Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

配置 S3 API 證書

PDF

您可以替換或還原用於 S3 用戶端連接到儲存節點或負載平衡器端點的伺服器憑證。替換的自訂伺服器憑證特定於您的組織。

提示 此版本的文件網站已刪除 Swift 詳細資訊。看 "StorageGRID 11.8:設定 S3 和 Swift API 證書"
關於此任務

預設情況下,每個儲存節點都會頒發由網格 CA 簽署的 X.509 伺服器憑證。這些 CA 簽署的憑證可以被單一通用自訂伺服器憑證和相應的私鑰所取代。

所有儲存節點都使用單一自訂伺服器證書,因此如果用戶端在連接到儲存端點時需要驗證主機名,則必須將證書指定為通配符或多網域證書。定義自訂證書,使其與網格中的所有儲存節點相符。

在伺服器上完成設定後,您可能還需要在用於存取系統的 S3 API 用戶端中安裝 Grid CA 證書,具體取決於您使用的根憑證授權單位 (CA)。

註 為了確保操作不會因伺服器憑證失敗而中斷,當根伺服器憑證即將過期時,會觸發*S3 API 的全域伺服器憑證過期*警報。根據需要,您可以透過選擇 CONFIGURATION > Security > Certificates 並查看 Global 標籤上 S3 API 憑證的到期日期來查看目前憑證的到期時間。

您可以上傳或產生自訂 S3 API 憑證。

新增自訂 S3 API 證書

步驟

  1. 選擇 設定 > 安全 > 憑證

  2. 在*全域*標籤上,選擇*S3 API 憑證*。

  3. 選擇*使用自訂憑證*。

  4. 上傳或產生證書。

    上傳證書

    上傳所需的伺服器憑證檔案。

    1. 選擇*上傳證書*。

    2. 上傳所需的伺服器憑證檔案:

      • 伺服器憑證:自訂伺服器憑證檔案(PEM編碼)。

      • 證書私鑰:自訂伺服器憑證私鑰文件(.key)。

        註 EC 私鑰必須為 224 位元或更大。 RSA 私鑰必須為 2048 位元或更大。

      • CA 包:一個可選文件,包含來自每個中間頒發憑證機構的憑證。該文件應包含每個 PEM 編碼的 CA 憑證文件,並按憑證鏈順序連接。

    3. 選擇憑證詳細資訊以顯示已上傳的每個自訂 S3 API 憑證的元資料和 PEM。如果您上傳了可選的 CA 包,則每個憑證都會顯示在其自己的標籤上。

      • 選擇*下載憑證*儲存憑證檔案或選擇*下載 CA 套件*儲存憑證套件。

        指定證書檔案名稱和下載位置。使用副檔名儲存檔案 .pem

      例如: storagegrid_certificate.pem

      • 選擇*複製憑證 PEM*或*複製 CA 套件 PEM*以複製憑證內容以便貼上到其他地方。

    4. 選擇*儲存*。

      自訂伺服器憑證用於後續新的 S3 用戶端連線。

    產生證書

    產生伺服器憑證檔案。

    1. 選擇*產生證書*。

    2. 指定證書資訊:

      場地 描述

      網域

      證書中包含的一個或多個完全限定域名。使用 * 作為通配符來表示多個網域。

      智慧財產

      證書中包含的一個或多個 IP 位址。

      主題(可選)

      證書擁有者的 X.509 主題或專有名稱 (DN)。

      如果此欄位未輸入任何值,則產生的憑證將使用第一個網域名稱或 IP 位址作為主題通用名稱 (CN)。

      有效天數

      證書建立後過期的天數。

      新增密鑰使用擴展

      如果選擇(預設和推薦),密鑰使用和擴展密鑰使用擴充將新增至產生的憑證。

      這些擴充定義了憑證中包含的金鑰的用途。

      注意:請選取此複選框,除非當憑證包含這些擴充功能時您遇到與舊用戶端的連線問題。

    3. 選擇*生成*。

    4. 選擇*證書詳細資訊*以顯示產生的自訂 S3 API 證書的元資料和 PEM。

      • 選擇*下載證書*儲存證書檔案。

        指定證書檔案名稱和下載位置。使用副檔名儲存檔案 .pem

      例如: storagegrid_certificate.pem

      • 選擇*複製證書 PEM* 以複製證書內容並貼上到其他地方。

    5. 選擇*儲存*。

      自訂伺服器憑證用於後續新的 S3 用戶端連線。

  5. 選擇一個標籤以顯示預設StorageGRID伺服器憑證、已上傳的 CA 簽章憑證或產生的自訂憑證的元資料。

    註 上傳或產生新證書後,請等待最多一天的時間以清除所有相關的證書到期警報。

  6. 重新整理頁面以確保 Web 瀏覽器已更新。

  7. 新增自訂 S3 API 憑證後,S3 API 憑證頁面將顯示正在使用的自訂 S3 API 憑證的詳細憑證資訊。 +您可以根據需要下載或複製憑證PEM。

恢復預設的 S3 API 證書

您可以恢復使用預設 S3 API 憑證來將 S3 用戶端連接到儲存節點。但是,您不能將預設的 S3 API 憑證用於負載平衡器端點。

步驟

  1. 選擇 設定 > 安全 > 憑證

  2. 在*全域*標籤上,選擇*S3 API 憑證*。

  3. 選擇*使用預設證書*。

    當您還原全域 S3 API 憑證的預設版本時,您設定的自訂伺服器憑證檔案將會被刪除,並且無法從系統中復原。預設 S3 API 憑證將用於後續新的 S3 用戶端與儲存節點的連接。

  4. 選擇「確定」確認警告並恢復預設的 S3 API 憑證。

    如果您具有 Root 存取權限,並且自訂 S3 API 憑證用於負載平衡器端點連接,則會顯示負載平衡器端點列表,這些端點將無法再使用預設 S3 API 憑證進行存取。前往"配置負載平衡器端點"編輯或刪除受影響的端點。

  5. 重新整理頁面以確保 Web 瀏覽器已更新。

下載或複製 S3 API 證書

您可以儲存或複製 S3 API 憑證內容以供在其他地方使用。

步驟

  1. 選擇 設定 > 安全 > 憑證

  2. 在*全域*標籤上,選擇*S3 API 憑證*。

  3. 選擇“伺服器”或“CA 套件”選項卡,然後下載或複製憑證。

    下載憑證檔案或 CA 套件

    下載憑證或 CA 套件 `.pem`文件。如果您使用可選的 CA 捆綁包,捆綁包中的每個憑證都會顯示在其自己的子選項卡上。

    1. 選擇*下載憑證*或*下載 CA 套件*。

      如果您正在下載 CA 捆綁包,則 CA 捆綁包二級標籤中的所有憑證都會作為單一檔案下載。

    2. 指定證書檔案名稱和下載位置。使用副檔名儲存檔案 .pem

      例如: storagegrid_certificate.pem

    複製憑證或 CA 捆綁包 PEM

    複製證書文字並貼上到其他地方。如果您使用可選的 CA 捆綁包,捆綁包中的每個憑證都會顯示在其自己的子選項卡上。

    1. 選擇*複製憑證 PEM*或*複製 CA 套件 PEM*。

      如果您正在複製 CA 捆綁包,則 CA 捆綁包輔助標籤中的所有憑證都會一起複製。

    2. 將複製的憑證貼到文字編輯器中。

    3. 儲存帶有擴展名的文字文件 .pem

      例如: storagegrid_certificate.pem

相關資訊