Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定用戶端憑證

貢獻者
PDF

用戶端憑證可讓獲授權的外部用戶端存取StorageGRID 《The》《The VMware資料庫》、為外部工具提供安全的監控StorageGRID 方式。

如果您需要StorageGRID 使用外部監控工具存取功能、則必須使用Grid Manager上傳或產生用戶端憑證、並將憑證資訊複製到外部工具。

請參閱相關資訊 一般安全性憑證使用設定自訂伺服器憑證

註 為了確保作業不會因為失敗的伺服器憑證而中斷、當此伺服器憑證即將過期時、會觸發「憑證頁面*」警示中設定的用戶端憑證過期。如有需要、您可以選取*組態*>*安全性*>*憑證*來檢視目前憑證的到期日、並在「用戶端」索引標籤上查看用戶端憑證的到期日。
註 如果您使用金鑰管理伺服器(KMS)來保護特殊設定應用裝置節點上的資料、請參閱相關的特定資訊 上傳KMS用戶端憑證
您需要的產品

  • 您擁有root存取權限。

  • 您將使用登入Grid Manager 支援的網頁瀏覽器

  • 若要設定用戶端憑證:

    • 您擁有管理節點的IP位址或網域名稱。

    • 如果您已設定StorageGRID 完整套管理介面認證、則會使用CA、用戶端認證和私密金鑰來設定管理介面認證。

    • 若要上傳您自己的憑證、您可以在本機電腦上取得該憑證的私密金鑰。

    • 私密金鑰必須在建立時已儲存或記錄。如果您沒有原始的私密金鑰、則必須建立新的金鑰。

  • 若要編輯用戶端憑證:

    • 您擁有管理節點的IP位址或網域名稱。

    • 若要上傳您自己的憑證或新的憑證、您的本機電腦上可以使用私密金鑰、用戶端憑證和CA(如果使用)。

新增用戶端憑證

依照案例中的程序新增用戶端憑證:

管理介面憑證已設定

如果已使用客戶提供的CA、用戶端憑證和私密金鑰來設定管理介面憑證、請使用此程序來新增用戶端憑證。

步驟

  1. 在Grid Manager中、選取*組態*>*安全性*>*憑證*、然後選取*用戶端*索引標籤。

  2. 選取*「Add*」。

  3. 輸入至少包含1個且不超過32個字元的憑證名稱。

  4. 若要使用外部監控工具存取Prometheus指標、請選取*允許Prometheus*。

  5. 在「憑證類型」區段中、上傳管理介面憑證「.pem」檔案。

    1. 選擇*上傳認證*、然後選擇*繼續*。

    2. 上傳管理介面憑證檔案(`.pem')。

      • 選取*用戶端憑證詳細資料*以顯示憑證中繼資料和憑證PEE。

      • 選取*複製憑證PEP*以複製憑證內容以貼到其他位置。

    3. 選取*「Create」(建立)*以在Grid Manager中儲存憑證。

      新的憑證會顯示在「用戶端」索引標籤上。

  6. 在外部監控工具(例如Grafana)上設定下列設定。

    1. 名稱:輸入連線名稱。

      不需要此資訊、但您必須提供名稱來測試連線。StorageGRID

    2. * URL*:輸入管理節點的網域名稱或IP位址。指定HTTPS和連接埠9091。

      例如:「https://admin-node.example.com:9091`」

    3. 啟用* TLS用戶端驗證*和* CA認證*。

    4. 在「TLS/SSL驗證詳細資料」下、複製並貼上:+

      • 管理介面CA憑證至「**CA認證」

      • 用戶端認證至*用戶端認證

      • 用於**用戶端金鑰*的私密金鑰

    5. 伺服器名稱:輸入管理節點的網域名稱。

      伺服器名稱必須符合管理介面憑證中顯示的網域名稱。

    6. 儲存並測試您從StorageGRID 餐廳或本機檔案複製的憑證和私密金鑰。

      您現在可以StorageGRID 使用外部監控工具、從功能表上存取Prometheus指標。

    如需度量的相關資訊、請參閱 監控StorageGRID 功能說明

CA發行的用戶端憑證

如果未設定管理介面憑證、且您計畫新增使用CA發行用戶端憑證和私密金鑰的Prometheus用戶端憑證、請使用此程序來新增管理員用戶端憑證。

步驟

  1. 執行步驟至 設定管理介面憑證

  2. 在Grid Manager中、選取*組態*>*安全性*>*憑證*、然後選取*用戶端*索引標籤。

  3. 選取*「Add*」。

  4. 輸入至少包含1個且不超過32個字元的憑證名稱。

  5. 若要使用外部監控工具存取Prometheus指標、請選取*允許Prometheus*。

  6. 在「憑證類型」區段中、上傳用戶端憑證、私密金鑰和CA套裝組合「.pem」檔案:

    1. 選擇*上傳認證*、然後選擇*繼續*。

    2. 上傳用戶端憑證、私密金鑰和CA套裝組合檔案(`.pem')。

      • 選取*用戶端憑證詳細資料*以顯示憑證中繼資料和憑證PEE。

      • 選取*複製憑證PEP*以複製憑證內容以貼到其他位置。

    3. 選取*「Create」(建立)*以在Grid Manager中儲存憑證。

      新的憑證會顯示在「用戶端」索引標籤上。

  7. 在外部監控工具(例如Grafana)上設定下列設定。

    1. 名稱:輸入連線名稱。

      不需要此資訊、但您必須提供名稱來測試連線。StorageGRID

    2. * URL*:輸入管理節點的網域名稱或IP位址。指定HTTPS和連接埠9091。

      例如:「https://admin-node.example.com:9091`」

    3. 啟用* TLS用戶端驗證*和* CA認證*。

    4. 在「TLS/SSL驗證詳細資料」下、複製並貼上:+

      • 管理介面CA憑證至「**CA認證」

      • 用戶端認證至*用戶端認證

      • 用於**用戶端金鑰*的私密金鑰

    5. 伺服器名稱:輸入管理節點的網域名稱。

      伺服器名稱必須符合管理介面憑證中顯示的網域名稱。

    6. 儲存並測試您從StorageGRID 餐廳或本機檔案複製的憑證和私密金鑰。

      您現在可以StorageGRID 使用外部監控工具、從功能表上存取Prometheus指標。

    如需度量的相關資訊、請參閱 監控StorageGRID 功能說明

從Grid Manager產生憑證

如果管理介面憑證尚未設定、且您計畫在Grid Manager中新增使用產生憑證功能的Prometheus用戶端憑證、請使用此程序來新增管理員用戶端憑證。

步驟

  1. 在Grid Manager中、選取*組態*>*安全性*>*憑證*、然後選取*用戶端*索引標籤。

  2. 選取*「Add*」。

  3. 輸入至少包含1個且不超過32個字元的憑證名稱。

  4. 若要使用外部監控工具存取Prometheus指標、請選取*允許Prometheus*。

  5. 在*憑證類型*區段中、選取*產生憑證*。

  6. 指定憑證資訊:

    • 網域名稱:要包含在憑證中的管理節點之一或多個完整網域名稱。使用*作為萬用字元來代表多個網域名稱。

    • * IP*:要包含在憑證中的一個或多個管理節點IP位址。

    • 主體:憑證擁有者的X.509主體或辨別名稱(DN)。

  7. 選取*產生*。

  8. [Client_cert詳細資料]選取*用戶端憑證詳細資料*以顯示憑證中繼資料和憑證PEE。

    重要 關閉對話方塊後、您將無法檢視憑證私密金鑰。將金鑰複製或下載到安全位置。

    • 選取*複製憑證PEP*以複製憑證內容以貼到其他位置。

    • 選取*下載憑證*以儲存憑證檔案。

      指定憑證檔案名稱和下載位置。儲存副檔名為「.pem」的檔案。

    例如:「toragegrid憑證.pem」

    • 選取*複製私密金鑰*以複製憑證私密金鑰、以便貼到其他位置。

    • 選取*下載私密金鑰*將私密金鑰儲存為檔案。

      指定私密金鑰檔案名稱和下載位置。

  9. 選取*「Create」(建立)*以在Grid Manager中儲存憑證。

    新的憑證會顯示在「用戶端」索引標籤上。

  10. 在Grid Manager中、選取*組態*>*安全性*>*憑證*、然後選取*全域*索引標籤。

  11. 選擇*管理介面認證*。

  12. 選擇*使用自訂憑證*。

  13. 從上傳認證.pem和Private金鑰.pem檔案 用戶端憑證詳細資料 步驟。不需要上傳CA套裝組合。

    1. 選擇*上傳認證*、然後選擇*繼續*。

    2. 上傳每個憑證檔案(`.pem')。

    3. 選取*「Create」(建立)*以在Grid Manager中儲存憑證。

      新的憑證會顯示在「用戶端」索引標籤上。

  14. 在外部監控工具(例如Grafana)上設定下列設定。

    1. 名稱:輸入連線名稱。

      不需要此資訊、但您必須提供名稱來測試連線。StorageGRID

    2. * URL*:輸入管理節點的網域名稱或IP位址。指定HTTPS和連接埠9091。

      例如:「https://admin-node.example.com:9091`」

    3. 啟用* TLS用戶端驗證*和* CA認證*。

    4. 在「TLS/SSL驗證詳細資料」下、複製並貼上:+

      • 管理介面用戶端憑證同時提供給「 CA認證」和「用戶端認證」

      • 用於**用戶端金鑰*的私密金鑰

    5. 伺服器名稱:輸入管理節點的網域名稱。

      伺服器名稱必須符合管理介面憑證中顯示的網域名稱。

    6. 儲存並測試您從StorageGRID 餐廳或本機檔案複製的憑證和私密金鑰。

      您現在可以StorageGRID 使用外部監控工具、從功能表上存取Prometheus指標。

    如需度量的相關資訊、請參閱 監控StorageGRID 功能說明

編輯用戶端憑證

您可以編輯系統管理員用戶端憑證來變更其名稱、啟用或停用Prometheus存取、或是在目前憑證過期時上傳新的憑證。

步驟

  1. 選擇*組態*>*安全性*>*憑證*、然後選擇*用戶端*索引標籤。

    下表列出憑證到期日和Prometheus存取權限。如果憑證即將到期或已過期、表格中會出現訊息、並觸發警示。

  2. 選取您要編輯的憑證。

  3. 選取*編輯*、然後選取*編輯名稱和權限*

  4. 輸入至少包含1個且不超過32個字元的憑證名稱。

  5. 若要使用外部監控工具存取Prometheus指標、請選取*允許Prometheus*。

  6. 選擇*繼續*以在Grid Manager中儲存憑證。

    更新的憑證會顯示在「用戶端」索引標籤上。

附加新的用戶端憑證

您可以在目前的憑證過期時上傳新的憑證。

步驟

  1. 選擇*組態*>*安全性*>*憑證*、然後選擇*用戶端*索引標籤。

    下表列出憑證到期日和Prometheus存取權限。如果憑證即將到期或已過期、表格中會出現訊息、並觸發警示。

  2. 選取您要編輯的憑證。

  3. 選取*編輯*、然後選取編輯選項。

    上傳憑證

    複製憑證文字以貼到其他位置。

    1. 選擇*上傳認證*、然後選擇*繼續*。

    2. 上傳用戶端憑證名稱(`.pem')。

      選取*用戶端憑證詳細資料*以顯示憑證中繼資料和憑證PEE。

      • 選取*下載憑證*以儲存憑證檔案。

        指定憑證檔案名稱和下載位置。儲存副檔名為「.pem」的檔案。

      例如:「toragegrid憑證.pem」

      • 選取*複製憑證PEP*以複製憑證內容以貼到其他位置。

    3. 選取*「Create」(建立)*以在Grid Manager中儲存憑證。

      更新的憑證會顯示在「用戶端」索引標籤上。

    產生憑證

    產生要貼到其他位置的憑證文字。

    1. 選擇*產生憑證*。

    2. 指定憑證資訊:

      • 網域名稱:要包含在憑證中的一或多個完整網域名稱。使用*作為萬用字元來代表多個網域名稱。

      • * IP*:一個或多個IP位址要納入憑證中。

      • 主體:憑證擁有者的X.509主體或辨別名稱(DN)。

      • 有效天數:憑證建立後到期的天數。

    3. 選取*產生*。

    4. 選取*用戶端憑證詳細資料*以顯示憑證中繼資料和憑證PEE。

      重要 關閉對話方塊後、您將無法檢視憑證私密金鑰。將金鑰複製或下載到安全位置。

      • 選取*複製憑證PEP*以複製憑證內容以貼到其他位置。

      • 選取*下載憑證*以儲存憑證檔案。

        指定憑證檔案名稱和下載位置。儲存副檔名為「.pem」的檔案。

      例如:「toragegrid憑證.pem」

      • 選取*複製私密金鑰*以複製憑證私密金鑰、以便貼到其他位置。

      • 選取*下載私密金鑰*將私密金鑰儲存為檔案。

        指定私密金鑰檔案名稱和下載位置。

    5. 選取*「Create」(建立)*以在Grid Manager中儲存憑證。

      新的憑證會顯示在「用戶端」索引標籤上。

下載或複製用戶端憑證

您可以下載或複製用戶端憑證、以便在其他地方使用。

步驟

  1. 選擇*組態*>*安全性*>*憑證*、然後選擇*用戶端*索引標籤。

  2. 選取您要複製或下載的憑證。

  3. 下載或複製憑證。

    下載憑證檔案

    下載憑證「.pem」檔案。

    1. 選擇*下載憑證*。

    2. 指定憑證檔案名稱和下載位置。儲存副檔名為「.pem」的檔案。

      例如:「toragegrid憑證.pem」

    複製憑證

    複製憑證文字以貼到其他位置。

    1. 選擇*複製憑證PEP*。

    2. 將複製的憑證貼到文字編輯器中。

    3. 儲存副檔名為「.pem」的文字檔。

      例如:「toragegrid憑證.pem」

移除用戶端憑證

如果不再需要系統管理員用戶端憑證、您可以將其移除。

步驟

  1. 選擇*組態*>*安全性*>*憑證*、然後選擇*用戶端*索引標籤。

  2. 選取您要移除的憑證。

  3. 選擇*刪除*、然後確認。

註 若要移除最多10個憑證、請在「用戶端」索引標籤上選取要移除的每個憑證、然後選取*「動作」>「刪除」*。

移除憑證後、使用該憑證的用戶端必須指定新的用戶端憑證、才能存取StorageGRID 《The動ePrometheus資料庫》。