Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定客戶端證書

PDF

用戶端憑證允許授權的外部用戶端存取StorageGRID Prometheus 資料庫,為外部工具監控StorageGRID提供一種安全的方式。

如果需要使用外部監控工具存取StorageGRID ,則必須使用 Grid Manager 上傳或產生用戶端證書,並將證書資訊複製到外部工具。

"管理安全證書""配置自訂伺服器證書"

註 為了確保操作不會因伺服器憑證失敗而中斷,當此伺服器憑證即將過期時,將觸發*憑證頁面上配置的用戶端憑證過期*警報。根據需要,您可以透過選擇 設定 > 安全 > 憑證 並查看用戶端標籤上的用戶端憑證的到期日期來查看目前憑證的到期時間。
註 如果您使用金鑰管理伺服器 (KMS) 來保護特殊配置的設備節點上的數據,請參閱有關"上傳 KMS 用戶端證書"
開始之前

  • 您擁有 Root 存取權限。

  • 您已使用"支援的網頁瀏覽器"

  • 要設定客戶端憑證:

    • 您擁有管理節點的 IP 位址或網域名稱。

    • 如果您已設定StorageGRID管理介面證書,則您擁有用於設定管理介面憑證的 CA、用戶端憑證和私密金鑰。

    • 要上傳您自己的證書,該證書的私鑰可以在您的本機電腦上找到。

    • 私鑰在創建時必須被保存或記錄。如果您沒有原始私鑰,則必須建立一個新的私鑰。

  • 若要編輯客戶端憑證:

    • 您擁有管理節點的 IP 位址或網域名稱。

    • 要上傳您自己的證書或新證書,您的本機電腦上需要有私鑰、用戶端證書和 CA(如果使用)。

新增客戶端證書

若要新增客戶端證書,請使用下列步驟之一:

管理介面憑證已配置

如果已使用客戶提供的 CA、用戶端證書和私鑰配置了管理介面證書,請使用此程序新增用戶端證書。

步驟

  1. 在網格管理員中,選擇 配置 > 安全性 > 憑證,然後選擇 用戶端 標籤。

  2. 選擇“新增”。

  3. 輸入證書名稱。

  4. 若要使用外部監控工具存取 Prometheus 指標,請選擇 允許 prometheus

  5. 選擇*繼續*。

  6. 對於*附加憑證*步驟,上傳管理介面憑證。

    1. 選擇*上傳證書*。

    2. 選擇*瀏覽*並選擇管理介面憑證文件(.pem)。

      • 選擇*用戶端憑證詳細資料*以顯示憑證元資料和憑證 PEM。

      • 選擇*複製證書 PEM* 以複製證書內容並貼上到其他地方。

    3. 選擇*建立*將憑證保存在網格管理員中。

      新證書出現在客戶端選項卡上。

  7. 設定外部監控工具,例如 Grafana。

CA核發的客戶端證書

如果未設定管理介面證書,且您計劃為 Prometheus 新增使用 CA 頒發的用戶端憑證和私鑰的用戶端證書,請使用此流程新增管理員用戶端憑證。

步驟

  1. 執行以下步驟"設定管理介面證書"

  2. 在網格管理員中,選擇 配置 > 安全性 > 憑證,然後選擇 用戶端 標籤。

  3. 選擇“新增”。

  4. 輸入證書名稱。

  5. 若要使用外部監控工具存取 Prometheus 指標,請選擇 允許 prometheus

  6. 選擇*繼續*。

  7. 對於*附加憑證*步驟,上傳客戶端憑證、私密金鑰和 CA 捆綁檔案:

    1. 選擇*上傳證書*。

    2. 選擇「瀏覽」並選擇用戶端憑證、私鑰和 CA 捆綁文件(.pem)。

      • 選擇*用戶端憑證詳細資料*以顯示憑證元資料和憑證 PEM。

      • 選擇*複製證書 PEM* 以複製證書內容並貼上到其他地方。

    3. 選擇*建立*將憑證保存在網格管理員中。

      新證書出現在客戶端選項卡上。

  8. 設定外部監控工具,例如 Grafana。

從網格管理器產生的證書

如果未設定管理介面證書,且您計劃為使用 Grid Manager 中的產生憑證功能的 Prometheus 新增用戶端證書,請使用此流程新增管理員用戶端憑證。

步驟

  1. 在網格管理員中,選擇 配置 > 安全性 > 憑證,然後選擇 用戶端 標籤。

  2. 選擇“新增”。

  3. 輸入證書名稱。

  4. 若要使用外部監控工具存取 Prometheus 指標,請選擇 允許 prometheus

  5. 選擇*繼續*。

  6. 對於*附加憑證*步驟,選擇*產生憑證*。

  7. 指定證書資訊:

    • 主題(可選):證書擁有者的 X.509 主題或專有名稱 (DN)。

    • 有效天數:產生的憑證從產生時開始的有效天數。

    • 新增金鑰使用擴充功能:如果選擇(預設和建議),則金鑰使用和擴充金鑰使用擴充將新增至產生的憑證中。

      這些擴充定義了憑證中包含的金鑰的用途。

    註 除非憑證包含這些擴充功能時遇到與舊客戶端的連線問題,否則請選取此核取方塊。

  8. 選擇*生成*。

  9. 選擇*用戶端憑證詳細資料*以顯示憑證元資料和憑證 PEM。

    提示 關閉對話方塊後,您將無法查看憑證私鑰。將金鑰複製或下載到安全位置。

    • 選擇*複製證書 PEM* 以複製證書內容並貼上到其他地方。

    • 選擇*下載證書*儲存證書檔案。

      指定證書檔案名稱和下載位置。使用副檔名儲存檔案 .pem

    例如: storagegrid_certificate.pem

    • 選擇*複製私密金鑰*複製憑證私鑰以便貼到其他地方。

    • 選擇*下載私鑰*將私鑰儲存為檔案。

      指定私鑰檔案名稱和下載位置。

  10. 選擇*建立*將憑證保存在網格管理員中。

    新證書出現在客戶端選項卡上。

  11. 在網格管理員中,選擇 配置 > 安全性 > 憑證,然後選擇 全域 標籤。

  12. 選擇*管理介面證書*。

  13. 選擇*使用自訂憑證*。

  14. 從上傳 certificate.pem 和 private_key.pem 文件客戶端證書詳細信息步。無需上傳 CA 包。

    1. 選擇*上傳憑證*,然後選擇*繼續*。

    2. 上傳每個證書文件(.pem)。

    3. 選擇*儲存*將憑證儲存在網格管理員中。

      新證書出現在管理介面證書頁面上。

  15. 設定外部監控工具,例如 Grafana。

設定外部監控工具

步驟

  1. 在您的外部監控工具(例如 Grafana)上設定以下設定。

    1. 名稱:輸入連線的名稱。

      StorageGRID不需要此信息,但您必須提供名稱來測試連接。

    2. URL:輸入管理節點的網域名稱或 IP 位址。指定 HTTPS 和連接埠 9091。

      例如: https://admin-node.example.com:9091

    3. 啟用 TLS 用戶端身份驗證使用 CA 憑證

    4. 在 TLS/SSL 身份驗證詳細資訊下,複製並貼上:+

      • 管理介面CA憑證到CA Cert

      • 客戶端證書到客戶端證書

      • 客戶端金鑰的私鑰

    5. ServerName:輸入管理節點的網域名稱。

      ServerName 必須與管理介面憑證中顯示的網域名稱相符。

  2. 儲存並測試從StorageGRID或本機檔案複製的憑證和私密金鑰。

    現在您可以使用外部監控工具從StorageGRID存取 Prometheus 指標。

    有關指標的信息,請參閱"StorageGRID監控說明"

編輯客戶端證書

您可以編輯管理員用戶端憑證以變更其名稱、啟用或停用 Prometheus 訪問,或在目前憑證過期時上傳新憑證。

步驟

  1. 選擇 設定 > 安全 > 憑證,然後選擇 用戶端 標籤。

    表中列出了證書到期日期和 Prometheus 存取權限。如果憑證即將過期或已經過期,表中會出現一則訊息並觸發警報。

  2. 選擇您要編輯的憑證。

  3. 選擇*編輯*,然後選擇*編輯名稱和權限*

  4. 輸入證書名稱。

  5. 若要使用外部監控工具存取 Prometheus 指標,請選擇 允許 prometheus

  6. 選擇“繼續”將憑證儲存在網格管理員中。

    更新後的憑證顯示在客戶端標籤上。

附加新的客戶端憑證

當前證書過期後,您可以上傳新證書。

步驟

  1. 選擇 設定 > 安全 > 憑證,然後選擇 用戶端 標籤。

    表中列出了證書到期日期和 Prometheus 存取權限。如果憑證即將過期或已經過期,表中會出現一則訊息並觸發警報。

  2. 選擇您要編輯的憑證。

  3. 選擇*編輯*,然後選擇編輯選項。

    上傳證書

    複製證書文字並貼上到其他地方。

    1. 選擇*上傳憑證*,然後選擇*繼續*。

    2. 上傳客戶端憑證名稱(.pem)。

      選擇*用戶端憑證詳細資料*以顯示憑證元資料和憑證 PEM。

      • 選擇*下載證書*儲存證書檔案。

        指定證書檔案名稱和下載位置。使用副檔名儲存檔案 .pem

      例如: storagegrid_certificate.pem

      • 選擇*複製證書 PEM* 以複製證書內容並貼上到其他地方。

    3. 選擇*建立*將憑證保存在網格管理員中。

      更新後的憑證顯示在客戶端標籤上。

    產生證書

    產生證書文字以貼上到其他地方。

    1. 選擇*產生證書*。

    2. 指定證書資訊:

      • 主題(可選):證書擁有者的 X.509 主題或專有名稱 (DN)。

      • 有效天數:產生的憑證從產生時開始的有效天數。

      • 新增金鑰使用擴充功能:如果選擇(預設和建議),則金鑰使用和擴充金鑰使用擴充將新增至產生的憑證中。

        這些擴充定義了憑證中包含的金鑰的用途。

      註 除非憑證包含這些擴充功能時遇到與舊客戶端的連線問題,否則請選取此核取方塊。

    3. 選擇*生成*。

    4. 選擇*用戶端憑證詳細資料*以顯示憑證元資料和憑證 PEM。

      提示 關閉對話方塊後,您將無法查看憑證私鑰。將金鑰複製或下載到安全位置。

      • 選擇*複製證書 PEM* 以複製證書內容並貼上到其他地方。

      • 選擇*下載證書*儲存證書檔案。

        指定證書檔案名稱和下載位置。使用副檔名儲存檔案 .pem

      例如: storagegrid_certificate.pem

      • 選擇*複製私密金鑰*複製憑證私鑰以便貼到其他地方。

      • 選擇*下載私鑰*將私鑰儲存為檔案。

        指定私鑰檔案名稱和下載位置。

    5. 選擇*建立*將憑證保存在網格管理員中。

      新證書出現在客戶端選項卡上。

下載或複製客戶端證書

您可以下載或複製客戶端憑證以供其他地方使用。

步驟

  1. 選擇 設定 > 安全 > 憑證,然後選擇 用戶端 標籤。

  2. 選擇您要複製或下載的憑證。

  3. 下載或複製證書。

    下載證書文件

    下載證書 `.pem`文件。

    1. 選擇*下載證書*。

    2. 指定證書檔案名稱和下載位置。使用副檔名儲存檔案 .pem

      例如: storagegrid_certificate.pem

    影印證書

    複製證書文字並貼上到其他地方。

    1. 選擇*複製憑證 PEM*。

    2. 將複製的憑證貼到文字編輯器中。

    3. 儲存帶有擴展名的文字文件 .pem

      例如: storagegrid_certificate.pem

刪除客戶端證書

如果您不再需要管理員用戶端證書,您可以將其刪除。

步驟

  1. 選擇 設定 > 安全 > 憑證,然後選擇 用戶端 標籤。

  2. 選擇您要刪除的憑證。

  3. 選擇*刪除*然後確認。

註 若要刪除最多 10 個證書,請在「用戶端」標籤上選擇要刪除的每個證書,然後選擇「操作」>「刪除」。

刪除憑證後,使用該憑證的用戶端必須指定新的用戶端憑證才能存取StorageGRID Prometheus 資料庫。