Gestionar certificados de seguridad: Información general
Los certificados de seguridad son archivos de datos pequeños que se utilizan para crear conexiones seguras y de confianza entre componentes de StorageGRID y entre componentes de StorageGRID y sistemas externos.
StorageGRID utiliza dos tipos de certificados de seguridad:
-
Se requieren certificados de servidor cuando se utilizan conexiones HTTPS. Los certificados de servidor se utilizan para establecer conexiones seguras entre clientes y servidores, autenticar la identidad de un servidor a sus clientes y proporcionar una ruta de comunicación segura para los datos. Cada servidor y el cliente tienen una copia del certificado.
-
Los certificados de cliente autentican una identidad de cliente o usuario al servidor, proporcionando una autenticación más segura que las contraseñas solamente. Los certificados de cliente no cifran datos.
Cuando un cliente se conecta al servidor mediante HTTPS, el servidor responde con el certificado de servidor, que contiene una clave pública. El cliente verifica este certificado comparando la firma del servidor con la firma de su copia del certificado. Si las firmas coinciden, el cliente inicia una sesión con el servidor utilizando la misma clave pública.
StorageGRID funciona como servidor para algunas conexiones (como el extremo de equilibrio de carga) o como cliente para otras conexiones (como el servicio de replicación de CloudMirror).
Certificado de CA de cuadrícula predeterminado
StorageGRID incluye una entidad de certificación (CA) integrada que genera un certificado de CA de grid interno durante la instalación del sistema. El certificado de CA de cuadrícula se utiliza, de forma predeterminada, para proteger el tráfico interno de StorageGRID. Una entidad de certificación externa (CA) puede emitir certificados personalizados que cumplan plenamente con las políticas de seguridad de la información de su empresa. Aunque se puede utilizar el certificado de CA de cuadrícula para un entorno que no sea de producción, la práctica recomendada para un entorno de producción es utilizar certificados personalizados firmados por una entidad de certificación externa. También se admiten conexiones no seguras sin certificado, pero no se recomienda.
-
Los certificados de CA personalizados no eliminan los certificados internos; sin embargo, los certificados personalizados deben ser los especificados para verificar las conexiones del servidor.
-
Todos los certificados personalizados deben cumplir con el "directrices de fortalecimiento del sistema para los certificados de servidor".
-
StorageGRID admite la agrupación de certificados de una CA en un único archivo (conocido como paquete de certificados de CA).
StorageGRID también incluye certificados de CA del sistema operativo que son los mismos en todos los entornos Grid. En los entornos de producción, asegúrese de especificar un certificado personalizado firmado por una entidad de certificación externa en lugar del certificado de CA del sistema operativo. |
Las variantes de los tipos de certificado de servidor y cliente se implementan de varias maneras. Es necesario tener preparados todos los certificados necesarios para la configuración específica de StorageGRID antes de configurar el sistema.
Acceda a los certificados de seguridad
Puede acceder a información sobre todos los certificados de StorageGRID en una única ubicación, junto con enlaces al flujo de trabajo de configuración de cada certificado.
-
En Grid Manager, selecciona CONFIGURACIÓN > Seguridad > Certificados.
-
Seleccione una ficha en la página certificados para obtener información sobre cada categoría de certificado y para acceder a la configuración de certificado. Sólo puede acceder a una ficha si tiene el permiso adecuado.
-
Global: Protege el acceso a StorageGRID desde navegadores web y clientes API externos.
-
Grid CA: Protege el tráfico interno de StorageGRID.
-
Cliente: Protege las conexiones entre clientes externos y la base de datos Prometheus de StorageGRID.
-
Puntos finales del equilibrador de carga: Protege las conexiones entre los clientes S3 y Swift y el equilibrador de carga StorageGRID.
-
Arrendatarios: Protege las conexiones a servidores de federación de identidades o desde extremos de servicio de plataforma a recursos de almacenamiento S3.
-
Otros: Protege las conexiones StorageGRID que requieren certificados específicos.
Cada una de las pestañas se describe a continuación con enlaces a detalles de certificados adicionales.
-
Los certificados globales protegen el acceso a StorageGRID desde exploradores web y clientes de API de S3 y Swift externos. La autoridad de certificados StorageGRID genera inicialmente dos certificados globales durante la instalación. La práctica recomendada para un entorno de producción es usar certificados personalizados firmados por una entidad de certificación externa.
-
Certificado de interfaz de gestión: Protege las conexiones del explorador Web cliente a las interfaces de administración de StorageGRID.
-
Certificado API S3 y Swift: Protege las conexiones API de cliente a los nodos de almacenamiento, los nodos de administración y los nodos de puerta de enlace, que las aplicaciones de cliente S3 y Swift utilizan para cargar y descargar datos de objetos.
Entre la información sobre los certificados globales instalados se incluyen:
-
Nombre: Nombre del certificado con enlace a la administración del certificado.
-
Descripción
-
Tipo: Personalizado o predeterminado. + debe usar siempre un certificado personalizado para mejorar la seguridad de la cuadrícula.
-
Fecha de vencimiento: Si se utiliza el certificado predeterminado, no se muestra ninguna fecha de vencimiento.
Podrá:
-
Sustituya los certificados predeterminados por certificados personalizados firmados por una autoridad de certificado externa para mejorar la seguridad de la cuadrícula:
-
"Reemplace el certificado de interfaz de gestión generado por StorageGRID predeterminado" Se utiliza para las conexiones del administrador de grid y del administrador de inquilinos.
-
"Reemplace el certificado API de S3 y Swift" Se utiliza para las conexiones de extremo del balanceador de carga y del nodo de almacenamiento (opcional).
-
-
"Restaure el certificado de interfaz de gestión predeterminado."
-
"Use un script para generar un nuevo certificado de interfaz de gestión autofirmado."
-
Copie o descargue el "certificado de interfaz de gestión" o. "Certificado API S3 y Swift".
La Certificado de CA de grid, Generado por la autoridad de certificación StorageGRID durante la instalación de StorageGRID, protege todo el tráfico interno de StorageGRID.
La información del certificado incluye la fecha de caducidad del certificado y el contenido del mismo.
Puede hacerlo "Copie o descargue el certificado de Grid CA", pero no se puede cambiar.
Certificados de cliente, Generada por una autoridad de certificados externa, asegura las conexiones entre herramientas de supervisión externas y la base de datos Prometheus de StorageGRID.
La tabla de certificados tiene una fila para cada certificado de cliente configurado e indica si el certificado se puede utilizar para el acceso a la base de datos Prometheus, junto con la fecha de caducidad del certificado.
Podrá:
-
Seleccione un nombre de certificado para mostrar los detalles del certificado, donde podrá:
-
Seleccione acciones para hacerlo rápidamente "editar", "asociar", o. "quitar" un certificado de cliente. Puede seleccionar hasta 10 certificados de cliente y eliminarlos a la vez utilizando acciones > Quitar.
Certificados de punto final de equilibrador de carga Proteja las conexiones entre los clientes S3 y Swift y el servicio de equilibrador de carga de StorageGRID en los nodos de pasarela y los nodos de administración.
La tabla de extremo de equilibrador de carga tiene una fila para cada extremo de equilibrador de carga configurado e indica si se está utilizando el certificado API global S3 y Swift o un certificado de extremo de equilibrador de carga personalizado para el extremo. También se muestra la fecha de caducidad de cada certificado.
Los cambios en el certificado de extremo pueden tardar hasta 15 minutos en aplicarse a todos los nodos. |
Podrá:
-
"Ver un punto final de equilibrio de carga", incluyendo sus detalles de certificado.
-
"Especifique un certificado de extremo de equilibrio de carga para FabricPool."
-
"Use el certificado global de la API de S3 y Swift" en lugar de generar un nuevo certificado de extremo de equilibrio de carga.
Los inquilinos pueden usar certificados de servidor de federación de identidades o. certificados de extremo de servicio de plataforma Para asegurar sus conexiones con StorageGRID.
La tabla de arrendatarios tiene una fila para cada arrendatario e indica si cada arrendatario tiene permiso para utilizar su propio origen de identidad o servicios de plataforma.
Podrá:
StorageGRID utiliza otros certificados de seguridad con fines específicos. Estos certificados se enumeran por su nombre funcional. Otros certificados de seguridad incluyen:
La información indica el tipo de certificado que una función utiliza y sus fechas de vencimiento del certificado de servidor y cliente, según corresponda. Al seleccionar un nombre de función, se abre una pestaña del navegador en la que puede ver y editar los detalles del certificado.
Solo puede ver y acceder a la información de otros certificados si dispone del permiso correspondiente. |
Podrá:
-
"Especifique un certificado de Cloud Storage Pool para S3, C2S S3 o Azure"
-
"Especifique un certificado para notificaciones de alertas por correo electrónico"
-
"Rotar certificados de conexión de federación de cuadrícula"
-
"Cargar certificados de servidor de gestión de claves (KMS) y de cliente"
-
"Especifique manualmente un certificado SSO para una confianza de parte de confianza"
Detalles del certificado de seguridad
Cada tipo de certificado de seguridad se describe a continuación, con enlaces a las instrucciones de implementación.
Certificado de interfaz de gestión
Tipo de certificado | Descripción | Ubicación de navegación | Detalles |
---|---|---|---|
Servidor |
Autentica la conexión entre los exploradores web del cliente y la interfaz de gestión de StorageGRID, lo que permite a los usuarios acceder a Grid Manager y al Gestor de inquilinos sin advertencias de seguridad. Este certificado también autentica las conexiones API de gestión de grid y API de gestión de inquilinos. Puede usar el certificado predeterminado creado durante la instalación o cargar un certificado personalizado. |
CONFIGURACIÓN > Seguridad > certificados, seleccione la ficha Global y, a continuación, seleccione Certificado de interfaz de administración |
Certificado API S3 y Swift
Tipo de certificado | Descripción | Ubicación de navegación | Detalles |
---|---|---|---|
Servidor |
Autentica conexiones de cliente S3 o Swift seguras a un nodo de almacenamiento y a extremos de balanceador de carga (opcional). |
CONFIGURATION > Security > Certificates, seleccione la ficha Global y, a continuación, seleccione S3 y Swift API Certificate |
Certificado de CA de grid
Certificado de cliente de administrador
Tipo de certificado | Descripción | Ubicación de navegación | Detalles |
---|---|---|---|
Cliente |
Instalado en cada cliente, lo que permite que StorageGRID autentique el acceso de los clientes externos.
|
CONFIGURACIÓN > Seguridad > certificados y, a continuación, seleccione la ficha Cliente |
Certificado de punto final de equilibrador de carga
Tipo de certificado | Descripción | Ubicación de navegación | Detalles |
---|---|---|---|
Servidor |
Autentica la conexión entre clientes S3 o Swift y el servicio StorageGRID Load Balancer en nodos de puerta de enlace y nodos de administrador. Puede cargar o generar un certificado de equilibrador de carga al configurar un extremo de equilibrador de carga. Las aplicaciones cliente utilizan el certificado de equilibrador de carga al conectarse a StorageGRID para guardar y recuperar datos de objeto. También puede utilizar una versión personalizada del global Certificado API S3 y Swift Certificado para autenticar conexiones al servicio Load Balancer. Si el certificado global se utiliza para autenticar las conexiones del equilibrador de carga, no es necesario cargar ni generar un certificado independiente para cada punto final del equilibrador de carga. Nota: el certificado utilizado para la autenticación del equilibrador de carga es el certificado más utilizado durante el funcionamiento normal de StorageGRID. |
CONFIGURACIÓN > Red > terminales de equilibrador de carga |
Certificado de extremo de Cloud Storage Pool
Tipo de certificado | Descripción | Ubicación de navegación | Detalles |
---|---|---|---|
Servidor |
Autentica la conexión de un pool de almacenamiento en cloud de StorageGRID a una ubicación de almacenamiento externa, como S3 Glacier o el almacenamiento blob de Microsoft Azure. Se necesita un certificado diferente para cada tipo de proveedor de cloud. |
ILM > piscinas de almacenamiento |
Certificado de notificación de alertas por correo electrónico
Tipo de certificado | Descripción | Ubicación de navegación | Detalles |
---|---|---|---|
Servidor y cliente |
Autentica la conexión entre un servidor de correo electrónico SMTP y una StorageGRID que se usa para notificaciones de alerta.
|
ALERTAS > Configuración de correo electrónico |
Certificado de servidor de syslog externo
Tipo de certificado | Descripción | Ubicación de navegación | Detalles |
---|---|---|---|
Servidor |
Autentica la conexión TLS o RELP/TLS entre un servidor syslog externo que registra eventos en StorageGRID. Nota: no se requiere un certificado de servidor syslog externo para conexiones TCP, RELP/TCP y UDP a un servidor syslog externo. |
CONFIGURACIÓN > Supervisión > servidor de auditoría y syslog y, a continuación, seleccione Configurar servidor de syslog externo |
Certificado de conexión de la federación de cuadrícula
Tipo de certificado | Descripción | Ubicación de navegación | Detalles |
---|---|---|---|
Servidor y cliente |
Autenticar y cifrar la información enviada entre el sistema de StorageGRID actual y otro grid en una conexión de federación de grid. |
CONFIGURACIÓN > Sistema > Grid federation |
Certificado de federación de identidades
Tipo de certificado | Descripción | Ubicación de navegación | Detalles |
---|---|---|---|
Servidor |
Autentica la conexión entre StorageGRID y un proveedor de identidades externo, como Active Directory, OpenLDAP u Oracle Directory Server. Se utiliza para la federación de identidades, lo que permite que los grupos de administración y los usuarios sean gestionados por un sistema externo. |
CONFIGURACIÓN > Control de acceso > federación de identidades |
Certificado de servidor de gestión de claves (KMS)
Tipo de certificado | Descripción | Ubicación de navegación | Detalles |
---|---|---|---|
Servidor y cliente |
Autentica la conexión entre StorageGRID y un servidor de gestión de claves (KMS) externo, que proporciona claves de cifrado a los nodos de los dispositivos StorageGRID. |
CONFIGURACIÓN > Seguridad > servidor de administración de claves |
Certificado de extremo de servicios de plataforma
Tipo de certificado | Descripción | Ubicación de navegación | Detalles |
---|---|---|---|
Servidor |
Autentica la conexión desde el servicio de plataforma StorageGRID a un recurso de almacenamiento S3. |
Administrador de inquilinos > ALMACENAMIENTO (S3) > terminales de servicios de plataforma |
Certificado de inicio de sesión único (SSO)
Tipo de certificado | Descripción | Ubicación de navegación | Detalles |
---|---|---|---|
Servidor |
Autentica la conexión entre los servicios de federación de identidades, como Active Directory Federation Services (AD FS), y StorageGRID, que se utilizan para solicitudes de inicio de sesión único (SSO). |
CONFIGURACIÓN > Control de acceso > Single Sign-On |
Ejemplos de certificados
Ejemplo 1: Servicio de equilibrador de carga
En este ejemplo, StorageGRID actúa como servidor.
-
Se configura un extremo de equilibrador de carga y se carga o genera un certificado de servidor en StorageGRID.
-
Debe configurar una conexión de cliente S3 o Swift al extremo de equilibrio de carga y cargar el mismo certificado en el cliente.
-
Cuando el cliente desea guardar o recuperar datos, se conecta al extremo de equilibrio de carga mediante HTTPS.
-
StorageGRID responde con el certificado de servidor, que contiene una clave pública y una firma basada en la clave privada.
-
El cliente verifica este certificado comparando la firma del servidor con la firma de su copia del certificado. Si las firmas coinciden, el cliente inicia una sesión utilizando la misma clave pública.
-
El cliente envía datos de objeto a StorageGRID.
Ejemplo 2: Servidor de gestión de claves externo (KMS)
En este ejemplo, StorageGRID actúa como cliente.
-
Con el software de servidor de gestión de claves externo, configura StorageGRID como un cliente KMS y obtiene un certificado de servidor firmado por CA, un certificado de cliente público y la clave privada del certificado de cliente.
-
Con el Administrador de grid, configura un servidor KMS y carga los certificados de servidor y cliente y la clave privada de cliente.
-
Cuando un nodo StorageGRID necesita una clave de cifrado, realiza una solicitud al servidor KMS que incluye datos del certificado y una firma basada en la clave privada.
-
El servidor KMS valida la firma del certificado y decide que puede confiar en StorageGRID.
-
El servidor KMS responde mediante la conexión validada.