設定 S3 API 憑證
您可以取代或還原用於 S3 用戶端連線至儲存節點或負載平衡器端點的伺服器憑證。置換的自訂伺服器憑證是您組織專屬的。
Swift 詳細資料已從此文件網站版本中移除。請參閱。 "StorageGRID 11.8 :設定 S3 和 Swift API 憑證" |
根據預設、每個儲存節點都會核發由網格CA簽署的X.509伺服器憑證。這些CA簽署的憑證可由單一通用的自訂伺服器憑證和對應的私密金鑰取代。
所有儲存節點都使用單一自訂伺服器憑證、因此如果用戶端在連線至儲存端點時需要驗證主機名稱、則必須將憑證指定為萬用字元或多網域憑證。定義自訂憑證、使其符合網格中的所有儲存節點。
在伺服器上完成組態後、您可能還需要在 S3 API 用戶端中安裝 Grid CA 憑證、以供存取系統、視您使用的根憑證授權單位( CA )而定。
為了確保作業不會因伺服器憑證故障而中斷、當根伺服器憑證即將過期時、會觸發 S3 API* 的 * 通用伺服器憑證過期。視需要、您可以選取 * 組態 * > * 安全性 * > * 憑證 * 、並查看「全域」索引標籤上 S3 API 憑證的到期日、以檢視目前憑證何時到期。 |
您可以上傳或產生自訂的 S3 API 憑證。
新增自訂的 S3 API 憑證
-
選擇*組態*>*安全性*>*憑證*。
-
在 * 全球 * 標籤上、選取 * S3 API 憑證 * 。
-
選擇*使用自訂憑證*。
-
上傳或產生憑證。
上傳憑證上傳所需的伺服器憑證檔案。
-
選擇*上傳憑證*。
-
上傳所需的伺服器憑證檔案:
-
伺服器憑證:自訂伺服器憑證檔案(PEM編碼)。
-
* 憑證私密金鑰 * :自訂伺服器憑證私密金鑰檔案(
.key
)。EC 私密金鑰必須大於 224 位元。RSA 私密金鑰必須大於 2048 位元。 -
* CA套裝組合*:單一選用檔案、內含來自每個中繼發行憑證授權單位的憑證。檔案應包含以憑證鏈順序串聯的每個由PEE編碼的CA憑證檔案。
-
-
選取憑證詳細資料、以顯示上傳的每個自訂 S3 API 憑證的中繼資料和 PEM 。如果您上傳了選用的CA套件、每個憑證都會顯示在其各自的索引標籤上。
-
選取*下載憑證*以儲存憑證檔案、或選取*下載CA套件*以儲存憑證套件組合。
指定憑證檔案名稱和下載位置。使用副檔名儲存檔案
.pem
。
例如:
storagegrid_certificate.pem
-
選擇*複製憑證PEP*或*複製CA套裝組合PEP*、即可複製憑證內容以貼到其他位置。
-
-
選擇*保存*。
自訂伺服器憑證用於後續的新 S3 用戶端連線。
產生憑證產生伺服器憑證檔案。
-
選擇*產生憑證*。
-
指定憑證資訊:
欄位 說明 網域名稱
要包含在憑證中的一或多個完整網域名稱。使用*作為萬用字元來代表多個網域名稱。
IP
要包含在憑證中的一或多個 IP 位址。
主旨(選用)
憑證擁有者的 X.509 主體或辨別名稱( DN )。
如果在此欄位中未輸入任何值、則產生的憑證會使用第一個網域名稱或 IP 位址做為主體一般名稱( CN )。
有效天數
憑證建立後過期的天數。
新增金鑰使用方式擴充功能
如果選取(預設和建議)、金鑰使用方式和延伸金鑰使用方式延伸會新增至產生的憑證。
這些延伸定義了憑證中所含金鑰的用途。
-
附註 * :除非您在憑證包含這些副檔名時遇到舊版用戶端的連線問題、否則請保留此核取方塊。
-
-
選取*產生*。
-
選取 * 憑證詳細資料 * 以顯示產生之自訂 S3 API 憑證的中繼資料和 PEM 。
-
選取*下載憑證*以儲存憑證檔案。
指定憑證檔案名稱和下載位置。使用副檔名儲存檔案
.pem
。
例如:
storagegrid_certificate.pem
-
選取*複製憑證PEP*以複製憑證內容以貼到其他位置。
-
-
選擇*保存*。
自訂伺服器憑證用於後續的新 S3 用戶端連線。
-
-
選取索引標籤以顯示預設StorageGRID 的還原伺服器憑證的中繼資料、已上傳的CA簽署憑證、或是已產生的自訂憑證。
上傳或產生新的憑證後、請允許清除任何相關的憑證過期警示一天。 -
重新整理頁面以確保網頁瀏覽器已更新。
-
新增自訂 S3 API 憑證之後、 S3 API 憑證頁面會顯示使用中之自訂 S3 API 憑證的詳細憑證資訊。+您可以視需要下載或複製憑證PEE。
還原預設的 S3 API 憑證
您可以將 S3 用戶端連線至儲存節點的預設 S3 API 憑證還原為使用。不過、您無法將預設的 S3 API 憑證用於負載平衡器端點。
-
選擇*組態*>*安全性*>*憑證*。
-
在 * 全球 * 標籤上、選取 * S3 API 憑證 * 。
-
選擇*使用預設憑證*。
當您還原全域 S3 API 憑證的預設版本時、您設定的自訂伺服器憑證檔案會遭到刪除、而且無法從系統中還原。預設的 S3 API 憑證將用於後續新的 S3 用戶端連線至儲存節點。
-
選取 * 確定 * 以確認警告並還原預設的 S3 API 憑證。
如果您具有根存取權限、且已將自訂 S3 API 憑證用於負載平衡器端點連線、則會顯示負載平衡器端點的清單、無法再使用預設的 S3 API 憑證來存取這些端點。移至"設定負載平衡器端點"以編輯或移除受影響的端點。
-
重新整理頁面以確保網頁瀏覽器已更新。
下載或複製 S3 API 憑證
您可以儲存或複製 S3 API 憑證內容、以便在其他地方使用。
-
選擇*組態*>*安全性*>*憑證*。
-
在 * 全球 * 標籤上、選取 * S3 API 憑證 * 。
-
選取「伺服器」或「* CA套裝組合*」索引標籤、然後下載或複製憑證。
下載憑證檔案或CA套裝組合下載憑證或 CA 套件 `.pem`檔案。如果您使用選用的CA套件組合、套件中的每個憑證都會顯示在其各自的子索引標籤上。
-
選擇*下載憑證*或*下載CA套裝組合*。
如果您要下載CA套件、CA套件次要索引標籤中的所有憑證都會以單一檔案下載。
-
指定憑證檔案名稱和下載位置。使用副檔名儲存檔案
.pem
。例如:
storagegrid_certificate.pem
複製憑證或CA套裝組合PEE複製憑證文字以貼到其他位置。如果您使用選用的CA套件組合、套件中的每個憑證都會顯示在其各自的子索引標籤上。
-
選擇*複製憑證PEP*或*複製CA套裝組合PEP*。
如果您要複製CA套件組合、CA套件中的所有憑證都會一起複製二線索引標籤。
-
將複製的憑證貼到文字編輯器中。
-
使用副檔名儲存文字檔
.pem
。例如:
storagegrid_certificate.pem
-