設定管理介面證書
建議變更
PDF
您可以用單一自訂證書取代預設管理介面證書,該證書允許使用者存取網格管理器和租戶管理器而不會遇到安全警告。您也可以還原預設管理介面憑證或產生新的憑證。
預設情況下,每個管理節點都會頒發由網格 CA 簽署的憑證。這些 CA 簽署的憑證可以被單一通用自訂管理介面憑證和對應的私鑰所取代。
由於所有管理節點都使用單一自訂管理介面證書,因此如果用戶端在連接到網格管理器和租用戶管理器時需要驗證主機名,則必須將證書指定為通配符或多網域證書。定義自訂證書,使其與網格中的所有管理節點相符。
您需要在伺服器上完成配置,並且根據您使用的根憑證授權單位 (CA),使用者可能還需要在用於存取網格管理員和租用戶管理員的 Web 瀏覽器中安裝網格 CA 憑證。
|
為了確保操作不會因伺服器憑證失敗而中斷,當此伺服器憑證即將過期時,會觸發*管理介面伺服器憑證過期*警報。根據需要,您可以透過選擇 CONFIGURATION > Security > Certificates 並查看 Global 標籤上的管理介面憑證的到期日期來查看目前憑證的到期時間。 |
|
|
如果您使用網域名稱而不是 IP 位址存取網格管理員或租用戶管理器,則在發生下列任一情況時,瀏覽器將顯示憑證錯誤,且沒有繞過選項:
|
新增自訂管理介面證書
若要新增自訂管理介面證書,您可以提供自己的證書或使用網格管理器產生證書。
-
選擇 設定 > 安全 > 憑證。
-
在*全域*標籤上,選擇*管理介面憑證*。
-
選擇*使用自訂憑證*。
-
上傳或產生證書。
上傳證書上傳所需的伺服器憑證檔案。
-
選擇*上傳證書*。
-
上傳所需的伺服器憑證檔案:
-
伺服器憑證:自訂伺服器憑證檔案(PEM編碼)。
-
證書私鑰:自訂伺服器憑證私鑰文件(
.key)。
EC 私鑰必須為 224 位元或更大。 RSA 私鑰必須為 2048 位元或更大。 -
CA 包:一個可選文件,包含來自每個中間發行憑證機構 (CA) 的憑證。該文件應包含每個 PEM 編碼的 CA 憑證文件,並按憑證鏈順序連接。
-
-
展開*證書詳細資訊*以查看您上傳的每個證書的元資料。如果您上傳了可選的 CA 包,則每個憑證都會顯示在其自己的標籤上。
-
選擇*下載憑證*儲存憑證檔案或選擇*下載 CA 套件*儲存憑證套件。
指定證書檔案名稱和下載位置。使用副檔名儲存檔案
.pem。
例如:
storagegrid_certificate.pem-
選擇*複製憑證 PEM*或*複製 CA 套件 PEM*以複製憑證內容以便貼上到其他地方。
-
-
選擇*儲存*。+ 自訂管理介面憑證用於與網格管理器、租用戶管理員、網格管理器 API 或租用戶管理器 API 的所有後續新連接。
產生證書產生伺服器憑證檔案。
生產環境的最佳實務是使用由外部憑證授權單位簽署的自訂管理介面憑證。 -
選擇*產生證書*。
-
指定證書資訊:
場地 描述 網域
證書中包含的一個或多個完全限定域名。使用 * 作為通配符來表示多個網域。
智慧財產
證書中包含的一個或多個 IP 位址。
主題(可選)
證書擁有者的 X.509 主題或專有名稱 (DN)。
如果此欄位未輸入任何值,則產生的憑證將使用第一個網域名稱或 IP 位址作為主題通用名稱 (CN)。
有效天數
證書建立後過期的天數。
新增密鑰使用擴展
如果選擇(預設和推薦),密鑰使用和擴展密鑰使用擴充將新增至產生的憑證。
這些擴充定義了憑證中包含的金鑰的用途。
注意:請選取此複選框,除非當憑證包含這些擴充功能時您遇到與舊用戶端的連線問題。
-
選擇*生成*。
-
選擇*證書詳細資訊*以查看產生的證書的元資料。
-
選擇*下載證書*儲存證書檔案。
指定證書檔案名稱和下載位置。使用副檔名儲存檔案
.pem。
例如:
storagegrid_certificate.pem-
選擇*複製證書 PEM* 以複製證書內容並貼上到其他地方。
-
-
選擇*儲存*。+ 自訂管理介面憑證用於與網格管理器、租用戶管理員、網格管理器 API 或租用戶管理器 API 的所有後續新連接。
-
-
重新整理頁面以確保 Web 瀏覽器已更新。
上傳或產生新證書後,請等待最多一天的時間以清除所有相關的證書到期警報。 -
新增自訂管理介面憑證後,管理介面憑證頁面將顯示正在使用的憑證的詳細憑證資訊。 +您可以根據需要下載或複製憑證PEM。
恢復預設管理介面證書
您可以還原使用網格管理器和租用戶管理器連線的預設管理介面憑證。
-
選擇 設定 > 安全 > 憑證。
-
在*全域*標籤上,選擇*管理介面憑證*。
-
選擇*使用預設證書*。
當您還原預設管理介面憑證時,您設定的自訂伺服器憑證檔案將會被刪除,並且無法從系統中復原。所有後續的新用戶端連線均使用預設管理介面憑證。
-
重新整理頁面以確保 Web 瀏覽器已更新。
使用腳本產生新的自簽名管理介面證書
如果需要嚴格的主機名稱驗證,您可以使用腳本產生管理介面憑證。
-
你有"特定存取權限"。
-
你有 `Passwords.txt`文件。
生產環境的最佳實務是使用由外部憑證授權單位簽署的憑證。
-
取得每個管理節點的完全限定網域名稱 (FQDN)。
-
登入主管理節點:
-
輸入以下命令:
ssh admin@primary_Admin_Node_IP -
輸入 `Passwords.txt`文件。
-
輸入以下命令切換到root:
su - -
輸入 `Passwords.txt`文件。
當您以 root 身分登入時,提示字元將從
$`到 `#。
-
-
使用新的自簽章憑證設定StorageGRID 。
$ sudo make-certificate --domains wildcard-admin-node-fqdn --type management-
為了
--domains,使用通配符來表示所有管理節點的完全限定網域名稱。例如,*.ui.storagegrid.example.com`使用 * 通配符來表示 `admin1.ui.storagegrid.example.com`和 `admin2.ui.storagegrid.example.com。 -
放 `--type`到 `management`配置管理介面證書,供Grid Manager和Tenant Manager使用。
-
預設情況下,產生的憑證有效期為一年(365 天),必須在到期前重新建立。您可以使用 `--days`參數來覆蓋預設有效期。
證書有效期限從 `make-certificate`正在運行。您必須確保管理用戶端與StorageGRID同步到相同時間來源;否則,用戶端可能會拒絕該憑證。 $ sudo make-certificate --domains *.ui.storagegrid.example.com --type management --days 720
結果輸出包含管理 API 用戶端所需的公共憑證。
-
-
選擇並複製證書。
在您的選擇中包含 BEGIN 和 END 標籤。
-
退出命令 shell。
$ exit -
確認證書已設定:
-
存取網格管理器。
-
選擇 設定 > 安全 > 憑證
-
在*全域*標籤上,選擇*管理介面憑證*。
-
-
配置您的管理用戶端以使用您複製的公共憑證。包括 BEGIN 和 END 標籤。
下載或複製管理介面證書
您可以儲存或複製管理介面證書內容以供其他地方使用。
-
選擇 設定 > 安全 > 憑證。
-
在*全域*標籤上,選擇*管理介面憑證*。
-
選擇“伺服器”或“CA 套件”選項卡,然後下載或複製憑證。
下載憑證檔案或 CA 套件下載憑證或 CA 套件 `.pem`文件。如果您使用可選的 CA 捆綁包,捆綁包中的每個憑證都會顯示在其自己的子選項卡上。
-
選擇*下載憑證*或*下載 CA 套件*。
如果您正在下載 CA 捆綁包,則 CA 捆綁包二級標籤中的所有憑證都會作為單一檔案下載。
-
指定證書檔案名稱和下載位置。使用副檔名儲存檔案
.pem。例如:
storagegrid_certificate.pem
複製憑證或 CA 捆綁包 PEM複製證書文字並貼上到其他地方。如果您使用可選的 CA 捆綁包,捆綁包中的每個憑證都會顯示在其自己的子選項卡上。
-
選擇*複製憑證 PEM*或*複製 CA 套件 PEM*。
如果您正在複製 CA 捆綁包,則 CA 捆綁包輔助標籤中的所有憑證都會一起複製。
-
將複製的憑證貼到文字編輯器中。
-
儲存帶有擴展名的文字文件
.pem。例如:
storagegrid_certificate.pem
-