Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定 S3 API 憑證

貢獻者

您可以取代或還原用於 S3 用戶端連線至儲存節點或負載平衡器端點的伺服器憑證。置換的自訂伺服器憑證是您組織專屬的。

提示 Swift 詳細資料已從此文件網站版本中移除。請參閱。 "StorageGRID 11.8 :設定 S3 和 Swift API 憑證"
關於這項工作

根據預設、每個儲存節點都會核發由網格CA簽署的X.509伺服器憑證。這些CA簽署的憑證可由單一通用的自訂伺服器憑證和對應的私密金鑰取代。

所有儲存節點都使用單一自訂伺服器憑證、因此如果用戶端在連線至儲存端點時需要驗證主機名稱、則必須將憑證指定為萬用字元或多網域憑證。定義自訂憑證、使其符合網格中的所有儲存節點。

在伺服器上完成組態後、您可能還需要在 S3 API 用戶端中安裝 Grid CA 憑證、以供存取系統、視您使用的根憑證授權單位( CA )而定。

註 為了確保作業不會因伺服器憑證故障而中斷、當根伺服器憑證即將過期時、會觸發 S3 API* 的 * 通用伺服器憑證過期。視需要、您可以選取 * 組態 * > * 安全性 * > * 憑證 * 、並查看「全域」索引標籤上 S3 API 憑證的到期日、以檢視目前憑證何時到期。

您可以上傳或產生自訂的 S3 API 憑證。

新增自訂的 S3 API 憑證

步驟
  1. 選擇*組態*>*安全性*>*憑證*。

  2. 在 * 全球 * 標籤上、選取 * S3 API 憑證 * 。

  3. 選擇*使用自訂憑證*。

  4. 上傳或產生憑證。

    上傳憑證

    上傳所需的伺服器憑證檔案。

    1. 選擇*上傳憑證*。

    2. 上傳所需的伺服器憑證檔案:

      • 伺服器憑證:自訂伺服器憑證檔案(PEM編碼)。

      • * 憑證私密金鑰 * :自訂伺服器憑證私密金鑰檔案(.key)。

        註 EC 私密金鑰必須大於 224 位元。RSA 私密金鑰必須大於 2048 位元。
      • * CA套裝組合*:單一選用檔案、內含來自每個中繼發行憑證授權單位的憑證。檔案應包含以憑證鏈順序串聯的每個由PEE編碼的CA憑證檔案。

    3. 選取憑證詳細資料、以顯示上傳的每個自訂 S3 API 憑證的中繼資料和 PEM 。如果您上傳了選用的CA套件、每個憑證都會顯示在其各自的索引標籤上。

      • 選取*下載憑證*以儲存憑證檔案、或選取*下載CA套件*以儲存憑證套件組合。

        指定憑證檔案名稱和下載位置。使用副檔名儲存檔案 .pem

      例如: storagegrid_certificate.pem

      • 選擇*複製憑證PEP*或*複製CA套裝組合PEP*、即可複製憑證內容以貼到其他位置。

    4. 選擇*保存*。

      自訂伺服器憑證用於後續的新 S3 用戶端連線。

    產生憑證

    產生伺服器憑證檔案。

    1. 選擇*產生憑證*。

    2. 指定憑證資訊:

      欄位 說明

      網域名稱

      要包含在憑證中的一或多個完整網域名稱。使用*作為萬用字元來代表多個網域名稱。

      IP

      要包含在憑證中的一或多個 IP 位址。

      主旨(選用)

      憑證擁有者的 X.509 主體或辨別名稱( DN )。

      如果在此欄位中未輸入任何值、則產生的憑證會使用第一個網域名稱或 IP 位址做為主體一般名稱( CN )。

      有效天數

      憑證建立後過期的天數。

      新增金鑰使用方式擴充功能

      如果選取(預設和建議)、金鑰使用方式和延伸金鑰使用方式延伸會新增至產生的憑證。

      這些延伸定義了憑證中所含金鑰的用途。

      • 附註 * :除非您在憑證包含這些副檔名時遇到舊版用戶端的連線問題、否則請保留此核取方塊。

    3. 選取*產生*。

    4. 選取 * 憑證詳細資料 * 以顯示產生之自訂 S3 API 憑證的中繼資料和 PEM 。

      • 選取*下載憑證*以儲存憑證檔案。

        指定憑證檔案名稱和下載位置。使用副檔名儲存檔案 .pem

      例如: storagegrid_certificate.pem

      • 選取*複製憑證PEP*以複製憑證內容以貼到其他位置。

    5. 選擇*保存*。

      自訂伺服器憑證用於後續的新 S3 用戶端連線。

  5. 選取索引標籤以顯示預設StorageGRID 的還原伺服器憑證的中繼資料、已上傳的CA簽署憑證、或是已產生的自訂憑證。

    註 上傳或產生新的憑證後、請允許清除任何相關的憑證過期警示一天。
  6. 重新整理頁面以確保網頁瀏覽器已更新。

  7. 新增自訂 S3 API 憑證之後、 S3 API 憑證頁面會顯示使用中之自訂 S3 API 憑證的詳細憑證資訊。+您可以視需要下載或複製憑證PEE。

還原預設的 S3 API 憑證

您可以將 S3 用戶端連線至儲存節點的預設 S3 API 憑證還原為使用。不過、您無法將預設的 S3 API 憑證用於負載平衡器端點。

步驟
  1. 選擇*組態*>*安全性*>*憑證*。

  2. 在 * 全球 * 標籤上、選取 * S3 API 憑證 * 。

  3. 選擇*使用預設憑證*。

    當您還原全域 S3 API 憑證的預設版本時、您設定的自訂伺服器憑證檔案會遭到刪除、而且無法從系統中還原。預設的 S3 API 憑證將用於後續新的 S3 用戶端連線至儲存節點。

  4. 選取 * 確定 * 以確認警告並還原預設的 S3 API 憑證。

    如果您具有根存取權限、且已將自訂 S3 API 憑證用於負載平衡器端點連線、則會顯示負載平衡器端點的清單、無法再使用預設的 S3 API 憑證來存取這些端點。移至"設定負載平衡器端點"以編輯或移除受影響的端點。

  5. 重新整理頁面以確保網頁瀏覽器已更新。

下載或複製 S3 API 憑證

您可以儲存或複製 S3 API 憑證內容、以便在其他地方使用。

步驟
  1. 選擇*組態*>*安全性*>*憑證*。

  2. 在 * 全球 * 標籤上、選取 * S3 API 憑證 * 。

  3. 選取「伺服器」或「* CA套裝組合*」索引標籤、然後下載或複製憑證。

    下載憑證檔案或CA套裝組合

    下載憑證或 CA 套件 `.pem`檔案。如果您使用選用的CA套件組合、套件中的每個憑證都會顯示在其各自的子索引標籤上。

    1. 選擇*下載憑證*或*下載CA套裝組合*。

      如果您要下載CA套件、CA套件次要索引標籤中的所有憑證都會以單一檔案下載。

    2. 指定憑證檔案名稱和下載位置。使用副檔名儲存檔案 .pem

      例如: storagegrid_certificate.pem

    複製憑證或CA套裝組合PEE

    複製憑證文字以貼到其他位置。如果您使用選用的CA套件組合、套件中的每個憑證都會顯示在其各自的子索引標籤上。

    1. 選擇*複製憑證PEP*或*複製CA套裝組合PEP*。

      如果您要複製CA套件組合、CA套件中的所有憑證都會一起複製二線索引標籤。

    2. 將複製的憑證貼到文字編輯器中。

    3. 使用副檔名儲存文字檔 .pem

      例如: storagegrid_certificate.pem