Sicherheitszertifikate verwalten
Änderungen vorschlagen
PDFs
Sicherheitszertifikate sind kleine Datendateien, die zum Erstellen sicherer, vertrauenswürdiger Verbindungen zwischen StorageGRID Komponenten sowie zwischen StorageGRID Komponenten und externen Systemen verwendet werden.
StorageGRID verwendet zwei Arten von Sicherheitszertifikaten:
-
Serverzertifikate sind erforderlich, wenn Sie HTTPS-Verbindungen verwenden. Serverzertifikate werden verwendet, um sichere Verbindungen zwischen Clients und Servern herzustellen, die Identität eines Servers gegenüber seinen Clients zu authentifizieren und einen sicheren Kommunikationspfad für Daten bereitzustellen. Sowohl der Server als auch der Client verfügen über eine Kopie des Zertifikats.
-
Client-Zertifikate authentifizieren die Identität eines Clients oder Benutzers gegenüber dem Server und bieten eine sicherere Authentifizierung als Passwörter allein. Client-Zertifikate verschlüsseln keine Daten.
Wenn ein Client über HTTPS eine Verbindung zum Server herstellt, antwortet der Server mit dem Serverzertifikat, das einen öffentlichen Schlüssel enthält. Der Client überprüft dieses Zertifikat, indem er die Serversignatur mit der Signatur auf seiner Kopie des Zertifikats vergleicht. Wenn die Signaturen übereinstimmen, startet der Client eine Sitzung mit dem Server unter Verwendung desselben öffentlichen Schlüssels.
StorageGRID fungiert als Server für einige Verbindungen (z. B. den Load Balancer-Endpunkt) oder als Client für andere Verbindungen (z. B. den CloudMirror-Replikationsdienst).
Standard-Grid-CA-Zertifikat
StorageGRID enthält eine integrierte Zertifizierungsstelle (CA), die während der Systeminstallation ein internes Grid-CA-Zertifikat generiert. Das Grid-CA-Zertifikat wird standardmäßig verwendet, um den internen StorageGRID -Verkehr zu sichern. Eine externe Zertifizierungsstelle (CA) kann benutzerdefinierte Zertifikate ausstellen, die vollständig mit den Informationssicherheitsrichtlinien Ihres Unternehmens konform sind. Obwohl Sie das Grid-CA-Zertifikat für eine Nicht-Produktionsumgebung verwenden können, besteht die bewährte Vorgehensweise für eine Produktionsumgebung darin, benutzerdefinierte Zertifikate zu verwenden, die von einer externen Zertifizierungsstelle signiert wurden. Ungesicherte Verbindungen ohne Zertifikat werden ebenfalls unterstützt, aber nicht empfohlen.
-
Benutzerdefinierte CA-Zertifikate entfernen die internen Zertifikate nicht. Die benutzerdefinierten Zertifikate sollten jedoch diejenigen sein, die zum Überprüfen von Serververbindungen angegeben sind.
-
Alle benutzerdefinierten Zertifikate müssen die"Richtlinien zur Systemhärtung für Serverzertifikate" .
-
StorageGRID unterstützt die Bündelung von Zertifikaten einer Zertifizierungsstelle in einer einzigen Datei (bekannt als CA-Zertifikatspaket).
|
StorageGRID umfasst auch CA-Zertifikate des Betriebssystems, die auf allen Grids gleich sind. Stellen Sie in Produktionsumgebungen sicher, dass Sie anstelle des CA-Zertifikats des Betriebssystems ein benutzerdefiniertes Zertifikat angeben, das von einer externen Zertifizierungsstelle signiert wurde. |
Varianten der Server- und Client-Zertifikattypen werden auf verschiedene Weise implementiert. Sie sollten alle für Ihre spezifische StorageGRID Konfiguration erforderlichen Zertifikate bereithalten, bevor Sie das System konfigurieren.
Zugriff auf Sicherheitszertifikate
Sie können an einem einzigen Ort auf Informationen zu allen StorageGRID -Zertifikaten zugreifen, zusammen mit Links zum Konfigurations-Workflow für jedes Zertifikat.
-
Wählen Sie im Grid Manager KONFIGURATION > Sicherheit > Zertifikate.
-
Wählen Sie auf der Seite „Zertifikate“ eine Registerkarte aus, um Informationen zu den einzelnen Zertifikatskategorien zu erhalten und auf die Zertifikatseinstellungen zuzugreifen. Sie können auf eine Registerkarte zugreifen, wenn Sie über die"entsprechende Erlaubnis" .
-
Global: Sichert den StorageGRID Zugriff von Webbrowsern und externen API-Clients.
-
Grid CA: Sichert den internen StorageGRID Verkehr.
-
Client: Sichert Verbindungen zwischen externen Clients und der StorageGRID Prometheus-Datenbank.
-
Load Balancer-Endpunkte: Sichert Verbindungen zwischen S3-Clients und dem StorageGRID Load Balancer.
-
Mandanten: Sichert Verbindungen zu Identitätsföderationsservern oder von Plattformdienst-Endpunkten zu S3-Speicherressourcen.
-
Sonstiges: Sichert StorageGRID Verbindungen, die bestimmte Zertifikate erfordern.
Jede Registerkarte wird unten mit Links zu weiteren Zertifikatsdetails beschrieben.
AllgemeinDie globalen Zertifikate sichern den StorageGRID Zugriff von Webbrowsern und externen S3-API-Clients. Während der Installation werden zunächst zwei globale Zertifikate von der StorageGRID Zertifizierungsstelle generiert. Die bewährte Vorgehensweise für eine Produktionsumgebung besteht darin, benutzerdefinierte Zertifikate zu verwenden, die von einer externen Zertifizierungsstelle signiert wurden.
-
Management-Schnittstellenzertifikat: Sichert Client-Webbrowser-Verbindungen zu StorageGRID Verwaltungsschnittstellen.
-
S3-API-Zertifikat: Sichert Client-API-Verbindungen zu Speicherknoten, Admin-Knoten und Gateway-Knoten, die von S3-Clientanwendungen zum Hoch- und Herunterladen von Objektdaten verwendet werden.
Zu den installierten globalen Zertifikaten gehören:
-
Name: Zertifikatsname mit Link zur Verwaltung des Zertifikats.
-
Beschreibung
-
Typ: Benutzerdefiniert oder Standard. + Sie sollten für eine verbesserte Grid-Sicherheit immer ein benutzerdefiniertes Zertifikat verwenden.
-
Ablaufdatum: Bei Verwendung des Standardzertifikats wird kein Ablaufdatum angezeigt.
Du kannst:
-
Ersetzen Sie die Standardzertifikate durch benutzerdefinierte Zertifikate, die von einer externen Zertifizierungsstelle signiert wurden, um die Grid-Sicherheit zu verbessern:
-
"Ersetzen Sie das standardmäßige, von StorageGRID generierte Management-Schnittstellenzertifikat"Wird für Grid Manager- und Tenant Manager-Verbindungen verwendet.
-
"Ersetzen des S3-API-Zertifikats"Wird für Verbindungen zu Speicherknoten und Lastenausgleichsendpunkten (optional) verwendet.
-
-
"Wiederherstellen des Standardzertifikats der Verwaltungsschnittstelle" .
-
Kopieren oder herunterladen Sie die"Management-Schnittstellenzertifikat" oder"S3-API-Zertifikat" .
Grid CADerGrid-CA-Zertifikat , das von der StorageGRID Zertifizierungsstelle während der StorageGRID Installation generiert wird, sichert den gesamten internen StorageGRID Verkehr.
Zu den Zertifikatsinformationen gehören das Ablaufdatum des Zertifikats und der Zertifikatsinhalt.
Du kannst"Kopieren oder laden Sie das Grid CA-Zertifikat herunter" , aber Sie können es nicht ändern.
KundeClient-Zertifikate, die von einer externen Zertifizierungsstelle generiert werden, sichern die Verbindungen zwischen externen Überwachungstools und der StorageGRID Prometheus-Datenbank.
Die Zertifikatstabelle enthält eine Zeile für jedes konfigurierte Client-Zertifikat und gibt an, ob das Zertifikat für den Zugriff auf die Prometheus-Datenbank verwendet werden kann, sowie das Ablaufdatum des Zertifikats.
Du kannst:
-
"Laden Sie ein neues Client-Zertifikat hoch oder generieren Sie ein neues."
-
Wählen Sie einen Zertifikatsnamen aus, um die Zertifikatsdetails anzuzeigen. Dort können Sie:
-
Wählen Sie Aktionen, um schnell"bearbeiten" ,"befestigen" , oder"entfernen" ein Client-Zertifikat. Sie können bis zu 10 Client-Zertifikate auswählen und diese gleichzeitig über Aktionen > Entfernen entfernen.
Load Balancer-EndpunkteLoad Balancer-EndpunktzertifikateSichern Sie die Verbindungen zwischen S3-Clients und dem StorageGRID Load Balancer-Dienst auf Gateway-Knoten und Admin-Knoten.
Die Load Balancer-Endpunkttabelle enthält eine Zeile für jeden konfigurierten Load Balancer-Endpunkt und gibt an, ob für den Endpunkt das globale S3-API-Zertifikat oder ein benutzerdefiniertes Load Balancer-Endpunktzertifikat verwendet wird. Außerdem wird das Ablaufdatum jedes Zertifikats angezeigt.
Es kann bis zu 15 Minuten dauern, bis Änderungen an einem Endpunktzertifikat auf alle Knoten angewendet werden. Du kannst:
-
"Einen Load Balancer-Endpunkt anzeigen", einschließlich der Zertifikatsdetails.
-
"Geben Sie ein Load Balancer-Endpunktzertifikat für FabricPool an."
-
"Verwenden Sie das globale S3-API-Zertifikat"anstatt ein neues Load Balancer-Endpunktzertifikat zu generieren.
MieterMieter könnenIdentity Federation Server-Zertifikate oderPlattformdienst-Endpunktzertifikate um ihre Verbindungen mit StorageGRID zu sichern.
Die Mandantentabelle enthält für jeden Mandanten eine Zeile und gibt an, ob jeder Mandant die Berechtigung hat, seine eigene Identitätsquelle oder Plattformdienste zu verwenden.
Du kannst:
-
"Wählen Sie einen Mandantennamen aus, um sich beim Mandantenmanager anzumelden"
-
"Wählen Sie einen Mandantennamen aus, um die Details zur Mandantenidentitätsföderation anzuzeigen."
-
"Wählen Sie einen Mandantennamen aus, um Details zu den Mandantenplattformdiensten anzuzeigen"
-
"Geben Sie während der Endpunkterstellung ein Plattformdienstendpunktzertifikat an"
SonstigeStorageGRID verwendet für bestimmte Zwecke andere Sicherheitszertifikate. Diese Zertifikate werden nach ihrem Funktionsnamen aufgelistet. Weitere Sicherheitszertifikate sind:
Die Informationen geben den Zertifikatstyp an, den eine Funktion verwendet, sowie gegebenenfalls die Ablaufdaten des Server- und Client-Zertifikats. Wenn Sie einen Funktionsnamen auswählen, wird eine Browserregisterkarte geöffnet, in der Sie die Zertifikatsdetails anzeigen und bearbeiten können.
Informationen zu anderen Zertifikaten können Sie nur einsehen und abrufen, wenn Sie über die Berechtigung"entsprechende Erlaubnis" . Du kannst:
-
"Geben Sie ein Cloud Storage Pool-Zertifikat für S3, C2S S3 oder Azure an"
-
"Verwenden Sie ein Zertifikat für einen externen Syslog-Server"
-
"Anzeigen und Bearbeiten eines Identitätsverbundzertifikats"
-
"Hochladen von KMS-Server- und Client-Zertifikaten (Key Management Server)"
-
"Manuelles Angeben eines SSO-Zertifikats für eine Vertrauensstellung der vertrauenden Seite"
-
Details zum Sicherheitszertifikat
Nachfolgend wird jeder Typ von Sicherheitszertifikat beschrieben, mit Links zu den Implementierungsanweisungen.
Management-Schnittstellenzertifikat
| Zertifikatstyp | Beschreibung | Navigationsstandort | Details |
|---|---|---|---|
Server |
Authentifiziert die Verbindung zwischen Client-Webbrowsern und der StorageGRID Verwaltungsschnittstelle, sodass Benutzer ohne Sicherheitswarnungen auf den Grid Manager und den Tenant Manager zugreifen können. Dieses Zertifikat authentifiziert auch Grid Management API- und Tenant Management API-Verbindungen. Sie können das während der Installation erstellte Standardzertifikat verwenden oder ein benutzerdefiniertes Zertifikat hochladen. |
KONFIGURATION > Sicherheit > Zertifikate, wählen Sie die Registerkarte Global und dann Management-Schnittstellenzertifikat |
S3-API-Zertifikat
| Zertifikatstyp | Beschreibung | Navigationsstandort | Details |
|---|---|---|---|
Server |
Authentifiziert sichere S3-Clientverbindungen zu einem Speicherknoten und zu Load Balancer-Endpunkten (optional). |
KONFIGURATION > Sicherheit > Zertifikate, wählen Sie die Registerkarte Global und dann S3-API-Zertifikat |
Grid-CA-Zertifikat
Administrator-Client-Zertifikat
| Zertifikatstyp | Beschreibung | Navigationsstandort | Details |
|---|---|---|---|
Kunde |
Wird auf jedem Client installiert, sodass StorageGRID den externen Clientzugriff authentifizieren kann.
|
KONFIGURATION > Sicherheit > Zertifikate und wählen Sie dann die Registerkarte Client |
Load Balancer-Endpunktzertifikat
| Zertifikatstyp | Beschreibung | Navigationsstandort | Details |
|---|---|---|---|
Server |
Authentifiziert die Verbindung zwischen S3-Clients und dem StorageGRID Load Balancer-Dienst auf Gateway-Knoten und Admin-Knoten. Sie können ein Load Balancer-Zertifikat hochladen oder generieren, wenn Sie einen Load Balancer-Endpunkt konfigurieren. Clientanwendungen verwenden das Load Balancer-Zertifikat beim Herstellen einer Verbindung mit StorageGRID , um Objektdaten zu speichern und abzurufen. Sie können auch eine benutzerdefinierte Version des globalenS3-API-Zertifikat Zertifikat zur Authentifizierung von Verbindungen mit dem Load Balancer-Dienst. Wenn das globale Zertifikat zum Authentifizieren von Load Balancer-Verbindungen verwendet wird, müssen Sie nicht für jeden Load Balancer-Endpunkt ein separates Zertifikat hochladen oder generieren. Hinweis: Das für die Load Balancer-Authentifizierung verwendete Zertifikat ist das am häufigsten verwendete Zertifikat während des normalen StorageGRID -Betriebs. |
KONFIGURATION > Netzwerk > Load Balancer-Endpunkte |
Cloud Storage Pool-Endpunktzertifikat
| Zertifikatstyp | Beschreibung | Navigationsstandort | Details |
|---|---|---|---|
Server |
Authentifiziert die Verbindung von einem StorageGRID Cloud Storage Pool zu einem externen Speicherort, wie z. B. S3 Glacier oder Microsoft Azure Blob Storage. Für jeden Cloud-Anbietertyp ist ein anderes Zertifikat erforderlich. |
ILM > Speicherpools |
Zertifikat für E-Mail-Benachrichtigungen
| Zertifikatstyp | Beschreibung | Navigationsstandort | Details |
|---|---|---|---|
Server und Client |
Authentifiziert die Verbindung zwischen einem SMTP-E-Mail-Server und StorageGRID , die für Warnbenachrichtigungen verwendet wird.
|
WARNUNGEN > E-Mail-Einrichtung |
Externes Syslog-Server-Zertifikat
| Zertifikatstyp | Beschreibung | Navigationsstandort | Details |
|---|---|---|---|
Server |
Authentifiziert die TLS- oder RELP/TLS-Verbindung zwischen einem externen Syslog-Server, der Ereignisse in StorageGRID protokolliert. Hinweis: Für TCP-, RELP/TCP- und UDP-Verbindungen zu einem externen Syslog-Server ist kein externes Syslog-Serverzertifikat erforderlich. |
KONFIGURATION > Überwachung > Audit- und Syslog-Server |
Grid-Föderation-Verbindungszertifikat
| Zertifikatstyp | Beschreibung | Navigationsstandort | Details |
|---|---|---|---|
Server und Client |
Authentifizieren und verschlüsseln Sie Informationen, die zwischen dem aktuellen StorageGRID -System und einem anderen Grid in einer Grid-Föderationsverbindung gesendet werden. |
KONFIGURATION > System > Grid-Föderation |
Identitätsverbundzertifikat
| Zertifikatstyp | Beschreibung | Navigationsstandort | Details |
|---|---|---|---|
Server |
Authentifiziert die Verbindung zwischen StorageGRID und einem externen Identitätsanbieter wie Active Directory, OpenLDAP oder Oracle Directory Server. Wird für die Identitätsföderation verwendet, wodurch Administratorgruppen und Benutzer von einem externen System verwaltet werden können. |
KONFIGURATION > Zugriffskontrolle > Identitätsföderation |
Schlüsselverwaltungsserver-Zertifikat (KMS)
| Zertifikatstyp | Beschreibung | Navigationsstandort | Details |
|---|---|---|---|
Server und Client |
Authentifiziert die Verbindung zwischen StorageGRID und einem externen Schlüsselverwaltungsserver (KMS), der Verschlüsselungsschlüssel für StorageGRID Appliance-Knoten bereitstellt. |
KONFIGURATION > Sicherheit > Schlüsselverwaltungsserver |
Plattformdienste-Endpunktzertifikat
| Zertifikatstyp | Beschreibung | Navigationsstandort | Details |
|---|---|---|---|
Server |
Authentifiziert die Verbindung vom StorageGRID -Plattformdienst zu einer S3-Speicherressource. |
Mandantenmanager > SPEICHER (S3) > Plattformdienst-Endpunkte |
Single Sign-On (SSO)-Zertifikat
| Zertifikatstyp | Beschreibung | Navigationsstandort | Details |
|---|---|---|---|
Server |
Authentifiziert die Verbindung zwischen Identitätsföderationsdiensten wie Active Directory Federation Services (AD FS) und StorageGRID , die für Single Sign-On (SSO)-Anfragen verwendet werden. |
KONFIGURATION > Zugriffskontrolle > Single Sign-On |
Zertifikatbeispiele
Beispiel 1: Load Balancer-Dienst
In diesem Beispiel fungiert StorageGRID als Server.
-
Sie konfigurieren einen Load Balancer-Endpunkt und laden ein Serverzertifikat in StorageGRID hoch oder generieren es.
-
Sie konfigurieren eine S3-Client-Verbindung zum Load Balancer-Endpunkt und laden dasselbe Zertifikat auf den Client hoch.
-
Wenn der Client Daten speichern oder abrufen möchte, stellt er über HTTPS eine Verbindung zum Load Balancer-Endpunkt her.
-
StorageGRID antwortet mit dem Serverzertifikat, das einen öffentlichen Schlüssel enthält, und mit einer Signatur, die auf dem privaten Schlüssel basiert.
-
Der Client überprüft dieses Zertifikat, indem er die Serversignatur mit der Signatur auf seiner Kopie des Zertifikats vergleicht. Wenn die Signaturen übereinstimmen, startet der Client eine Sitzung mit demselben öffentlichen Schlüssel.
-
Der Client sendet Objektdaten an StorageGRID.
Beispiel 2: Externer Schlüsselverwaltungsserver (KMS)
In diesem Beispiel fungiert StorageGRID als Client.
-
Mithilfe externer Key Management Server-Software konfigurieren Sie StorageGRID als KMS-Client und erhalten ein von einer Zertifizierungsstelle signiertes Serverzertifikat, ein öffentliches Client-Zertifikat und den privaten Schlüssel für das Client-Zertifikat.
-
Mithilfe des Grid Managers konfigurieren Sie einen KMS-Server und laden die Server- und Client-Zertifikate sowie den privaten Client-Schlüssel hoch.
-
Wenn ein StorageGRID Knoten einen Verschlüsselungsschlüssel benötigt, sendet er eine Anfrage an den KMS-Server, die Daten aus dem Zertifikat und eine auf dem privaten Schlüssel basierende Signatur enthält.
-
Der KMS-Server validiert die Zertifikatssignatur und entscheidet, dass er StorageGRID vertrauen kann.
-
Der KMS-Server antwortet über die validierte Verbindung.