則會使用CA、用戶端認證和私密金鑰來設定管理介面認證。
-
若要上傳您自己的憑證、您可以在本機電腦上取得該憑證的私密金鑰。
-
私密金鑰必須在建立時已儲存或記錄。如果您沒有原始的私密金鑰、則必須建立新的金鑰。
-
-
若要編輯用戶端憑證:
-
您擁有管理節點的IP位址或網域名稱。
-
若要上傳您自己的憑證或新的憑證、您的本機電腦上可以使用私密金鑰、用戶端憑證和CA(如果使用)。
-
新增用戶端憑證
依照案例中的程序新增用戶端憑證:
管理介面憑證已設定
如果已使用客戶提供的CA、用戶端憑證和私密金鑰來設定管理介面憑證、請使用此程序來新增用戶端憑證。
-
在Grid Manager中、選取*組態*>*安全性*>*憑證*、然後選取*用戶端*索引標籤。
-
選取*「Add*」。
-
輸入至少包含1個且不超過32個字元的憑證名稱。
-
若要使用外部監控工具存取Prometheus指標、請選取*允許Prometheus*。
-
在「憑證類型」區段中、上傳管理介面憑證「.pem」檔案。
-
選擇*上傳認證*、然後選擇*繼續*。
-
上傳管理介面憑證檔案(`.pem')。
-
選取*用戶端憑證詳細資料*以顯示憑證中繼資料和憑證PEE。
-
選取*複製憑證PEP*以複製憑證內容以貼到其他位置。
-
-
選取*「Create」(建立)*以在Grid Manager中儲存憑證。
新的憑證會顯示在「用戶端」索引標籤上。
-
-
在外部監控工具(例如Grafana)上設定下列設定。
-
名稱:輸入連線名稱。
不需要此資訊、但您必須提供名稱來測試連線。StorageGRID
-
* URL*:輸入管理節點的網域名稱或IP位址。指定HTTPS和連接埠9091。
例如:「https://admin-node.example.com:9091`」
-
啟用* TLS用戶端驗證*和* CA認證*。
-
在「TLS/SSL驗證詳細資料」下、複製並貼上:+
-
管理介面CA憑證至「**CA認證」
-
用戶端認證至*用戶端認證
-
用於**用戶端金鑰*的私密金鑰
-
-
伺服器名稱:輸入管理節點的網域名稱。
伺服器名稱必須符合管理介面憑證中顯示的網域名稱。
-
儲存並測試您從StorageGRID 餐廳或本機檔案複製的憑證和私密金鑰。
您現在可以StorageGRID 使用外部監控工具、從功能表上存取Prometheus指標。
如需度量的相關資訊、請參閱 監控StorageGRID 功能說明。
-
CA發行的用戶端憑證
如果未設定管理介面憑證、且您計畫新增使用CA發行用戶端憑證和私密金鑰的Prometheus用戶端憑證、請使用此程序來新增管理員用戶端憑證。
-
執行步驟至 設定管理介面憑證。
-
在Grid Manager中、選取*組態*>*安全性*>*憑證*、然後選取*用戶端*索引標籤。
-
選取*「Add*」。
-
輸入至少包含1個且不超過32個字元的憑證名稱。
-
若要使用外部監控工具存取Prometheus指標、請選取*允許Prometheus*。
-
在「憑證類型」區段中、上傳用戶端憑證、私密金鑰和CA套裝組合「.pem」檔案:
-
選擇*上傳認證*、然後選擇*繼續*。
-
上傳用戶端憑證、私密金鑰和CA套裝組合檔案(`.pem')。
-
選取*用戶端憑證詳細資料*以顯示憑證中繼資料和憑證PEE。
-
選取*複製憑證PEP*以複製憑證內容以貼到其他位置。
-
-
選取*「Create」(建立)*以在Grid Manager中儲存憑證。
新的憑證會顯示在「用戶端」索引標籤上。
-
-
在外部監控工具(例如Grafana)上設定下列設定。
-
名稱:輸入連線名稱。
不需要此資訊、但您必須提供名稱來測試連線。StorageGRID
-
* URL*:輸入管理節點的網域名稱或IP位址。指定HTTPS和連接埠9091。
例如:「https://admin-node.example.com:9091`」
-
啟用* TLS用戶端驗證*和* CA認證*。
-
在「TLS/SSL驗證詳細資料」下、複製並貼上:+
-
管理介面CA憑證至「**CA認證」
-
用戶端認證至*用戶端認證
-
用於**用戶端金鑰*的私密金鑰
-
-
伺服器名稱:輸入管理節點的網域名稱。
伺服器名稱必須符合管理介面憑證中顯示的網域名稱。
-
儲存並測試您從StorageGRID 餐廳或本機檔案複製的憑證和私密金鑰。
您現在可以StorageGRID 使用外部監控工具、從功能表上存取Prometheus指標。
如需度量的相關資訊、請參閱 監控StorageGRID 功能說明。
-
從Grid Manager產生憑證
如果管理介面憑證尚未設定、且您計畫在Grid Manager中新增使用產生憑證功能的Prometheus用戶端憑證、請使用此程序來新增管理員用戶端憑證。
-
在Grid Manager中、選取*組態*>*安全性*>*憑證*、然後選取*用戶端*索引標籤。
-
選取*「Add*」。
-
輸入至少包含1個且不超過32個字元的憑證名稱。
-
若要使用外部監控工具存取Prometheus指標、請選取*允許Prometheus*。
-
在*憑證類型*區段中、選取*產生憑證*。
-
指定憑證資訊:
-
網域名稱:要包含在憑證中的管理節點之一或多個完整網域名稱。使用*作為萬用字元來代表多個網域名稱。
-
* IP*:要包含在憑證中的一個或多個管理節點IP位址。
-
主體:憑證擁有者的X.509主體或辨別名稱(DN)。
-
-
選取*產生*。
-
[Client_cert詳細資料]選取*用戶端憑證詳細資料*以顯示憑證中繼資料和憑證PEE。
關閉對話方塊後、您將無法檢視憑證私密金鑰。將金鑰複製或下載到安全位置。 -
選取*複製憑證PEP*以複製憑證內容以貼到其他位置。
-
選取*下載憑證*以儲存憑證檔案。
指定憑證檔案名稱和下載位置。儲存副檔名為「.pem」的檔案。
例如:「toragegrid憑證.pem」
-
選取*複製私密金鑰*以複製憑證私密金鑰、以便貼到其他位置。
-
選取*下載私密金鑰*將私密金鑰儲存為檔案。
指定私密金鑰檔案名稱和下載位置。
-
-
選取*「Create」(建立)*以在Grid Manager中儲存憑證。
新的憑證會顯示在「用戶端」索引標籤上。
-
在Grid Manager中、選取*組態*>*安全性*>*憑證*、然後選取*全域*索引標籤。
-
選擇*管理介面認證*。
-
選擇*使用自訂憑證*。
-
從上傳認證.pem和Private金鑰.pem檔案 用戶端憑證詳細資料 步驟。不需要上傳CA套裝組合。
-
選擇*上傳認證*、然後選擇*繼續*。
-
上傳每個憑證檔案(`.pem')。
-
選取*「Create」(建立)*以在Grid Manager中儲存憑證。
新的憑證會顯示在「用戶端」索引標籤上。
-
-
在外部監控工具(例如Grafana)上設定下列設定。
-
名稱:輸入連線名稱。
不需要此資訊、但您必須提供名稱來測試連線。StorageGRID
-
* URL*:輸入管理節點的網域名稱或IP位址。指定HTTPS和連接埠9091。
例如:「https://admin-node.example.com:9091`」
-
啟用* TLS用戶端驗證*和* CA認證*。
-
在「TLS/SSL驗證詳細資料」下、複製並貼上:+
-
管理介面用戶端憑證同時提供給「 CA認證」和「用戶端認證」
-
用於**用戶端金鑰*的私密金鑰
-
-
伺服器名稱:輸入管理節點的網域名稱。
伺服器名稱必須符合管理介面憑證中顯示的網域名稱。
-
儲存並測試您從StorageGRID 餐廳或本機檔案複製的憑證和私密金鑰。
您現在可以StorageGRID 使用外部監控工具、從功能表上存取Prometheus指標。
如需度量的相關資訊、請參閱 監控StorageGRID 功能說明。
-
編輯用戶端憑證
您可以編輯系統管理員用戶端憑證來變更其名稱、啟用或停用Prometheus存取、或是在目前憑證過期時上傳新的憑證。
-
選擇*組態*>*安全性*>*憑證*、然後選擇*用戶端*索引標籤。
下表列出憑證到期日和Prometheus存取權限。如果憑證即將到期或已過期、表格中會出現訊息、並觸發警示。
-
選取您要編輯的憑證。
-
選取*編輯*、然後選取*編輯名稱和權限*
-
輸入至少包含1個且不超過32個字元的憑證名稱。
-
若要使用外部監控工具存取Prometheus指標、請選取*允許Prometheus*。
-
選擇*繼續*以在Grid Manager中儲存憑證。
更新的憑證會顯示在「用戶端」索引標籤上。
附加新的用戶端憑證
您可以在目前的憑證過期時上傳新的憑證。
-
選擇*組態*>*安全性*>*憑證*、然後選擇*用戶端*索引標籤。
下表列出憑證到期日和Prometheus存取權限。如果憑證即將到期或已過期、表格中會出現訊息、並觸發警示。
-
選取您要編輯的憑證。
-
選取*編輯*、然後選取編輯選項。
上傳憑證複製憑證文字以貼到其他位置。
-
選擇*上傳認證*、然後選擇*繼續*。
-
上傳用戶端憑證名稱(`.pem')。
選取*用戶端憑證詳細資料*以顯示憑證中繼資料和憑證PEE。
-
選取*下載憑證*以儲存憑證檔案。
指定憑證檔案名稱和下載位置。儲存副檔名為「.pem」的檔案。
例如:「toragegrid憑證.pem」
-
選取*複製憑證PEP*以複製憑證內容以貼到其他位置。
-
-
選取*「Create」(建立)*以在Grid Manager中儲存憑證。
更新的憑證會顯示在「用戶端」索引標籤上。
產生憑證產生要貼到其他位置的憑證文字。
-
選擇*產生憑證*。
-
指定憑證資訊:
-
網域名稱:要包含在憑證中的一或多個完整網域名稱。使用*作為萬用字元來代表多個網域名稱。
-
* IP*:一個或多個IP位址要納入憑證中。
-
主體:憑證擁有者的X.509主體或辨別名稱(DN)。
-
有效天數:憑證建立後到期的天數。
-
-
選取*產生*。
-
選取*用戶端憑證詳細資料*以顯示憑證中繼資料和憑證PEE。
關閉對話方塊後、您將無法檢視憑證私密金鑰。將金鑰複製或下載到安全位置。 -
選取*複製憑證PEP*以複製憑證內容以貼到其他位置。
-
選取*下載憑證*以儲存憑證檔案。
指定憑證檔案名稱和下載位置。儲存副檔名為「.pem」的檔案。
例如:「toragegrid憑證.pem」
-
選取*複製私密金鑰*以複製憑證私密金鑰、以便貼到其他位置。
-
選取*下載私密金鑰*將私密金鑰儲存為檔案。
指定私密金鑰檔案名稱和下載位置。
-
-
選取*「Create」(建立)*以在Grid Manager中儲存憑證。
新的憑證會顯示在「用戶端」索引標籤上。
-
下載或複製用戶端憑證
您可以下載或複製用戶端憑證、以便在其他地方使用。
-
選擇*組態*>*安全性*>*憑證*、然後選擇*用戶端*索引標籤。
-
選取您要複製或下載的憑證。
-
下載或複製憑證。
下載憑證檔案下載憑證「.pem」檔案。
-
選擇*下載憑證*。
-
指定憑證檔案名稱和下載位置。儲存副檔名為「.pem」的檔案。
例如:「toragegrid憑證.pem」
複製憑證複製憑證文字以貼到其他位置。
-
選擇*複製憑證PEP*。
-
將複製的憑證貼到文字編輯器中。
-
儲存副檔名為「.pem」的文字檔。
例如:「toragegrid憑證.pem」
-
移除用戶端憑證
如果不再需要系統管理員用戶端憑證、您可以將其移除。
-
選擇*組態*>*安全性*>*憑證*、然後選擇*用戶端*索引標籤。
-
選取您要移除的憑證。
-
選擇*刪除*、然後確認。
若要移除最多10個憑證、請在「用戶端」索引標籤上選取要移除的每個憑證、然後選取*「動作」>「刪除」*。 |
移除憑證後、使用該憑證的用戶端必須指定新的用戶端憑證、才能存取StorageGRID 《The動ePrometheus資料庫》。