Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Administrar certificados de seguridad

PDF

Los certificados de seguridad son pequeños archivos de datos que se utilizan para crear conexiones seguras y confiables entre los componentes de StorageGRID y entre los componentes de StorageGRID y sistemas externos.

StorageGRID utiliza dos tipos de certificados de seguridad:

  • Se requieren certificados de servidor cuando se utilizan conexiones HTTPS. Los certificados de servidor se utilizan para establecer conexiones seguras entre clientes y servidores, autenticando la identidad de un servidor ante sus clientes y proporcionando una ruta de comunicación segura para los datos. Tanto el servidor como el cliente tienen una copia del certificado.

  • Los certificados de cliente autentican la identidad de un cliente o usuario en el servidor, proporcionando una autenticación más segura que las contraseñas solas. Los certificados de cliente no cifran los datos.

Cuando un cliente se conecta al servidor mediante HTTPS, el servidor responde con el certificado del servidor, que contiene una clave pública. El cliente verifica este certificado comparando la firma del servidor con la firma de su copia del certificado. Si las firmas coinciden, el cliente inicia una sesión con el servidor utilizando la misma clave pública.

StorageGRID funciona como servidor para algunas conexiones (como el punto final del equilibrador de carga) o como cliente para otras conexiones (como el servicio de replicación CloudMirror).

Certificado CA de Grid predeterminado

StorageGRID incluye una autoridad de certificación (CA) incorporada que genera un certificado CA de Grid interno durante la instalación del sistema. El certificado CA de Grid se utiliza, de forma predeterminada, para proteger el tráfico interno de StorageGRID . Una autoridad de certificación (CA) externa puede emitir certificados personalizados que cumplan totalmente con las políticas de seguridad de la información de su organización. Si bien puede utilizar el certificado CA de Grid para un entorno que no sea de producción, la mejor práctica para un entorno de producción es utilizar certificados personalizados firmados por una autoridad de certificación externa. También se admiten conexiones no seguras sin certificado, pero no se recomiendan.

  • Los certificados CA personalizados no eliminan los certificados internos; sin embargo, los certificados personalizados deben ser los especificados para verificar las conexiones del servidor.

  • Todos los certificados personalizados deben cumplir con los"Pautas de fortalecimiento del sistema para certificados de servidor" .

  • StorageGRID admite la agrupación de certificados de una CA en un solo archivo (conocido como paquete de certificados de CA).

Nota StorageGRID también incluye certificados CA del sistema operativo que son los mismos en todas las redes. En entornos de producción, asegúrese de especificar un certificado personalizado firmado por una autoridad de certificación externa en lugar del certificado CA del sistema operativo.

Las variantes de los tipos de certificado de servidor y cliente se implementan de varias maneras. Debe tener todos los certificados necesarios para su configuración específica de StorageGRID listos antes de configurar el sistema.

Certificados de seguridad de acceso

Puede acceder a información sobre todos los certificados StorageGRID en una sola ubicación, junto con enlaces al flujo de trabajo de configuración para cada certificado.

Pasos

  1. Desde Grid Manager, seleccione CONFIGURACIÓN > Seguridad > Certificados.

    Página de certificados

  2. Seleccione una pestaña en la página Certificados para obtener información sobre cada categoría de certificado y acceder a la configuración del certificado. Puedes acceder a una pestaña si tienes la"permiso apropiado" .

    • Global: protege el acceso a StorageGRID desde navegadores web y clientes API externos.

    • Grid CA: protege el tráfico interno de StorageGRID .

    • Cliente: protege las conexiones entre clientes externos y la base de datos StorageGRID Prometheus.

    • Puntos finales del balanceador de carga: protege las conexiones entre los clientes S3 y el balanceador de carga StorageGRID .

    • Inquilinos: protege las conexiones a servidores de federación de identidad o desde puntos finales de servicio de la plataforma a recursos de almacenamiento S3.

    • Otro: Protege las conexiones StorageGRID que requieren certificados específicos.

      A continuación se describe cada pestaña con enlaces a detalles adicionales del certificado.

    Global

    Los certificados globales protegen el acceso a StorageGRID desde navegadores web y clientes API S3 externos. La autoridad de certificación StorageGRID genera inicialmente dos certificados globales durante la instalación. La mejor práctica para un entorno de producción es utilizar certificados personalizados firmados por una autoridad de certificación externa.

    • Certificado de interfaz de gestión:Asegura las conexiones del navegador web del cliente a las interfaces de administración de StorageGRID .

    • Certificado API S3:Asegura las conexiones de API de cliente a los nodos de almacenamiento, nodos de administración y nodos de puerta de enlace, que las aplicaciones de cliente S3 utilizan para cargar y descargar datos de objetos.

    La información sobre los certificados globales que están instalados incluye:

    • Nombre: Nombre del certificado con enlace para administrar el certificado.

    • Descripción

    • Tipo: Personalizado o predeterminado. + Siempre debe utilizar un certificado personalizado para mejorar la seguridad de la red.

    • Fecha de vencimiento: si se utiliza el certificado predeterminado, no se muestra ninguna fecha de vencimiento.

    Puede:

    Red CA

    ElCertificado de CA de Grid , generado por la autoridad de certificación de StorageGRID durante la instalación de StorageGRID , protege todo el tráfico interno de StorageGRID .

    La información del certificado incluye la fecha de vencimiento del certificado y el contenido del certificado.

    Puede"copiar o descargar el certificado de Grid CA" , pero no puedes cambiarlo.

    Cliente

    Certificados de cliente, generado por una autoridad de certificación externa, protege las conexiones entre las herramientas de monitoreo externas y la base de datos StorageGRID Prometheus.

    La tabla de certificados tiene una fila para cada certificado de cliente configurado e indica si el certificado se puede usar para acceder a la base de datos de Prometheus, junto con la fecha de vencimiento del certificado.

    Puede:

    Puntos finales del balanceador de carga

    Certificados de punto final del balanceador de cargaAsegure las conexiones entre los clientes S3 y el servicio StorageGRID Load Balancer en los nodos de puerta de enlace y los nodos de administración.

    La tabla de puntos finales del equilibrador de carga tiene una fila para cada punto final del equilibrador de carga configurado e indica si se utiliza el certificado de API S3 global o un certificado de punto final del equilibrador de carga personalizado para el punto final. También se muestra la fecha de vencimiento de cada certificado.

    Nota Los cambios en un certificado de punto final pueden tardar hasta 15 minutos en aplicarse a todos los nodos.

    Puede:

    Inquilinos

    Los inquilinos pueden utilizarcertificados de servidor de federación de identidad ocertificados de punto final del servicio de plataforma para proteger sus conexiones con StorageGRID.

    La tabla de inquilinos tiene una fila para cada inquilino e indica si cada inquilino tiene permiso para usar su propia fuente de identidad o servicios de plataforma.

    Puede:

    Otro

    StorageGRID utiliza otros certificados de seguridad para fines específicos. Estos certificados se enumeran por su nombre funcional. Otros certificados de seguridad incluyen:

    La información indica el tipo de certificado que utiliza una función y las fechas de vencimiento de sus certificados de servidor y cliente, según corresponda. Al seleccionar un nombre de función, se abre una pestaña del navegador donde puede ver y editar los detalles del certificado.

    Nota Solo puede ver y acceder a la información de otros certificados si tiene la"permiso apropiado" .

    Puede:

Detalles del certificado de seguridad

A continuación se describe cada tipo de certificado de seguridad, con enlaces a las instrucciones de implementación.

Certificado de interfaz de gestión

Tipo de certificado Descripción Ubicación de navegación Detalles

Servidor

Autentica la conexión entre los navegadores web del cliente y la interfaz de administración de StorageGRID , lo que permite a los usuarios acceder a Grid Manager y Tenant Manager sin advertencias de seguridad.

Este certificado también autentica las conexiones de la API de administración de red y la API de administración de inquilinos.

Puede utilizar el certificado predeterminado creado durante la instalación o cargar un certificado personalizado.

CONFIGURACIÓN > Seguridad > Certificados, seleccione la pestaña Global y luego seleccione Certificado de interfaz de administración

"Configurar certificados de interfaz de administración"

Certificado API S3

Tipo de certificado Descripción Ubicación de navegación Detalles

Servidor

Autentica conexiones seguras de cliente S3 a un nodo de almacenamiento y a puntos finales del balanceador de carga (opcional).

CONFIGURACIÓN > Seguridad > Certificados, seleccione la pestaña Global y luego seleccione Certificado API S3

"Configurar certificados de API S3"

Certificado de CA de Grid

Ver elDescripción del certificado de CA de Grid predeterminado .

Certificado de cliente administrador

Tipo de certificado Descripción Ubicación de navegación Detalles

Cliente

Se instala en cada cliente, lo que permite que StorageGRID autentique el acceso de clientes externos.

  • Permite que los clientes externos autorizados accedan a la base de datos StorageGRID Prometheus.

  • Permite la monitorización segura de StorageGRID mediante herramientas externas.

CONFIGURACIÓN > Seguridad > Certificados y luego seleccione la pestaña Cliente

"Configurar certificados de cliente"

Certificado de punto final del balanceador de carga

Tipo de certificado Descripción Ubicación de navegación Detalles

Servidor

Autentica la conexión entre los clientes S3 y el servicio StorageGRID Load Balancer en los nodos de puerta de enlace y los nodos de administración. Puede cargar o generar un certificado de equilibrador de carga cuando configura un punto final de equilibrador de carga. Las aplicaciones cliente utilizan el certificado del equilibrador de carga cuando se conectan a StorageGRID para guardar y recuperar datos de objetos.

También puedes utilizar una versión personalizada del globalCertificado API S3 Certificado para autenticar conexiones al servicio Load Balancer. Si el certificado global se utiliza para autenticar las conexiones del balanceador de carga, no es necesario cargar ni generar un certificado separado para cada punto final del balanceador de carga.

Nota: El certificado utilizado para la autenticación del equilibrador de carga es el certificado más usado durante el funcionamiento normal de StorageGRID .

CONFIGURACIÓN > Red > Puntos finales del balanceador de carga

Certificado de punto final del grupo de almacenamiento en la nube

Tipo de certificado Descripción Ubicación de navegación Detalles

Servidor

Autentica la conexión desde un grupo de almacenamiento en la nube StorageGRID a una ubicación de almacenamiento externa, como S3 Glacier o Microsoft Azure Blob Storage. Se requiere un certificado diferente para cada tipo de proveedor de nube.

ILM > Grupos de almacenamiento

"Crear un grupo de almacenamiento en la nube"

Certificado de notificación de alerta por correo electrónico

Tipo de certificado Descripción Ubicación de navegación Detalles

Servidor y cliente

Autentica la conexión entre un servidor de correo electrónico SMTP y StorageGRID que se utiliza para notificaciones de alerta.

  • Si las comunicaciones con el servidor SMTP requieren seguridad de la capa de transporte (TLS), debe especificar el certificado CA del servidor de correo electrónico.

  • Especifique un certificado de cliente solo si el servidor de correo electrónico SMTP requiere certificados de cliente para la autenticación.

ALERTAS > Configuración de correo electrónico

"Configurar notificaciones por correo electrónico para alertas"

Certificado de servidor syslog externo

Tipo de certificado Descripción Ubicación de navegación Detalles

Servidor

Autentica la conexión TLS o RELP/TLS entre un servidor syslog externo que registra eventos en StorageGRID.

Nota: No se requiere un certificado de servidor syslog externo para conexiones TCP, RELP/TCP y UDP a un servidor syslog externo.

CONFIGURACIÓN > Monitoreo > Servidor de auditoría y syslog

"Utilice un servidor syslog externo"

Certificado de conexión de federación de red

Tipo de certificado Descripción Ubicación de navegación Detalles

Servidor y cliente

Autenticar y cifrar la información enviada entre el sistema StorageGRID actual y otra red en una conexión de federación de redes.

CONFIGURACIÓN > Sistema > Federación de red

Certificado de federación de identidad

Tipo de certificado Descripción Ubicación de navegación Detalles

Servidor

Autentica la conexión entre StorageGRID y un proveedor de identidad externo, como Active Directory, OpenLDAP u Oracle Directory Server. Se utiliza para la federación de identidad, que permite que los grupos de administradores y los usuarios sean gestionados por un sistema externo.

CONFIGURACIÓN > Control de acceso > Federación de identidades

"Utilizar la federación de identidades"

Certificado de servidor de administración de claves (KMS)

Tipo de certificado Descripción Ubicación de navegación Detalles

Servidor y cliente

Autentica la conexión entre StorageGRID y un servidor de administración de claves externo (KMS), que proporciona claves de cifrado a los nodos del dispositivo StorageGRID .

CONFIGURACIÓN > Seguridad > Servidor de gestión de claves

"Agregar servidor de administración de claves (KMS)"

Certificado de punto final de servicios de plataforma

Tipo de certificado Descripción Ubicación de navegación Detalles

Servidor

Autentica la conexión del servicio de la plataforma StorageGRID a un recurso de almacenamiento S3.

Administrador de inquilinos > ALMACENAMIENTO (S3) > Puntos finales de servicios de plataforma

"Crear punto final de servicios de plataforma"

"Editar el punto final de los servicios de la plataforma"

Certificado de inicio de sesión único (SSO)

Tipo de certificado Descripción Ubicación de navegación Detalles

Servidor

Autentica la conexión entre los servicios de federación de identidad, como los Servicios de federación de Active Directory (AD FS) y StorageGRID , que se utilizan para solicitudes de inicio de sesión único (SSO).

CONFIGURACIÓN > Control de acceso > Inicio de sesión único

"Configurar el inicio de sesión único"

Ejemplos de certificados

Ejemplo 1: Servicio de balanceo de carga

En este ejemplo, StorageGRID actúa como servidor.

  1. Configura un punto final del equilibrador de carga y carga o genera un certificado de servidor en StorageGRID.

  2. Configura una conexión de cliente S3 al punto final del equilibrador de carga y carga el mismo certificado en el cliente.

  3. Cuando el cliente desea guardar o recuperar datos, se conecta al punto final del balanceador de carga mediante HTTPS.

  4. StorageGRID responde con el certificado del servidor, que contiene una clave pública, y con una firma basada en la clave privada.

  5. El cliente verifica este certificado comparando la firma del servidor con la firma de su copia del certificado. Si las firmas coinciden, el cliente inicia una sesión utilizando la misma clave pública.

  6. El cliente envía datos de objetos a StorageGRID.

Ejemplo 2: Servidor de administración de claves externo (KMS)

En este ejemplo, StorageGRID actúa como cliente.

  1. Al utilizar el software de servidor de administración de claves externo, configura StorageGRID como un cliente KMS y obtiene un certificado de servidor firmado por una CA, un certificado de cliente público y la clave privada para el certificado de cliente.

  2. Con Grid Manager, configura un servidor KMS y carga los certificados del servidor y del cliente y la clave privada del cliente.

  3. Cuando un nodo StorageGRID necesita una clave de cifrado, realiza una solicitud al servidor KMS que incluye datos del certificado y una firma basada en la clave privada.

  4. El servidor KMS valida la firma del certificado y decide que puede confiar en StorageGRID.

  5. El servidor KMS responde utilizando la conexión validada.