設定用戶端憑證
用戶端憑證可讓獲授權的外部用戶端存取StorageGRID 《The》《The VMware資料庫》、為外部工具提供安全的監控StorageGRID 方式。
如果您需要StorageGRID 使用外部監控工具存取功能、則必須使用Grid Manager上傳或產生用戶端憑證、並將憑證資訊複製到外部工具。
請參閱 "管理安全性憑證" 和 "設定自訂伺服器憑證"。
為了確保作業不會因伺服器憑證故障而中斷、當此伺服器憑證即將過期時、會觸發「憑證頁面 * 」警示上設定的 * 用戶端憑證到期日。如有需要、您可以選取*組態*>*安全性*>*憑證*來檢視目前憑證的到期日、並在「用戶端」索引標籤上查看用戶端憑證的到期日。 |
如果您使用金鑰管理伺服器(KMS)來保護特殊設定應用裝置節點上的資料、請參閱相關的特定資訊 "上傳KMS用戶端憑證"。 |
-
您擁有root存取權限。
-
您將使用登入Grid Manager "支援的網頁瀏覽器"。
-
若要設定用戶端憑證:
-
您擁有管理節點的IP位址或網域名稱。
-
如果您已設定StorageGRID 完整套管理介面認證、則會使用CA、用戶端認證和私密金鑰來設定管理介面認證。
-
若要上傳您自己的憑證、您可以在本機電腦上取得該憑證的私密金鑰。
-
私密金鑰必須在建立時已儲存或記錄。如果您沒有原始的私密金鑰、則必須建立新的私密金鑰。
-
-
若要編輯用戶端憑證:
-
您擁有管理節點的IP位址或網域名稱。
-
若要上傳您自己的憑證或新的憑證、您的本機電腦上可以使用私密金鑰、用戶端憑證和CA(如果使用)。
-
新增用戶端憑證
若要新增用戶端憑證、請使用下列其中一個程序:
管理介面憑證已設定
如果已使用客戶提供的CA、用戶端憑證和私密金鑰來設定管理介面憑證、請使用此程序來新增用戶端憑證。
-
在Grid Manager中、選取*組態*>*安全性*>*憑證*、然後選取*用戶端*索引標籤。
-
選取*「Add*」。
-
輸入憑證名稱。
-
若要使用您的外部監控工具存取 Prometheus* 指標、請選取 * 允許 Prometheus* 。
-
選擇*繼續*。
-
對於 * 附加憑證 * 步驟、請上傳管理介面憑證。
-
選擇*上傳憑證*。
-
選取 * 瀏覽 * 並選取管理介面憑證檔案 (
.pem
)。-
選取*用戶端憑證詳細資料*以顯示憑證中繼資料和憑證PEE。
-
選取*複製憑證PEP*以複製憑證內容以貼到其他位置。
-
-
選取*「Create」(建立)*以在Grid Manager中儲存憑證。
新的憑證會顯示在「用戶端」索引標籤上。
-
-
設定外部監控工具例如 Grafana 。
CA發行的用戶端憑證
如果未設定管理介面憑證、且您計畫新增使用CA發行用戶端憑證和私密金鑰的Prometheus用戶端憑證、請使用此程序來新增管理員用戶端憑證。
-
執行步驟至 "設定管理介面憑證"。
-
在Grid Manager中、選取*組態*>*安全性*>*憑證*、然後選取*用戶端*索引標籤。
-
選取*「Add*」。
-
輸入憑證名稱。
-
若要使用您的外部監控工具存取 Prometheus* 指標、請選取 * 允許 Prometheus* 。
-
選擇*繼續*。
-
對於 * 附加憑證 * 步驟、請上傳用戶端憑證、私密金鑰和 CA 套裝組合檔案:
-
選擇*上傳憑證*。
-
選取 * 瀏覽 * 並選取用戶端憑證、私密金鑰和 CA 套件檔案 (
.pem
)。-
選取*用戶端憑證詳細資料*以顯示憑證中繼資料和憑證PEE。
-
選取*複製憑證PEP*以複製憑證內容以貼到其他位置。
-
-
選取*「Create」(建立)*以在Grid Manager中儲存憑證。
新的憑證會顯示在「用戶端」索引標籤上。
-
-
設定外部監控工具例如 Grafana 。
從Grid Manager產生憑證
如果管理介面憑證尚未設定、且您計畫在Grid Manager中新增使用產生憑證功能的Prometheus用戶端憑證、請使用此程序來新增管理員用戶端憑證。
-
在Grid Manager中、選取*組態*>*安全性*>*憑證*、然後選取*用戶端*索引標籤。
-
選取*「Add*」。
-
輸入憑證名稱。
-
若要使用您的外部監控工具存取 Prometheus* 指標、請選取 * 允許 Prometheus* 。
-
選擇*繼續*。
-
對於 * 附加憑證 * 步驟、請選取 * 產生憑證 * 。
-
指定憑證資訊:
-
* 主旨 * (選用):憑證擁有者的 X.509 主體或辨別名稱( DN )。
-
* 有效天數 * :產生的憑證自產生之日起有效的天數。
-
* 新增金鑰使用方式延伸 * :如果選取(預設和建議)、金鑰使用方式和延伸金鑰使用方式延伸功能會新增至產生的憑證。
這些延伸定義了憑證中所含金鑰的用途。
除非您在憑證包含這些副檔名時、遇到舊版用戶端的連線問題、否則請保留此核取方塊。 -
-
選取*產生*。
-
[Client_cert詳細資料]選取*用戶端憑證詳細資料*以顯示憑證中繼資料和憑證PEE。
關閉對話方塊後、您將無法檢視憑證私密金鑰。將金鑰複製或下載到安全位置。 -
選取*複製憑證PEP*以複製憑證內容以貼到其他位置。
-
選取*下載憑證*以儲存憑證檔案。
指定憑證檔案名稱和下載位置。以副檔名儲存檔案
.pem
。
例如:
storagegrid_certificate.pem
-
選取*複製私密金鑰*以複製憑證私密金鑰、以便貼到其他位置。
-
選取*下載私密金鑰*將私密金鑰儲存為檔案。
指定私密金鑰檔案名稱和下載位置。
-
-
選取*「Create」(建立)*以在Grid Manager中儲存憑證。
新的憑證會顯示在「用戶端」索引標籤上。
-
在Grid Manager中、選取*組態*>*安全性*>*憑證*、然後選取*全域*索引標籤。
-
選擇*管理介面認證*。
-
選擇*使用自訂憑證*。
-
從上傳認證.pem和Private金鑰.pem檔案 用戶端憑證詳細資料 步驟。不需要上傳CA套裝組合。
-
選擇*上傳認證*、然後選擇*繼續*。
-
上傳每個憑證檔案 (
.pem
)。 -
選取*「Create」(建立)*以在Grid Manager中儲存憑證。
新的憑證會顯示在「用戶端」索引標籤上。
-
-
設定外部監控工具例如 Grafana 。
設定外部監控工具
-
在外部監控工具(例如Grafana)上設定下列設定。
-
名稱:輸入連線名稱。
不需要此資訊、但您必須提供名稱來測試連線。StorageGRID
-
* URL*:輸入管理節點的網域名稱或IP位址。指定HTTPS和連接埠9091。
例如:
https://admin-node.example.com:9091
-
啟用* TLS用戶端驗證*和* CA認證*。
-
在「TLS/SSL驗證詳細資料」下、複製並貼上:+
-
管理介面CA憑證至「**CA認證」
-
用戶端認證至*用戶端認證
-
用於**用戶端金鑰*的私密金鑰
-
-
伺服器名稱:輸入管理節點的網域名稱。
伺服器名稱必須符合管理介面憑證中顯示的網域名稱。
-
-
儲存並測試您從StorageGRID 餐廳或本機檔案複製的憑證和私密金鑰。
您現在可以StorageGRID 使用外部監控工具、從功能表上存取Prometheus指標。
如需度量的相關資訊、請參閱 "監控StorageGRID 功能說明"。
編輯用戶端憑證
您可以編輯系統管理員用戶端憑證來變更其名稱、啟用或停用Prometheus存取、或是在目前憑證過期時上傳新的憑證。
-
選擇*組態*>*安全性*>*憑證*、然後選擇*用戶端*索引標籤。
下表列出憑證到期日和Prometheus存取權限。如果憑證即將到期或已過期、表格中會出現訊息、並觸發警示。
-
選取您要編輯的憑證。
-
選取*編輯*、然後選取*編輯名稱和權限*
-
輸入憑證名稱。
-
若要使用您的外部監控工具存取 Prometheus* 指標、請選取 * 允許 Prometheus* 。
-
選擇*繼續*以在Grid Manager中儲存憑證。
更新的憑證會顯示在「用戶端」索引標籤上。
附加新的用戶端憑證
您可以在目前的憑證過期時上傳新的憑證。
-
選擇*組態*>*安全性*>*憑證*、然後選擇*用戶端*索引標籤。
下表列出憑證到期日和Prometheus存取權限。如果憑證即將到期或已過期、表格中會出現訊息、並觸發警示。
-
選取您要編輯的憑證。
-
選取*編輯*、然後選取編輯選項。
上傳憑證複製憑證文字以貼到其他位置。
-
選擇*上傳認證*、然後選擇*繼續*。
-
上傳用戶端憑證名稱 (
.pem
)。選取*用戶端憑證詳細資料*以顯示憑證中繼資料和憑證PEE。
-
選取*下載憑證*以儲存憑證檔案。
指定憑證檔案名稱和下載位置。以副檔名儲存檔案
.pem
。
例如:
storagegrid_certificate.pem
-
選取*複製憑證PEP*以複製憑證內容以貼到其他位置。
-
-
選取*「Create」(建立)*以在Grid Manager中儲存憑證。
更新的憑證會顯示在「用戶端」索引標籤上。
產生憑證產生要貼到其他位置的憑證文字。
-
選擇*產生憑證*。
-
指定憑證資訊:
-
* 主旨 * (選用):憑證擁有者的 X.509 主體或辨別名稱( DN )。
-
* 有效天數 * :產生的憑證自產生之日起有效的天數。
-
* 新增金鑰使用方式延伸 * :如果選取(預設和建議)、金鑰使用方式和延伸金鑰使用方式延伸功能會新增至產生的憑證。
這些延伸定義了憑證中所含金鑰的用途。
除非您在憑證包含這些副檔名時、遇到舊版用戶端的連線問題、否則請保留此核取方塊。 -
-
選取*產生*。
-
選取*用戶端憑證詳細資料*以顯示憑證中繼資料和憑證PEE。
關閉對話方塊後、您將無法檢視憑證私密金鑰。將金鑰複製或下載到安全位置。 -
選取*複製憑證PEP*以複製憑證內容以貼到其他位置。
-
選取*下載憑證*以儲存憑證檔案。
指定憑證檔案名稱和下載位置。以副檔名儲存檔案
.pem
。
例如:
storagegrid_certificate.pem
-
選取*複製私密金鑰*以複製憑證私密金鑰、以便貼到其他位置。
-
選取*下載私密金鑰*將私密金鑰儲存為檔案。
指定私密金鑰檔案名稱和下載位置。
-
-
選取*「Create」(建立)*以在Grid Manager中儲存憑證。
新的憑證會顯示在「用戶端」索引標籤上。
-
下載或複製用戶端憑證
您可以下載或複製用戶端憑證、以便在其他地方使用。
-
選擇*組態*>*安全性*>*憑證*、然後選擇*用戶端*索引標籤。
-
選取您要複製或下載的憑證。
-
下載或複製憑證。
下載憑證檔案下載憑證
.pem
檔案:-
選擇*下載憑證*。
-
指定憑證檔案名稱和下載位置。以副檔名儲存檔案
.pem
。例如:
storagegrid_certificate.pem
複製憑證複製憑證文字以貼到其他位置。
-
選擇*複製憑證PEP*。
-
將複製的憑證貼到文字編輯器中。
-
以副檔名儲存文字檔
.pem
。例如:
storagegrid_certificate.pem
-
移除用戶端憑證
如果不再需要系統管理員用戶端憑證、您可以將其移除。
-
選擇*組態*>*安全性*>*憑證*、然後選擇*用戶端*索引標籤。
-
選取您要移除的憑證。
-
選擇*刪除*、然後確認。
若要移除最多10個憑證、請在「用戶端」索引標籤上選取要移除的每個憑證、然後選取*「動作」>「刪除」*。 |
移除憑證後、使用該憑證的用戶端必須指定新的用戶端憑證、才能存取StorageGRID 《The動ePrometheus資料庫》。