設定S3和Swift API憑證
您可以取代或還原用於S3或Swift用戶端連線至儲存節點、閘道節點上已過時的連線負載平衡器(CLB)服務、或負載平衡器端點的伺服器憑證。置換的自訂伺服器憑證是您組織專屬的。
根據預設、每個儲存節點都會核發由網格CA簽署的X.509伺服器憑證。這些CA簽署的憑證可由單一通用的自訂伺服器憑證和對應的私密金鑰取代。
所有儲存節點都使用單一自訂伺服器憑證、因此如果用戶端在連線至儲存端點時需要驗證主機名稱、則必須將憑證指定為萬用字元或多網域憑證。定義自訂憑證、使其符合網格中的所有儲存節點。
在伺服器上完成組態之後、您可能還需要在S3或Swift API用戶端中安裝Grid CA憑證、以便根據所使用的根憑證授權單位(CA)來存取系統。
為了確保作業不會因為失敗的伺服器憑證而中斷、當根伺服器憑證即將過期時、會觸發「S3的全域伺服器憑證過期」和「Swift API*警示」。如有需要、您可以選取*組態*>*安全性*>*憑證*來檢視目前憑證的到期日、並在「全域」索引標籤上查看S3和Swift API憑證的到期日。 |
您可以上傳或產生自訂的S3和Swift API認證。
新增自訂S3和Swift API認證
-
選擇*組態*>*安全性*>*憑證*。
-
在* Global*索引標籤上、選取* S3和Swift API認證*。
-
選擇*使用自訂憑證*。
-
上傳或產生憑證。
上傳憑證上傳所需的伺服器憑證檔案。
-
選擇*上傳憑證*。
-
上傳所需的伺服器憑證檔案:
-
伺服器憑證:自訂伺服器憑證檔案(PEM編碼)。
-
憑證私密金鑰:自訂伺服器憑證私密金鑰檔(`.key')。
EC私密金鑰必須大於或等於224位元。RSA私密金鑰必須大於或等於2048位元。 -
* CA套裝組合*:單一選用檔案、內含來自每個中繼發行憑證授權單位的憑證。檔案應包含以憑證鏈順序串聯的每個由PEE編碼的CA憑證檔案。
-
-
選取憑證詳細資料、以顯示上傳之每個自訂S3和Swift API憑證的中繼資料和PEM。如果您上傳了選用的CA套件、每個憑證都會顯示在其各自的索引標籤上。
-
選取*下載憑證*以儲存憑證檔案、或選取*下載CA套件*以儲存憑證套件組合。
指定憑證檔案名稱和下載位置。儲存副檔名為「.pem」的檔案。
例如:「toragegrid憑證.pem」
-
選擇*複製憑證PEP*或*複製CA套裝組合PEP*、即可複製憑證內容以貼到其他位置。
-
-
選擇*保存*。
自訂伺服器憑證用於後續的S3和Swift用戶端連線。
產生憑證產生伺服器憑證檔案。
-
選擇*產生憑證*。
-
指定憑證資訊:
-
網域名稱:要包含在憑證中的一或多個完整網域名稱。使用*作為萬用字元來代表多個網域名稱。
-
* IP*:一個或多個IP位址要納入憑證中。
-
主體:憑證擁有者的X.509主體或辨別名稱(DN)。
-
有效天數:憑證建立後到期的天數。
-
-
選取*產生*。
-
選取*「憑證詳細資料」*以顯示所產生之自訂S3和Swift API憑證的中繼資料和PEM。
-
選取*下載憑證*以儲存憑證檔案。
指定憑證檔案名稱和下載位置。儲存副檔名為「.pem」的檔案。
例如:「toragegrid憑證.pem」
-
選取*複製憑證PEP*以複製憑證內容以貼到其他位置。
-
-
選擇*保存*。
自訂伺服器憑證用於後續的S3和Swift用戶端連線。
-
-
選取索引標籤以顯示預設StorageGRID 的還原伺服器憑證的中繼資料、已上傳的CA簽署憑證、或是已產生的自訂憑證。
上傳或產生新的憑證後、請允許清除任何相關的憑證過期警示一天。 -
重新整理頁面以確保網頁瀏覽器已更新。
-
新增自訂S3和Swift API憑證之後、S3和Swift API憑證頁面會顯示使用中自訂S3和Swift API憑證的詳細憑證資訊。+您可以視需要下載或複製憑證PEE。
還原預設的S3和Swift API憑證
您可以針對S3和Swift用戶端連線至儲存節點、以及閘道節點上已過時的CLB服務、恢復使用預設的S3和Swift API認證。不過、您無法將預設的S3和Swift API憑證用於負載平衡器端點。
-
選擇*組態*>*安全性*>*憑證*。
-
在* Global*索引標籤上、選取* S3和Swift API認證*。
-
選擇*使用預設憑證*。
還原全域S3和Swift API憑證的預設版本時、您設定的自訂伺服器憑證檔案將會刪除、無法從系統中還原。預設的S3和Swift API憑證將用於後續的S3和Swift用戶端連線至儲存節點、以及閘道節點上已過時的CLB服務。
-
選取*確定*以確認警告並還原預設的S3和Swift API憑證。
如果您具有根存取權限、而且自訂S3和Swift API憑證已用於負載平衡器端點連線、則會顯示負載平衡器端點清單、無法再使用預設S3和Swift API憑證存取。前往 設定負載平衡器端點 可編輯或刪除受影響的端點。
-
重新整理頁面以確保網頁瀏覽器已更新。
下載或複製S3和Swift API認證
您可以儲存或複製S3和Swift API憑證內容、以便在其他地方使用。
-
選擇*組態*>*安全性*>*憑證*。
-
在* Global*索引標籤上、選取* S3和Swift API認證*。
-
選取「伺服器」或「* CA套裝組合*」索引標籤、然後下載或複製憑證。
下載憑證檔案或CA套裝組合下載憑證或CA套裝組合「.pem」檔案。如果您使用選用的CA套件組合、套件中的每個憑證都會顯示在其各自的子索引標籤上。
-
選擇*下載憑證*或*下載CA套裝組合*。
如果您要下載CA套件、CA套件次要索引標籤中的所有憑證都會以單一檔案下載。
-
指定憑證檔案名稱和下載位置。儲存副檔名為「.pem」的檔案。
例如:「toragegrid憑證.pem」
複製憑證或CA套裝組合PEE複製憑證文字以貼到其他位置。如果您使用選用的CA套件組合、套件中的每個憑證都會顯示在其各自的子索引標籤上。
-
選擇*複製憑證PEP*或*複製CA套裝組合PEP*。
如果您要複製CA套件組合、CA套件中的所有憑證都會一起複製二線索引標籤。
-
將複製的憑證貼到文字編輯器中。
-
儲存副檔名為「.pem」的文字檔。
例如:「toragegrid憑證.pem」
-