Verwalten Sie die TLS- und SSH-Richtlinie
Die TLS- und SSH-Richtlinie legt fest, welche Protokolle und Chiffren verwendet werden, um sichere TLS-Verbindungen mit Clientanwendungen und sichere SSH-Verbindungen zu internen StorageGRID-Diensten herzustellen.
Die Sicherheitsrichtlinie steuert, wie TLS und SSH Daten in Bewegung verschlüsseln. Verwenden Sie im Allgemeinen die moderne Kompatibilitätsrichtlinie (Standard), es sei denn, Ihr System muss Common Criteria-konform sein oder Sie müssen andere Chiffren verwenden.
Einige StorageGRID-Dienste wurden nicht aktualisiert, um die Chiffren in diesen Richtlinien zu verwenden. |
-
Sie sind mit einem bei Grid Manager angemeldet "Unterstützter Webbrowser".
-
Sie haben die "Root-Zugriffsberechtigung".
Wählen Sie eine Sicherheitsrichtlinie aus
-
Wählen Sie CONFIGURATION > Security > Security settings.
Auf der Registerkarte TLS und SSH Policies werden die verfügbaren Richtlinien angezeigt. Die derzeit aktive Richtlinie wird durch ein grünes Häkchen auf der Kachel „Richtlinie“ gekennzeichnet.
-
Lesen Sie die Kacheln, um mehr über die verfügbaren Richtlinien zu erfahren.
Richtlinie Beschreibung Moderne Kompatibilität (Standard)
Verwenden Sie die Standardrichtlinie, wenn Sie eine starke Verschlüsselung benötigen und wenn Sie keine besonderen Anforderungen haben. Diese Richtlinie ist mit den meisten TLS- und SSH-Clients kompatibel.
Kompatibilität mit älteren Systemen
Verwenden Sie diese Richtlinie, wenn Sie zusätzliche Kompatibilitätsoptionen für ältere Clients benötigen. Die zusätzlichen Optionen in dieser Richtlinie machen sie möglicherweise weniger sicher als die moderne Kompatibilitätsrichtlinie.
Gemeinsame Kriterien
Verwenden Sie diese Richtlinie, wenn Sie eine Common Criteria-Zertifizierung benötigen.
FIPS-strikt
Verwenden Sie diese Richtlinie, wenn Sie eine Common Criteria-Zertifizierung benötigen und das Cryptographic Security Module 3.0.8 von NetApp für externe Clientverbindungen zu Load Balancer-Endpunkten, Mandantenmanager und Grid Manager verwenden müssen. Die Verwendung dieser Richtlinie kann die Performance beeinträchtigen.
Hinweis: Nachdem Sie diese Richtlinie ausgewählt haben, müssen alle Knoten sein "Neu gestartet in einer rollenden Art und Weise" Zum Aktivieren des NetApp Cryptographic Sicherheitsmoduls. Verwenden Sie Maintenance > Rolling reboot, um Neustarts zu initiieren und zu überwachen.
Individuell
Erstellen Sie eine benutzerdefinierte Richtlinie, wenn Sie Ihre eigenen Chiffren anwenden müssen.
-
Um Details zu den Chiffren, Protokollen und Algorithmen der einzelnen Richtlinien anzuzeigen, wählen Sie Details anzeigen.
-
Um die aktuelle Richtlinie zu ändern, wählen Sie Richtlinie verwenden.
Ein grünes Häkchen erscheint neben Aktuelle Richtlinie auf der Policy-Kachel.
Erstellen Sie eine benutzerdefinierte Sicherheitsrichtlinie
Sie können eine benutzerdefinierte Richtlinie erstellen, wenn Sie Ihre eigenen Chiffren anwenden müssen.
-
Wählen Sie auf der Kachel der Richtlinie, die der benutzerdefinierten Richtlinie, die Sie erstellen möchten, am ähnlichsten ist, Details anzeigen aus.
-
Wählen Sie in Zwischenablage kopieren, und wählen Sie dann Abbrechen.
-
Wählen Sie in der Kachel Benutzerdefinierte Richtlinie die Option Konfigurieren und Verwenden aus.
-
Fügen Sie die JSON ein, die Sie kopiert haben, und nehmen Sie alle erforderlichen Änderungen vor.
-
Wählen Sie Richtlinie verwenden.
Auf der Kachel „Benutzerdefinierte Richtlinie“ wird ein grünes Häkchen neben Aktuelle Richtlinie angezeigt.
-
Wählen Sie optional Konfiguration bearbeiten, um weitere Änderungen an der neuen benutzerdefinierten Richtlinie vorzunehmen.
Vorübergehendes Zurücksetzen auf die Standard-Sicherheitsrichtlinie
Wenn Sie eine benutzerdefinierte Sicherheitsrichtlinie konfiguriert haben, können Sie sich möglicherweise nicht beim Grid Manager anmelden, wenn die konfigurierte TLS-Richtlinie nicht mit dem kompatibel ist "Serverzertifikat konfiguriert".
Sie können vorübergehend auf die Standard-Sicherheitsrichtlinie zurücksetzen.
-
Melden Sie sich bei einem Admin-Knoten an:
-
Geben Sie den folgenden Befehl ein:
ssh admin@Admin_Node_IP
-
Geben Sie das im aufgeführte Passwort ein
Passwords.txt
Datei: -
Geben Sie den folgenden Befehl ein, um zum Root zu wechseln:
su -
-
Geben Sie das im aufgeführte Passwort ein
Passwords.txt
Datei:Wenn Sie als root angemeldet sind, ändert sich die Eingabeaufforderung von
$
Bis#
.
-
-
Führen Sie den folgenden Befehl aus:
restore-default-cipher-configurations
-
Greifen Sie über einen Webbrowser auf den Grid Manager auf demselben Admin-Node zu.
-
Befolgen Sie die Schritte unter Wählen Sie eine Sicherheitsrichtlinie aus Um die Richtlinie erneut zu konfigurieren.