Skip to main content
此產品有較新版本可以使用。
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定S3和Swift API憑證

貢獻者

您可以取代或還原用於S3或Swift用戶端連線至儲存節點、閘道節點上已過時的連線負載平衡器(CLB)服務、或負載平衡器端點的伺服器憑證。置換的自訂伺服器憑證是您組織專屬的。

關於這項工作

根據預設、每個儲存節點都會核發由網格CA簽署的X.509伺服器憑證。這些CA簽署的憑證可由單一通用的自訂伺服器憑證和對應的私密金鑰取代。

所有儲存節點都使用單一自訂伺服器憑證、因此如果用戶端在連線至儲存端點時需要驗證主機名稱、則必須將憑證指定為萬用字元或多網域憑證。定義自訂憑證、使其符合網格中的所有儲存節點。

在伺服器上完成組態之後、您可能還需要在S3或Swift API用戶端中安裝Grid CA憑證、以便根據所使用的根憑證授權單位(CA)來存取系統。

註 為了確保作業不會因為失敗的伺服器憑證而中斷、當根伺服器憑證即將過期時、會觸發「S3的全域伺服器憑證過期」和「Swift API*警示」。如有需要、您可以選取*組態*>*安全性*>*憑證*來檢視目前憑證的到期日、並在「全域」索引標籤上查看S3和Swift API憑證的到期日。

您可以上傳或產生自訂的S3和Swift API認證。

新增自訂S3和Swift API認證

步驟
  1. 選擇*組態*>*安全性*>*憑證*。

  2. 在* Global*索引標籤上、選取* S3和Swift API認證*。

  3. 選擇*使用自訂憑證*。

  4. 上傳或產生憑證。

    上傳憑證

    上傳所需的伺服器憑證檔案。

    1. 選擇*上傳憑證*。

    2. 上傳所需的伺服器憑證檔案:

      • 伺服器憑證:自訂伺服器憑證檔案(PEM編碼)。

      • 憑證私密金鑰:自訂伺服器憑證私密金鑰檔(`.key')。

        註 EC私密金鑰必須大於或等於224位元。RSA私密金鑰必須大於或等於2048位元。
      • * CA套裝組合*:單一選用檔案、內含來自每個中繼發行憑證授權單位的憑證。檔案應包含以憑證鏈順序串聯的每個由PEE編碼的CA憑證檔案。

    3. 選取憑證詳細資料、以顯示上傳之每個自訂S3和Swift API憑證的中繼資料和PEM。如果您上傳了選用的CA套件、每個憑證都會顯示在其各自的索引標籤上。

      • 選取*下載憑證*以儲存憑證檔案、或選取*下載CA套件*以儲存憑證套件組合。

        指定憑證檔案名稱和下載位置。儲存副檔名為「.pem」的檔案。

      例如:「toragegrid憑證.pem」

      • 選擇*複製憑證PEP*或*複製CA套裝組合PEP*、即可複製憑證內容以貼到其他位置。

    4. 選擇*保存*。

      自訂伺服器憑證用於後續的S3和Swift用戶端連線。

    產生憑證

    產生伺服器憑證檔案。

    1. 選擇*產生憑證*。

    2. 指定憑證資訊:

      • 網域名稱:要包含在憑證中的一或多個完整網域名稱。使用*作為萬用字元來代表多個網域名稱。

      • * IP*:一個或多個IP位址要納入憑證中。

      • 主體:憑證擁有者的X.509主體或辨別名稱(DN)。

      • 有效天數:憑證建立後到期的天數。

    3. 選取*產生*。

    4. 選取*「憑證詳細資料」*以顯示所產生之自訂S3和Swift API憑證的中繼資料和PEM。

      • 選取*下載憑證*以儲存憑證檔案。

        指定憑證檔案名稱和下載位置。儲存副檔名為「.pem」的檔案。

      例如:「toragegrid憑證.pem」

      • 選取*複製憑證PEP*以複製憑證內容以貼到其他位置。

    5. 選擇*保存*。

      自訂伺服器憑證用於後續的S3和Swift用戶端連線。

  5. 選取索引標籤以顯示預設StorageGRID 的還原伺服器憑證的中繼資料、已上傳的CA簽署憑證、或是已產生的自訂憑證。

    註 上傳或產生新的憑證後、請允許清除任何相關的憑證過期警示一天。
  6. 重新整理頁面以確保網頁瀏覽器已更新。

  7. 新增自訂S3和Swift API憑證之後、S3和Swift API憑證頁面會顯示使用中自訂S3和Swift API憑證的詳細憑證資訊。+您可以視需要下載或複製憑證PEE。

還原預設的S3和Swift API憑證

您可以針對S3和Swift用戶端連線至儲存節點、以及閘道節點上已過時的CLB服務、恢復使用預設的S3和Swift API認證。不過、您無法將預設的S3和Swift API憑證用於負載平衡器端點。

步驟
  1. 選擇*組態*>*安全性*>*憑證*。

  2. 在* Global*索引標籤上、選取* S3和Swift API認證*。

  3. 選擇*使用預設憑證*。

    還原全域S3和Swift API憑證的預設版本時、您設定的自訂伺服器憑證檔案將會刪除、無法從系統中還原。預設的S3和Swift API憑證將用於後續的S3和Swift用戶端連線至儲存節點、以及閘道節點上已過時的CLB服務。

  4. 選取*確定*以確認警告並還原預設的S3和Swift API憑證。

    如果您具有根存取權限、而且自訂S3和Swift API憑證已用於負載平衡器端點連線、則會顯示負載平衡器端點清單、無法再使用預設S3和Swift API憑證存取。前往 設定負載平衡器端點 可編輯或刪除受影響的端點。

  5. 重新整理頁面以確保網頁瀏覽器已更新。

下載或複製S3和Swift API認證

您可以儲存或複製S3和Swift API憑證內容、以便在其他地方使用。

步驟
  1. 選擇*組態*>*安全性*>*憑證*。

  2. 在* Global*索引標籤上、選取* S3和Swift API認證*。

  3. 選取「伺服器」或「* CA套裝組合*」索引標籤、然後下載或複製憑證。

    下載憑證檔案或CA套裝組合

    下載憑證或CA套裝組合「.pem」檔案。如果您使用選用的CA套件組合、套件中的每個憑證都會顯示在其各自的子索引標籤上。

    1. 選擇*下載憑證*或*下載CA套裝組合*。

      如果您要下載CA套件、CA套件次要索引標籤中的所有憑證都會以單一檔案下載。

    2. 指定憑證檔案名稱和下載位置。儲存副檔名為「.pem」的檔案。

      例如:「toragegrid憑證.pem」

    複製憑證或CA套裝組合PEE

    複製憑證文字以貼到其他位置。如果您使用選用的CA套件組合、套件中的每個憑證都會顯示在其各自的子索引標籤上。

    1. 選擇*複製憑證PEP*或*複製CA套裝組合PEP*。

      如果您要複製CA套件組合、CA套件中的所有憑證都會一起複製二線索引標籤。

    2. 將複製的憑證貼到文字編輯器中。

    3. 儲存副檔名為「.pem」的文字檔。

      例如:「toragegrid憑證.pem」