設定管理介面憑證
您可以使用單一自訂憑證來取代預設的管理介面憑證、讓使用者能夠存取Grid Manager和租戶管理程式、而不會遇到安全性警告。您也可以還原為預設的管理介面憑證、或是產生新的憑證。
根據預設、每個管理節點都會核發由網格CA簽署的憑證。這些CA簽署的憑證可由單一通用的自訂管理介面憑證和對應的私密金鑰取代。
由於所有管理節點都使用單一自訂管理介面憑證、因此如果用戶端在連線至Grid Manager和Tenant Manager時需要驗證主機名稱、則必須將憑證指定為萬用字元或多網域憑證。定義自訂憑證、使其符合網格中的所有管理節點。
您需要在伺服器上完成組態、視您使用的根憑證授權單位(CA)而定、使用者可能也需要在網頁瀏覽器中安裝Grid CA憑證、以便存取Grid Manager和租戶管理程式。
為了確保作業不會因伺服器憑證故障而中斷、當此伺服器憑證即將過期時、就會觸發 * 管理介面伺服器憑證過期 * 警示。如有需要、您可以選取*組態*>*安全性*>*憑證*來檢視目前憑證的到期日、並在「全域」索引標籤上查看管理介面憑證的到期日。 |
如果您使用網域名稱而非IP位址來存取Grid Manager或Tenant Manager、則瀏覽器會顯示憑證錯誤、且在發生下列任一情況時、不會出現跳過的選項:
|
新增自訂管理介面認證
若要新增自訂管理介面認證、您可以提供自己的認證、或使用Grid Manager產生認證。
-
選擇*組態*>*安全性*>*憑證*。
-
在* Global*索引標籤上、選取*管理介面認證*。
-
選擇*使用自訂憑證*。
-
上傳或產生憑證。
上傳憑證上傳所需的伺服器憑證檔案。
-
選擇*上傳憑證*。
-
上傳所需的伺服器憑證檔案:
-
伺服器憑證:自訂伺服器憑證檔案(PEM編碼)。
-
* 憑證私密金鑰 * :自訂伺服器憑證私密金鑰檔案(
.key
)。EC 私密金鑰必須大於 224 位元。RSA 私密金鑰必須大於 2048 位元。 -
* CA套裝組合*:單一選用檔案、內含來自每個中繼發行憑證授權單位(CA)的憑證。檔案應包含以憑證鏈順序串聯的每個由PEE編碼的CA憑證檔案。
-
-
展開*憑證詳細資料*、即可查看您上傳之每個憑證的中繼資料。如果您上傳了選用的CA套件、每個憑證都會顯示在其各自的索引標籤上。
-
選取*下載憑證*以儲存憑證檔案、或選取*下載CA套件*以儲存憑證套件組合。
指定憑證檔案名稱和下載位置。使用副檔名儲存檔案
.pem
。
例如:
storagegrid_certificate.pem
-
選擇*複製憑證PEP*或*複製CA套裝組合PEP*、即可複製憑證內容以貼到其他位置。
-
-
選擇*保存*。+自訂管理介面憑證可用於所有後續新連線至Grid Manager、Tenant Manager、Grid Manager API或Tenant Manager API。
產生憑證產生伺服器憑證檔案。
正式作業環境的最佳實務做法是使用由外部憑證授權單位簽署的自訂管理介面憑證。 -
選擇*產生憑證*。
-
指定憑證資訊:
欄位 說明 網域名稱
要包含在憑證中的一或多個完整網域名稱。使用*作為萬用字元來代表多個網域名稱。
IP
要包含在憑證中的一或多個 IP 位址。
主旨(選用)
憑證擁有者的 X.509 主體或辨別名稱( DN )。
如果在此欄位中未輸入任何值、則產生的憑證會使用第一個網域名稱或 IP 位址做為主體一般名稱( CN )。
有效天數
憑證建立後過期的天數。
新增金鑰使用方式擴充功能
如果選取(預設和建議)、金鑰使用方式和延伸金鑰使用方式延伸會新增至產生的憑證。
這些延伸定義了憑證中所含金鑰的用途。
-
附註 * :除非您在憑證包含這些副檔名時遇到舊版用戶端的連線問題、否則請保留此核取方塊。
-
-
選取*產生*。
-
選取*憑證詳細資料*以查看所產生憑證的中繼資料。
-
選取*下載憑證*以儲存憑證檔案。
指定憑證檔案名稱和下載位置。使用副檔名儲存檔案
.pem
。
例如:
storagegrid_certificate.pem
-
選取*複製憑證PEP*以複製憑證內容以貼到其他位置。
-
-
選擇*保存*。+自訂管理介面憑證可用於所有後續新連線至Grid Manager、Tenant Manager、Grid Manager API或Tenant Manager API。
-
-
重新整理頁面以確保網頁瀏覽器已更新。
上傳或產生新的憑證後、請允許清除任何相關的憑證過期警示一天。 -
新增自訂管理介面憑證之後、「管理介面憑證」頁面會顯示使用中憑證的詳細憑證資訊。+您可以視需要下載或複製憑證PEE。
還原預設的管理介面憑證
您可以恢復使用Grid Manager和Tenant Manager連線的預設管理介面憑證。
-
選擇*組態*>*安全性*>*憑證*。
-
在* Global*索引標籤上、選取*管理介面認證*。
-
選擇*使用預設憑證*。
當您還原預設的管理介面憑證時、您設定的自訂伺服器憑證檔案會被刪除、而且無法從系統中還原。預設的管理介面憑證會用於所有後續的新用戶端連線。
-
重新整理頁面以確保網頁瀏覽器已更新。
使用指令碼來產生新的自我簽署管理介面憑證
如果需要嚴格的主機名稱驗證、您可以使用指令碼來產生管理介面憑證。
-
您有 "特定存取權限"。
-
您有 `Passwords.txt`檔案。
正式作業環境的最佳實務做法是使用外部憑證授權單位所簽署的憑證。
-
取得每個管理節點的完整網域名稱(FQDN)。
-
登入主要管理節點:
-
輸入下列命令:
ssh admin@primary_Admin_Node_IP
-
輸入檔案中列出的密碼
Passwords.txt
。 -
輸入以下命令切換到 root :
su -
-
輸入檔案中列出的密碼
Passwords.txt
。當您以 root 登入時、提示會從變更
$`為 `#
。
-
-
使用StorageGRID 新的自我簽署憑證來設定功能。
$ sudo make-certificate --domains wildcard-admin-node-fqdn --type management
-
對於
--domains
、請使用萬用字元來代表所有管理節點的完整網域名稱。例如*.ui.storagegrid.example.com
,使用 * 萬用字元來表示admin1.ui.storagegrid.example.com`和 `admin2.ui.storagegrid.example.com
。 -
設 `--type`為 `management`可設定 Grid Manager 和 Tenant Manager 所使用的管理介面憑證。
-
根據預設、產生的憑證有效期間為一年(365天)、必須在到期前重新建立。您可以使用 `--days`引數來覆寫預設的有效期間。
憑證的有效期間從執行開始 make-certificate
。您必須確保管理用戶端與StorageGRID 其他來源同步、否則用戶端可能會拒絕該憑證。$ sudo make-certificate --domains *.ui.storagegrid.example.com --type management --days 720
產生的輸出包含管理API用戶端所需的公開憑證。
-
-
選取並複製憑證。
在您的選擇中加入開始標記和結束標記。
-
登出命令 Shell 。
$ exit
-
確認已設定憑證:
-
存取Grid Manager。
-
選擇*組態*>*安全性*>*憑證*
-
在* Global*索引標籤上、選取*管理介面認證*。
-
-
設定管理用戶端使用您複製的公用憑證。包括開始和結束標記。
下載或複製管理介面憑證
您可以儲存或複製管理介面憑證內容、以便在其他地方使用。
-
選擇*組態*>*安全性*>*憑證*。
-
在* Global*索引標籤上、選取*管理介面認證*。
-
選取「伺服器」或「* CA套裝組合*」索引標籤、然後下載或複製憑證。
下載憑證檔案或CA套裝組合下載憑證或 CA 套件 `.pem`檔案。如果您使用選用的CA套件組合、套件中的每個憑證都會顯示在其各自的子索引標籤上。
-
選擇*下載憑證*或*下載CA套裝組合*。
如果您要下載CA套件、CA套件次要索引標籤中的所有憑證都會以單一檔案下載。
-
指定憑證檔案名稱和下載位置。使用副檔名儲存檔案
.pem
。例如:
storagegrid_certificate.pem
複製憑證或CA套裝組合PEE複製憑證文字以貼到其他位置。如果您使用選用的CA套件組合、套件中的每個憑證都會顯示在其各自的子索引標籤上。
-
選擇*複製憑證PEP*或*複製CA套裝組合PEP*。
如果您要複製CA套件組合、CA套件中的所有憑證都會一起複製二線索引標籤。
-
將複製的憑證貼到文字編輯器中。
-
使用副檔名儲存文字檔
.pem
。例如:
storagegrid_certificate.pem
-