Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Gestionar certificados de seguridad

Colaboradores
PDF

Los certificados de seguridad son archivos de datos pequeños que se utilizan para crear conexiones seguras y de confianza entre componentes de StorageGRID y entre componentes de StorageGRID y sistemas externos.

StorageGRID utiliza dos tipos de certificados de seguridad:

  • Se requieren certificados de servidor cuando se utilizan conexiones HTTPS. Los certificados de servidor se utilizan para establecer conexiones seguras entre clientes y servidores, autenticar la identidad de un servidor a sus clientes y proporcionar una ruta de comunicación segura para los datos. Cada servidor y el cliente tienen una copia del certificado.

  • Los certificados de cliente autentican una identidad de cliente o usuario al servidor, proporcionando una autenticación más segura que las contraseñas solamente. Los certificados de cliente no cifran datos.

Cuando un cliente se conecta al servidor mediante HTTPS, el servidor responde con el certificado de servidor, que contiene una clave pública. El cliente verifica este certificado comparando la firma del servidor con la firma de su copia del certificado. Si las firmas coinciden, el cliente inicia una sesión con el servidor utilizando la misma clave pública.

StorageGRID funciona como servidor para algunas conexiones (como el extremo de equilibrio de carga) o como cliente para otras conexiones (como el servicio de replicación de CloudMirror).

Certificado de CA de cuadrícula predeterminado

StorageGRID incluye una entidad de certificación (CA) integrada que genera un certificado de CA de grid interno durante la instalación del sistema. El certificado de CA de cuadrícula se utiliza, de forma predeterminada, para proteger el tráfico interno de StorageGRID. Una entidad de certificación externa (CA) puede emitir certificados personalizados que cumplan plenamente con las políticas de seguridad de la información de su empresa. Aunque se puede utilizar el certificado de CA de cuadrícula para un entorno que no sea de producción, la práctica recomendada para un entorno de producción es utilizar certificados personalizados firmados por una entidad de certificación externa. También se admiten conexiones no seguras sin certificado, pero no se recomienda.

  • Los certificados de CA personalizados no eliminan los certificados internos; sin embargo, los certificados personalizados deben ser los especificados para verificar las conexiones del servidor.

  • Todos los certificados personalizados deben cumplir con el "directrices de fortalecimiento del sistema para los certificados de servidor".

  • StorageGRID admite la agrupación de certificados de una CA en un único archivo (conocido como paquete de certificados de CA).

Nota StorageGRID también incluye certificados de CA del sistema operativo que son los mismos en todos los entornos Grid. En los entornos de producción, asegúrese de especificar un certificado personalizado firmado por una entidad de certificación externa en lugar del certificado de CA del sistema operativo.

Las variantes de los tipos de certificado de servidor y cliente se implementan de varias maneras. Es necesario tener preparados todos los certificados necesarios para la configuración específica de StorageGRID antes de configurar el sistema.

Acceda a los certificados de seguridad

Puede acceder a información sobre todos los certificados de StorageGRID en una única ubicación, junto con enlaces al flujo de trabajo de configuración de cada certificado.

Pasos

  1. En Grid Manager, selecciona CONFIGURACIÓN > Seguridad > Certificados.

    Certificados

  2. Seleccione una ficha en la página certificados para obtener información sobre cada categoría de certificado y para acceder a la configuración de certificado. Puede acceder a una pestaña si tiene el "permiso apropiado".

    • Global: Protege el acceso a StorageGRID desde navegadores web y clientes API externos.

    • Grid CA: Protege el tráfico interno de StorageGRID.

    • Cliente: Protege las conexiones entre clientes externos y la base de datos Prometheus de StorageGRID.

    • Puntos Finales de Equilibrador de Carga: Asegura las conexiones entre los clientes S3 y el Equilibrador de Carga StorageGRID.

    • Arrendatarios: Protege las conexiones a servidores de federación de identidades o desde extremos de servicio de plataforma a recursos de almacenamiento S3.

    • Otros: Protege las conexiones StorageGRID que requieren certificados específicos.

      Cada una de las pestañas se describe a continuación con enlaces a detalles de certificados adicionales.

    Global

    Los certificados globales protegen el acceso a StorageGRID desde exploradores web y clientes API S3 externos. La autoridad de certificados StorageGRID genera inicialmente dos certificados globales durante la instalación. La práctica recomendada para un entorno de producción es usar certificados personalizados firmados por una entidad de certificación externa.

    • Certificado de interfaz de gestión: Protege las conexiones del navegador web del cliente a las interfaces de administración de StorageGRID.

    • Certificado API S3: Protege las conexiones de API del cliente a los nodos de almacenamiento, nodos de administración y nodos de gateway, que las aplicaciones cliente S3 utilizan para cargar y descargar datos de objetos.

    Entre la información sobre los certificados globales instalados se incluyen:

    • Nombre: Nombre del certificado con enlace a la administración del certificado.

    • Descripción

    • Tipo: Personalizado o predeterminado. + debe usar siempre un certificado personalizado para mejorar la seguridad de la cuadrícula.

    • Fecha de vencimiento: Si se utiliza el certificado predeterminado, no se muestra ninguna fecha de vencimiento.

    Podrá:

    CA de grid

    El Certificado de CA de grid, generado por la autoridad de certificación de StorageGRID durante la instalación de StorageGRID, protege todo el tráfico interno de StorageGRID.

    La información del certificado incluye la fecha de caducidad del certificado y el contenido del mismo.

    Puedes"Copie o descargue el certificado de Grid CA", pero no puedes cambiarlo.

    Cliente

    Certificados de cliente, Generado por una autoridad de certificación externa, asegure las conexiones entre las herramientas de monitoreo externo y la base de datos de StorageGRID Prometheus.

    La tabla de certificados tiene una fila para cada certificado de cliente configurado e indica si el certificado se puede utilizar para el acceso a la base de datos Prometheus, junto con la fecha de caducidad del certificado.

    Podrá:

    Puntos finales del equilibrador de carga

    Certificados de punto final de equilibrador de carga Proteja las conexiones entre los clientes S3 y el servicio de equilibrador de carga de StorageGRID en los nodos de la puerta de enlace y los nodos de administración.

    La tabla de puntos finales de equilibrio de carga tiene una fila para cada punto final de equilibrio de carga configurado e indica si se está utilizando el certificado de API global S3 o un certificado de punto final de equilibrio de carga personalizado para el punto final. También se muestra la fecha de caducidad de cada certificado.

    Nota Los cambios en el certificado de extremo pueden tardar hasta 15 minutos en aplicarse a todos los nodos.

    Podrá:

    Clientes

    Los inquilinos pueden usar certificados de servidor de federación de identidades o certificados de extremo de servicio de plataformaproteger sus conexiones con StorageGRID.

    La tabla de arrendatarios tiene una fila para cada arrendatario e indica si cada arrendatario tiene permiso para utilizar su propio origen de identidad o servicios de plataforma.

    Podrá:

    Otros

    StorageGRID utiliza otros certificados de seguridad con fines específicos. Estos certificados se enumeran por su nombre funcional. Otros certificados de seguridad incluyen:

    La información indica el tipo de certificado que una función utiliza y sus fechas de vencimiento del certificado de servidor y cliente, según corresponda. Al seleccionar un nombre de función, se abre una pestaña del navegador en la que puede ver y editar los detalles del certificado.

    Nota Solo puede ver y acceder a la información de otros certificados si tiene el "permiso apropiado".

    Podrá:

Detalles del certificado de seguridad

Cada tipo de certificado de seguridad se describe a continuación, con enlaces a las instrucciones de implementación.

Certificado de interfaz de gestión

Tipo de certificado Descripción Ubicación de navegación Detalles

Servidor

Autentica la conexión entre los exploradores web del cliente y la interfaz de gestión de StorageGRID, lo que permite a los usuarios acceder a Grid Manager y al Gestor de inquilinos sin advertencias de seguridad.

Este certificado también autentica las conexiones API de gestión de grid y API de gestión de inquilinos.

Puede usar el certificado predeterminado creado durante la instalación o cargar un certificado personalizado.

CONFIGURACIÓN > Seguridad > certificados, seleccione la ficha Global y, a continuación, seleccione Certificado de interfaz de administración

"Configure los certificados de interfaz de gestión"

Certificado API S3

Tipo de certificado Descripción Ubicación de navegación Detalles

Servidor

Autentica las conexiones de clientes S3 seguras a un nodo de almacenamiento y a los extremos del balanceador de carga (opcional).

CONFIGURACIÓN > Seguridad > Certificados, selecciona la pestaña Global y luego selecciona Certificado API S3

"Configure los certificados de API S3"

Certificado de CA de grid

Consulte la Descripción de certificado de CA de cuadrícula predeterminada.

Certificado de cliente de administrador

Tipo de certificado Descripción Ubicación de navegación Detalles

Cliente

Instalado en cada cliente, lo que permite que StorageGRID autentique el acceso de los clientes externos.

  • Permite a los clientes externos autorizados acceder a la base de datos Prometheus de StorageGRID.

  • Permite una supervisión segura de StorageGRID mediante herramientas externas.

CONFIGURACIÓN > Seguridad > certificados y, a continuación, seleccione la ficha Cliente

"Configurar certificados de cliente"

Certificado de punto final de equilibrador de carga

Tipo de certificado Descripción Ubicación de navegación Detalles

Servidor

Autentica la conexión entre clientes S3 y el servicio de equilibrador de carga de StorageGRID en los nodos de puerta de enlace y los nodos de administración. Puede cargar o generar un certificado de equilibrador de carga al configurar un extremo de equilibrador de carga. Las aplicaciones cliente utilizan el certificado de equilibrador de carga al conectarse a StorageGRID para guardar y recuperar datos de objeto.

También puede usar una versión personalizada del certificado global Certificado API S3para autenticar las conexiones al servicio de Equilibrador de Carga. Si el certificado global se utiliza para autenticar las conexiones del equilibrador de carga, no es necesario cargar ni generar un certificado independiente para cada punto final del equilibrador de carga.

Nota: el certificado utilizado para la autenticación del equilibrador de carga es el certificado más utilizado durante el funcionamiento normal de StorageGRID.

CONFIGURACIÓN > Red > terminales de equilibrador de carga

Certificado de extremo de Cloud Storage Pool

Tipo de certificado Descripción Ubicación de navegación Detalles

Servidor

Autentica la conexión de un pool de almacenamiento en cloud de StorageGRID a una ubicación de almacenamiento externa, como S3 Glacier o el almacenamiento blob de Microsoft Azure. Se necesita un certificado diferente para cada tipo de proveedor de cloud.

ILM > piscinas de almacenamiento

"Cree un pool de almacenamiento en el cloud"

Certificado de notificación de alertas por correo electrónico

Tipo de certificado Descripción Ubicación de navegación Detalles

Servidor y cliente

Autentica la conexión entre un servidor de correo electrónico SMTP y una StorageGRID que se usa para notificaciones de alerta.

  • Si las comunicaciones con el servidor SMTP requieren Transport Layer Security (TLS), debe especificar el certificado de CA del servidor de correo electrónico.

  • Especifique un certificado de cliente solo si el servidor de correo SMTP requiere certificados de cliente para la autenticación.

ALERTAS > Configuración de correo electrónico

"Configure notificaciones por correo electrónico para las alertas"

Certificado de servidor de syslog externo

Tipo de certificado Descripción Ubicación de navegación Detalles

Servidor

Autentica la conexión TLS o RELP/TLS entre un servidor syslog externo que registra eventos en StorageGRID.

Nota: no se requiere un certificado de servidor syslog externo para conexiones TCP, RELP/TCP y UDP a un servidor syslog externo.

CONFIGURACIÓN > Monitoreo > Servidor de auditoría y syslog

"Use un servidor de syslog externo"

Certificado de conexión de la federación de cuadrícula

Tipo de certificado Descripción Ubicación de navegación Detalles

Servidor y cliente

Autenticar y cifrar la información enviada entre el sistema de StorageGRID actual y otro grid en una conexión de federación de grid.

CONFIGURACIÓN > Sistema > Grid federation

Certificado de federación de identidades

Tipo de certificado Descripción Ubicación de navegación Detalles

Servidor

Autentica la conexión entre StorageGRID y un proveedor de identidades externo, como Active Directory, OpenLDAP u Oracle Directory Server. Se utiliza para la federación de identidades, lo que permite que los grupos de administración y los usuarios sean gestionados por un sistema externo.

CONFIGURACIÓN > Control de acceso > federación de identidades

"Usar la federación de identidades"

Certificado de servidor de gestión de claves (KMS)

Tipo de certificado Descripción Ubicación de navegación Detalles

Servidor y cliente

Autentica la conexión entre StorageGRID y un servidor de gestión de claves (KMS) externo, que proporciona claves de cifrado a los nodos de los dispositivos StorageGRID.

CONFIGURACIÓN > Seguridad > servidor de administración de claves

"Añadir servidor de gestión de claves (KMS)"

Certificado de extremo de servicios de plataforma

Tipo de certificado Descripción Ubicación de navegación Detalles

Servidor

Autentica la conexión desde el servicio de plataforma StorageGRID a un recurso de almacenamiento S3.

Administrador de inquilinos > ALMACENAMIENTO (S3) > terminales de servicios de plataforma

"Cree un extremo de servicios de plataforma"

"Editar extremo de servicios de plataforma"

Certificado de inicio de sesión único (SSO)

Tipo de certificado Descripción Ubicación de navegación Detalles

Servidor

Autentica la conexión entre los servicios de federación de identidades, como Active Directory Federation Services (AD FS), y StorageGRID, que se utilizan para solicitudes de inicio de sesión único (SSO).

CONFIGURACIÓN > Control de acceso > Single Sign-On

"Configurar el inicio de sesión único"

Ejemplos de certificados

Ejemplo 1: Servicio de equilibrador de carga

En este ejemplo, StorageGRID actúa como servidor.

  1. Se configura un extremo de equilibrador de carga y se carga o genera un certificado de servidor en StorageGRID.

  2. Debe configurar una conexión de cliente S3 al extremo del equilibrador de carga y cargar el mismo certificado al cliente.

  3. Cuando el cliente desea guardar o recuperar datos, se conecta al extremo de equilibrio de carga mediante HTTPS.

  4. StorageGRID responde con el certificado de servidor, que contiene una clave pública y una firma basada en la clave privada.

  5. El cliente verifica este certificado comparando la firma del servidor con la firma de su copia del certificado. Si las firmas coinciden, el cliente inicia una sesión utilizando la misma clave pública.

  6. El cliente envía datos de objeto a StorageGRID.

Ejemplo 2: Servidor de gestión de claves externo (KMS)

En este ejemplo, StorageGRID actúa como cliente.

  1. Con el software de servidor de gestión de claves externo, configura StorageGRID como un cliente KMS y obtiene un certificado de servidor firmado por CA, un certificado de cliente público y la clave privada del certificado de cliente.

  2. Con el Administrador de grid, configura un servidor KMS y carga los certificados de servidor y cliente y la clave privada de cliente.

  3. Cuando un nodo StorageGRID necesita una clave de cifrado, realiza una solicitud al servidor KMS que incluye datos del certificado y una firma basada en la clave privada.

  4. El servidor KMS valida la firma del certificado y decide que puede confiar en StorageGRID.

  5. El servidor KMS responde mediante la conexión validada.