Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定用戶端憑證

貢獻者

用戶端憑證可讓獲授權的外部用戶端存取StorageGRID 《The》《The VMware資料庫》、為外部工具提供安全的監控StorageGRID 方式。

如果您需要StorageGRID 使用外部監控工具存取功能、則必須使用Grid Manager上傳或產生用戶端憑證、並將憑證資訊複製到外部工具。

註 為了確保作業不會因伺服器憑證故障而中斷、當此伺服器憑證即將過期時、會觸發「憑證頁面 * 」警示上設定的 * 用戶端憑證到期日。如有需要、您可以選取*組態*>*安全性*>*憑證*來檢視目前憑證的到期日、並在「用戶端」索引標籤上查看用戶端憑證的到期日。
註 如果您使用金鑰管理伺服器 (KMS) 來保護特殊設定應用裝置節點上的資料,請參閱的特定資訊"上傳KMS用戶端憑證"
開始之前
  • 您擁有root存取權限。

  • 您已使用登入 Grid Manager "支援的網頁瀏覽器"

  • 若要設定用戶端憑證:

    • 您擁有管理節點的IP位址或網域名稱。

    • 如果您已設定StorageGRID 完整套管理介面認證、則會使用CA、用戶端認證和私密金鑰來設定管理介面認證。

    • 若要上傳您自己的憑證、您可以在本機電腦上取得該憑證的私密金鑰。

    • 私密金鑰必須在建立時已儲存或記錄。如果您沒有原始的私密金鑰、則必須建立新的私密金鑰。

  • 若要編輯用戶端憑證:

    • 您擁有管理節點的IP位址或網域名稱。

    • 若要上傳您自己的憑證或新的憑證、您的本機電腦上可以使用私密金鑰、用戶端憑證和CA(如果使用)。

新增用戶端憑證

若要新增用戶端憑證、請使用下列其中一個程序:

管理介面憑證已設定

如果已使用客戶提供的CA、用戶端憑證和私密金鑰來設定管理介面憑證、請使用此程序來新增用戶端憑證。

步驟
  1. 在Grid Manager中、選取*組態*>*安全性*>*憑證*、然後選取*用戶端*索引標籤。

  2. 選取*「Add*」。

  3. 輸入憑證名稱。

  4. 若要使用您的外部監控工具存取 Prometheus* 指標、請選取 * 允許 Prometheus* 。

  5. 選擇*繼續*。

  6. 對於 * 附加憑證 * 步驟、請上傳管理介面憑證。

    1. 選擇*上傳憑證*。

    2. 選擇 * 瀏覽 * 並選擇管理介面憑證檔案(.pem)。

      • 選取*用戶端憑證詳細資料*以顯示憑證中繼資料和憑證PEE。

      • 選取*複製憑證PEP*以複製憑證內容以貼到其他位置。

    3. 選取*「Create」(建立)*以在Grid Manager中儲存憑證。

      新的憑證會顯示在「用戶端」索引標籤上。

  7. 設定外部監控工具例如 Grafana 。

CA發行的用戶端憑證

如果未設定管理介面憑證、且您計畫新增使用CA發行用戶端憑證和私密金鑰的Prometheus用戶端憑證、請使用此程序來新增管理員用戶端憑證。

步驟
  1. 執行步驟至"設定管理介面憑證"

  2. 在Grid Manager中、選取*組態*>*安全性*>*憑證*、然後選取*用戶端*索引標籤。

  3. 選取*「Add*」。

  4. 輸入憑證名稱。

  5. 若要使用您的外部監控工具存取 Prometheus* 指標、請選取 * 允許 Prometheus* 。

  6. 選擇*繼續*。

  7. 對於 * 附加憑證 * 步驟、請上傳用戶端憑證、私密金鑰和 CA 套裝組合檔案:

    1. 選擇*上傳憑證*。

    2. 選擇 * 瀏覽 * 並選擇用戶端憑證、私密金鑰和 CA 套裝組合檔案(.pem)。

      • 選取*用戶端憑證詳細資料*以顯示憑證中繼資料和憑證PEE。

      • 選取*複製憑證PEP*以複製憑證內容以貼到其他位置。

    3. 選取*「Create」(建立)*以在Grid Manager中儲存憑證。

      新的憑證會顯示在「用戶端」索引標籤上。

  8. 設定外部監控工具例如 Grafana 。

從Grid Manager產生憑證

如果管理介面憑證尚未設定、且您計畫在Grid Manager中新增使用產生憑證功能的Prometheus用戶端憑證、請使用此程序來新增管理員用戶端憑證。

步驟
  1. 在Grid Manager中、選取*組態*>*安全性*>*憑證*、然後選取*用戶端*索引標籤。

  2. 選取*「Add*」。

  3. 輸入憑證名稱。

  4. 若要使用您的外部監控工具存取 Prometheus* 指標、請選取 * 允許 Prometheus* 。

  5. 選擇*繼續*。

  6. 對於 * 附加憑證 * 步驟、請選取 * 產生憑證 * 。

  7. 指定憑證資訊:

    • * 主旨 * (選用):憑證擁有者的 X.509 主體或辨別名稱( DN )。

    • * 有效天數 * :產生的憑證自產生之日起有效的天數。

    • * 新增金鑰使用方式延伸 * :如果選取(預設和建議)、金鑰使用方式和延伸金鑰使用方式延伸功能會新增至產生的憑證。

      這些延伸定義了憑證中所含金鑰的用途。

    註 除非您在憑證包含這些副檔名時、遇到舊版用戶端的連線問題、否則請保留此核取方塊。
  8. 選取*產生*。

  9. [Client_cert詳細資料]選取*用戶端憑證詳細資料*以顯示憑證中繼資料和憑證PEE。

    提示 關閉對話方塊後、您將無法檢視憑證私密金鑰。將金鑰複製或下載到安全位置。
    • 選取*複製憑證PEP*以複製憑證內容以貼到其他位置。

    • 選取*下載憑證*以儲存憑證檔案。

      指定憑證檔案名稱和下載位置。使用副檔名儲存檔案 .pem

    例如: storagegrid_certificate.pem

    • 選取*複製私密金鑰*以複製憑證私密金鑰、以便貼到其他位置。

    • 選取*下載私密金鑰*將私密金鑰儲存為檔案。

      指定私密金鑰檔案名稱和下載位置。

  10. 選取*「Create」(建立)*以在Grid Manager中儲存憑證。

    新的憑證會顯示在「用戶端」索引標籤上。

  11. 在Grid Manager中、選取*組態*>*安全性*>*憑證*、然後選取*全域*索引標籤。

  12. 選擇*管理介面認證*。

  13. 選擇*使用自訂憑證*。

  14. 從步驟中上傳 certificate .pem 和 private _key.pem 檔案用戶端憑證詳細資料。不需要上傳CA套裝組合。

    1. 選擇*上傳認證*、然後選擇*繼續*。

    2. 上傳每個憑證檔案(.pem)。

    3. 選取*「儲存*」、將憑證儲存在Grid Manager中。

      新的憑證會出現在管理介面憑證頁面上。

  15. 設定外部監控工具例如 Grafana 。

設定外部監控工具

步驟
  1. 在外部監控工具(例如Grafana)上設定下列設定。

    1. 名稱:輸入連線名稱。

      不需要此資訊、但您必須提供名稱來測試連線。StorageGRID

    2. * URL*:輸入管理節點的網域名稱或IP位址。指定HTTPS和連接埠9091。

      例如: https://admin-node.example.com:9091

    3. 啟用* TLS用戶端驗證*和* CA認證*。

    4. 在「TLS/SSL驗證詳細資料」下、複製並貼上:+

      • 管理介面CA憑證至「**CA認證」

      • 用戶端認證至*用戶端認證

      • 用於**用戶端金鑰*的私密金鑰

    5. 伺服器名稱:輸入管理節點的網域名稱。

      伺服器名稱必須符合管理介面憑證中顯示的網域名稱。

  2. 儲存並測試您從StorageGRID 餐廳或本機檔案複製的憑證和私密金鑰。

    您現在可以StorageGRID 使用外部監控工具、從功能表上存取Prometheus指標。

    如需有關度量的資訊、請參閱"監控StorageGRID 功能說明"

編輯用戶端憑證

您可以編輯系統管理員用戶端憑證來變更其名稱、啟用或停用Prometheus存取、或是在目前憑證過期時上傳新的憑證。

步驟
  1. 選擇*組態*>*安全性*>*憑證*、然後選擇*用戶端*索引標籤。

    下表列出憑證到期日和Prometheus存取權限。如果憑證即將到期或已過期、表格中會出現訊息、並觸發警示。

  2. 選取您要編輯的憑證。

  3. 選取*編輯*、然後選取*編輯名稱和權限*

  4. 輸入憑證名稱。

  5. 若要使用您的外部監控工具存取 Prometheus* 指標、請選取 * 允許 Prometheus* 。

  6. 選擇*繼續*以在Grid Manager中儲存憑證。

    更新的憑證會顯示在「用戶端」索引標籤上。

附加新的用戶端憑證

您可以在目前的憑證過期時上傳新的憑證。

步驟
  1. 選擇*組態*>*安全性*>*憑證*、然後選擇*用戶端*索引標籤。

    下表列出憑證到期日和Prometheus存取權限。如果憑證即將到期或已過期、表格中會出現訊息、並觸發警示。

  2. 選取您要編輯的憑證。

  3. 選取*編輯*、然後選取編輯選項。

    上傳憑證

    複製憑證文字以貼到其他位置。

    1. 選擇*上傳認證*、然後選擇*繼續*。

    2. 上傳用戶端憑證名稱(.pem)。

      選取*用戶端憑證詳細資料*以顯示憑證中繼資料和憑證PEE。

      • 選取*下載憑證*以儲存憑證檔案。

        指定憑證檔案名稱和下載位置。使用副檔名儲存檔案 .pem

      例如: storagegrid_certificate.pem

      • 選取*複製憑證PEP*以複製憑證內容以貼到其他位置。

    3. 選取*「Create」(建立)*以在Grid Manager中儲存憑證。

      更新的憑證會顯示在「用戶端」索引標籤上。

    產生憑證

    產生要貼到其他位置的憑證文字。

    1. 選擇*產生憑證*。

    2. 指定憑證資訊:

      • * 主旨 * (選用):憑證擁有者的 X.509 主體或辨別名稱( DN )。

      • * 有效天數 * :產生的憑證自產生之日起有效的天數。

      • * 新增金鑰使用方式延伸 * :如果選取(預設和建議)、金鑰使用方式和延伸金鑰使用方式延伸功能會新增至產生的憑證。

        這些延伸定義了憑證中所含金鑰的用途。

      註 除非您在憑證包含這些副檔名時、遇到舊版用戶端的連線問題、否則請保留此核取方塊。
    3. 選取*產生*。

    4. 選取*用戶端憑證詳細資料*以顯示憑證中繼資料和憑證PEE。

      提示 關閉對話方塊後、您將無法檢視憑證私密金鑰。將金鑰複製或下載到安全位置。
      • 選取*複製憑證PEP*以複製憑證內容以貼到其他位置。

      • 選取*下載憑證*以儲存憑證檔案。

        指定憑證檔案名稱和下載位置。使用副檔名儲存檔案 .pem

      例如: storagegrid_certificate.pem

      • 選取*複製私密金鑰*以複製憑證私密金鑰、以便貼到其他位置。

      • 選取*下載私密金鑰*將私密金鑰儲存為檔案。

        指定私密金鑰檔案名稱和下載位置。

    5. 選取*「Create」(建立)*以在Grid Manager中儲存憑證。

      新的憑證會顯示在「用戶端」索引標籤上。

下載或複製用戶端憑證

您可以下載或複製用戶端憑證、以便在其他地方使用。

步驟
  1. 選擇*組態*>*安全性*>*憑證*、然後選擇*用戶端*索引標籤。

  2. 選取您要複製或下載的憑證。

  3. 下載或複製憑證。

    下載憑證檔案

    下載憑證 `.pem`檔案。

    1. 選擇*下載憑證*。

    2. 指定憑證檔案名稱和下載位置。使用副檔名儲存檔案 .pem

      例如: storagegrid_certificate.pem

    複製憑證

    複製憑證文字以貼到其他位置。

    1. 選擇*複製憑證PEP*。

    2. 將複製的憑證貼到文字編輯器中。

    3. 使用副檔名儲存文字檔 .pem

      例如: storagegrid_certificate.pem

移除用戶端憑證

如果不再需要系統管理員用戶端憑證、您可以將其移除。

步驟
  1. 選擇*組態*>*安全性*>*憑證*、然後選擇*用戶端*索引標籤。

  2. 選取您要移除的憑證。

  3. 選擇*刪除*、然後確認。

註 若要移除最多10個憑證、請在「用戶端」索引標籤上選取要移除的每個憑證、然後選取*「動作」>「刪除」*。

移除憑證後、使用該憑證的用戶端必須指定新的用戶端憑證、才能存取StorageGRID 《The動ePrometheus資料庫》。