Los geht's
Härtungsrichtlinien für Serverzertifikate
Änderungen vorschlagen
-
PDF dieser Dokumentationssite
-
Installation und Wartung von Appliance-Hardware
-
SG100- und SG1000-Services-Appliances
-
SG6000 Storage-Appliances
-
-
Installation und Upgrade von Software
-
Installieren Sie Red hat Enterprise Linux oder CentOS
-
-
Durchführung der Systemadministration
-
StorageGRID verwalten
-
-
Verwenden Sie StorageGRID
-
Überwachung und Wartung von StorageGRID
-
Recovery und Wartung
-
Verfahren zur Recovery von Grid-Nodes
-
-
-
Sammlung separater PDF-Dokumente
Creating your file...
Sie sollten die während der Installation erstellten Standardzertifikate durch eigene benutzerdefinierte Zertifikate ersetzen.
Für viele Unternehmen entspricht das selbstsignierte digitale Zertifikat für den StorageGRID-Webzugriff nicht den Richtlinien für die Informationssicherheit. Auf Produktionssystemen sollten Sie ein CA-signiertes digitales Zertifikat zur Verwendung bei der Authentifizierung von StorageGRID installieren.
Sie sollten insbesondere anstelle der folgenden Standardzertifikate benutzerdefinierte Serverzertifikate verwenden:
-
Zertifikat der Verwaltungsschnittstelle: Zur Sicherung des Zugriffs auf den Grid Manager, den Tenant Manager, die Grid Management API und die Tenant Management API.
-
S3- und Swift-API-Zertifikat: Dient zum sicheren Zugriff auf Storage-Nodes und Gateway-Nodes, die S3- und Swift-Client-Anwendungen zum Hochladen und Herunterladen von Objektdaten verwenden.
|
StorageGRID managt die für Load Balancer-Endpunkte verwendeten Zertifikate separat. Informationen zum Konfigurieren von Load Balancer-Zertifikaten finden Sie in den Schritten zum Konfigurieren von Load Balancer-Endpunkten in den Anweisungen zur Verwaltung von StorageGRID. |
Wenn Sie benutzerdefinierte Serverzertifikate verwenden, befolgen Sie die folgenden Richtlinien:
-
Zertifikate sollten ein haben
subjectAltNameDas stimmt mit DNS-Einträgen für StorageGRID überein. Weitere Informationen finden Sie in Abschnitt 4.2.1.6, „SAlternative Name des Subject“ in "RFC 5280: PKIX-Zertifikat und CRL-Profil". -
Wenn möglich, vermeiden Sie die Verwendung von Platzhalterzertifikaten. Eine Ausnahme von dieser Richtlinie ist das Zertifikat für einen virtualisierten S3-Endpunkt im gehosteten Stil. Dazu ist die Verwendung eines Platzhalters erforderlich, wenn Bucket-Namen vorab nicht bekannt sind.
-
Wenn Sie Wildcards in Zertifikaten verwenden müssen, sollten Sie weitere Schritte zur Reduzierung der Risiken Unternehmen. Verwenden Sie ein Platzhalter-Muster z. B.
*.s3.example.com, Und verwenden Sie nicht dies3.example.comSuffix für andere Applikationen Dieses Muster funktioniert auch mit Path-Style S3-Zugriff, z. B.dc1-s1.s3.example.com/mybucket. -
Legen Sie die Ablaufzeiten für das Zertifikat auf kurz (z. B. 2 Monate) fest, und automatisieren Sie die Zertifikatrotation mithilfe der Grid Management API. Dies ist besonders wichtig für Platzhalterzertifikate.
Darüber hinaus sollten Kunden bei der Kommunikation mit StorageGRID strenge Hostnamen-Kontrollen verwenden.