Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Utilisation des certificats de sécurité StorageGRID

Contributeurs
PDF

Les certificats de sécurité sont de petits fichiers de données utilisés pour créer des connexions sécurisées et fiables entre les composants StorageGRID et entre les composants StorageGRID et les systèmes externes.

StorageGRID utilise deux types de certificats de sécurité :

  • Les certificats de serveur sont requis lorsque vous utilisez des connexions HTTPS. Les certificats de serveur permettent d'établir des connexions sécurisées entre les clients et les serveurs, d'authentifier l'identité d'un serveur pour ses clients et de fournir un chemin de communication sécurisé pour les données. Le serveur et le client ont chacun une copie du certificat.

  • Certificats client authentifiez une identité client ou utilisateur au serveur, fournissant une authentification plus sécurisée que les mots de passe seuls. Les certificats client ne cryptent pas les données.

Lorsqu'un client se connecte au serveur via HTTPS, le serveur répond avec le certificat du serveur, qui contient une clé publique. Le client vérifie ce certificat en comparant la signature du serveur à la signature figurant sur sa copie du certificat. Si les signatures correspondent, le client démarre une session avec le serveur en utilisant la même clé publique.

StorageGRID fonctionne comme serveur pour certaines connexions (par exemple, le point de terminaison de l'équilibreur de charge) ou comme client pour d'autres connexions (par exemple, le service de réplication CloudMirror).

Une autorité de certification externe peut émettre des certificats personnalisés qui sont entièrement conformes aux politiques de sécurité des informations de votre entreprise. StorageGRID inclut également une autorité de certification intégrée qui génère des certificats CA internes lors de l'installation du système. Ces certificats d'autorité de certification internes sont utilisés par défaut pour sécuriser le trafic StorageGRID interne. Bien que vous puissiez utiliser les certificats d'autorité de certification internes pour un environnement non productif, la meilleure pratique pour un environnement de production consiste à utiliser des certificats personnalisés signés par une autorité de certification externe. Les connexions non sécurisées sans certificat sont également prises en charge mais ne sont pas recommandées.

  • Les certificats d'autorité de certification personnalisés ne suppriment pas les certificats internes ; cependant, les certificats personnalisés doivent être ceux spécifiés pour vérifier les connexions du serveur.

  • Tous les certificats personnalisés doivent respecter les directives de renforcement du système pour les certificats de serveur.

    "Durcissement du système"

  • StorageGRID prend en charge le regroupement de certificats d'une autorité de certification dans un seul fichier (appelé bundle de certificats d'autorité de certification).

Remarque StorageGRID inclut également des certificats CA du système d'exploitation identiques sur toutes les grilles. Dans les environnements de production, assurez-vous de spécifier un certificat personnalisé signé par une autorité de certification externe à la place du certificat d'autorité de certification du système d'exploitation.

Les variantes du serveur et des types de certificats client sont mises en œuvre de plusieurs façons. Avant de configurer le système, tous les certificats nécessaires à votre configuration StorageGRID spécifique doivent être prêts.

Certificat Type de certificat Description Emplacement de navigation Détails

Certificat du client administrateur

Client

Installé sur chaque client, permettant à StorageGRID d'authentifier l'accès client externe.

  • Permet aux clients externes autorisés d'accéder à la base de données StorageGRID Prometheus.

  • Contrôle sécurisé de StorageGRID à l'aide d'outils externes.

Configuration > contrôle d'accès > certificats client

"Configuration des certificats client administrateur"

Certificat de fédération des identités

Serveur

Authentifie la connexion entre StorageGRID et un Active Directory externe, OpenLDAP ou Oracle Directory Server.utilisé pour la fédération des identités, ce qui permet aux groupes d'administration et aux utilisateurs d'être gérés par un système externe.

Configuration > contrôle d'accès > Fédération d'identité

"Utilisation de la fédération des identités"

Certificat SSO (Single Sign-on)

Serveur

Authentifie la connexion entre Active Directory Federation Services (AD FS) et StorageGRID utilisée pour les demandes SSO (Single Sign-on).

Configuration > contrôle d'accès > connexion unique

"Configuration de l'authentification unique"

Certificat de serveur de gestion des clés (KMS)

Serveur et client

Authentifie la connexion entre StorageGRID et un serveur de gestion des clés (KMS) externe qui fournit les clés de chiffrement aux nœuds d'appliance StorageGRID.

Configuration > Paramètres système > serveur de gestion des clés

"Ajout d'un serveur de gestion des clés (KMS)"

Certificat de notification d'alerte par e-mail

Serveur et client

Authentifie la connexion entre un serveur de messagerie SMTP et StorageGRID utilisé pour les notifications d'alerte.

  • Si les communications avec le serveur SMTP nécessitent TLS (transport Layer Security), vous devez spécifier le certificat AC du serveur de messagerie.

  • Spécifiez un certificat client uniquement si le serveur de messagerie SMTP nécessite des certificats client pour l'authentification.

Alertes > Configuration email

"Moniteur et amp ; dépannage"

Certificat de terminal de l'équilibreur de charge

Serveur

Authentifie la connexion entre les clients S3 ou Swift et le service StorageGRID Load Balancer sur les nœuds de passerelle ou les nœuds d'administration. Vous téléchargez ou générez un certificat d'équilibreur de charge lorsque vous configurez un noeud final d'équilibreur de charge.les applications client utilisent le certificat d'équilibreur de charge lors de la connexion à StorageGRID pour enregistrer et récupérer les données d'objet.

Remarque : le certificat d'équilibreur de charge est le certificat le plus utilisé pendant le fonctionnement normal de StorageGRID.

Configuration > Paramètres réseau > points d'extrémité Load Balancer

Certificat de serveur de l'interface de gestion

Serveur

Authentifie la connexion entre les navigateurs Web client et l'interface de gestion StorageGRID, permettant aux utilisateurs d'accéder à Grid Manager et au gestionnaire de locataires sans avertissement de sécurité.

Ce certificat authentifie également les connexions de l'API de gestion du grid et de l'API de gestion des locataires.

Vous pouvez utiliser le certificat de l'autorité de certification interne ou télécharger un certificat personnalisé.

Configuration > Paramètres réseau > certificats serveur

Certificat de terminal Cloud Storage Pool

Serveur

Authentifie la connexion entre le pool de stockage cloud StorageGRID et un emplacement de stockage externe (tel que le stockage Glacier S3 ou Microsoft Azure Blob). Un certificat différent est requis pour chaque type de fournisseur cloud.

ILM > pools de stockage

"Gestion des objets avec ILM"

Certificat de terminal des services de plate-forme

Serveur

Authentification de la connexion depuis le service de la plateforme StorageGRID vers une ressource de stockage S3

Tenant Manager > STORAGE (S3) > Platform services Endpoints

"Utilisez un compte de locataire"

Certificat de serveur de point final de service d'API de stockage d'objet

Serveur

Authentifie les connexions client S3 ou Swift sécurisées vers le service LDR (local distribution Router) sur un nœud de stockage ou vers le service CLB (Connection Load Balancer) obsolète sur un nœud de passerelle.

Configuration > Paramètres réseau > points d'extrémité Load Balancer

"Configuration d'un certificat de serveur personnalisé pour les connexions au nœud de stockage ou au service CLB"

Exemple 1 : service Load Balancer

Dans cet exemple, StorageGRID sert de serveur.

  1. Vous configurez un noeud final de l'équilibreur de charge et téléchargez ou générez un certificat de serveur dans StorageGRID.

  2. Vous configurez une connexion client S3 ou Swift au point de terminaison de l'équilibreur de charge et téléchargez le même certificat au client.

  3. Lorsque le client souhaite enregistrer ou récupérer des données, il se connecte au point de terminaison de l'équilibreur de charge à l'aide de HTTPS.

  4. StorageGRID répond avec le certificat du serveur, qui contient une clé publique, et une signature basée sur la clé privée.

  5. Le client vérifie ce certificat en comparant la signature du serveur à la signature figurant sur sa copie du certificat. Si les signatures correspondent, le client lance une session à l'aide de la même clé publique.

  6. Le client envoie des données d'objet à StorageGRID.

Exemple 2 : serveur de gestion externe des clés (KMS)

Dans cet exemple, StorageGRID agit comme client.

  1. À l'aide du logiciel serveur de gestion de clés externe, vous configurez StorageGRID en tant que client KMS et obtenez un certificat de serveur signé par l'autorité de certification, un certificat de client public et la clé privée pour le certificat client.

  2. À l'aide de Grid Manager, vous configurez un serveur KMS et téléchargez les certificats du serveur et du client ainsi que la clé privée du client.

  3. Lorsqu'un nœud StorageGRID a besoin d'une clé de chiffrement, il envoie une requête au serveur KMS qui inclut les données du certificat et une signature basée sur la clé privée.

  4. Le serveur KMS valide la signature du certificat et décide qu'il peut faire confiance à StorageGRID.

  5. Le serveur KMS répond à l'aide de la connexion validée.