Commencez
Consignes de renforcement des certificats de serveur
Suggérer des modifications
-
Un fichier PDF de toute la documentation
-
Installer et entretenir le matériel de l'appareil
-
Appareils de services SG100 et SG1000
-
Dispositifs de stockage SG6000
-
Appliances de stockage SG5700
-
-
Installez et mettez à niveau le logiciel
-
Installez Red Hat Enterprise Linux ou CentOS
-
-
Administrer le système
-
Administrer StorageGRID
-
-
Utiliser StorageGRID
-
Contrôler et gérer StorageGRID
-
Récupérer et entretenir
-
Procédures de restauration des nœuds de la grille
-
-
-
Plusieurs fichiers PDF
Creating your file...
Vous devez remplacer les certificats par défaut créés lors de l'installation par vos propres certificats personnalisés.
Pour de nombreuses organisations, le certificat numérique auto-signé pour l'accès au Web StorageGRID n'est pas conforme à leurs politiques de sécurité de l'information. Sur les systèmes de production, vous devez installer un certificat numérique signé par une autorité de certification pour l'authentification de StorageGRID.
Plus précisément, vous devez utiliser des certificats de serveur personnalisés au lieu de ces certificats par défaut :
-
Certificat d'interface de gestion : utilisé pour sécuriser l'accès au Grid Manager, au tenant Manager, à l'API Grid Management et à l'API tenant Management.
-
Certificat API S3 et Swift : utilisé pour sécuriser l'accès aux nœuds de stockage et aux nœuds de passerelle, que les applications client S3 et Swift utilisent pour charger et télécharger des données d'objet.
|
StorageGRID gère séparément les certificats utilisés pour les terminaux de l'équilibreur de charge. Pour configurer les certificats d'équilibreur de charge, reportez-vous aux étapes de configuration des noeuds finaux d'équilibreur de charge dans les instructions d'administration de StorageGRID. |
Lorsque vous utilisez des certificats de serveur personnalisés, suivez les instructions suivantes :
-
Les certificats doivent avoir un
subjectAltNameCorrespondant aux entrées DNS de StorageGRID. Pour plus de détails, reportez-vous à la section 4.2.1.6, «sous-objet autre nom», dans "RFC 5280 : certificat PKIX et profil CRL". -
Si possible, évitez d'utiliser des certificats génériques. Une exception à cette directive est le certificat d'un terminal de type hébergé virtuel S3. Il requiert l'utilisation d'un caractère générique si les noms de compartiment ne sont pas connus à l'avance.
-
Lorsque vous devez utiliser des caractères génériques dans les certificats, vous devez prendre des mesures supplémentaires pour réduire les risques. Utilisez un motif générique comme
*.s3.example.com, et n'utilisez pas les3.example.comsuffixe pour les autres applications. Ce modèle fonctionne également avec l'accès S3 de type chemin d'accès, commedc1-s1.s3.example.com/mybucket. -
Définissez les délais d'expiration du certificat sur court (par exemple, 2 mois) et utilisez l'API Grid Management pour automatiser la rotation des certificats. Ceci est particulièrement important pour les certificats génériques.
En outre, les clients doivent utiliser un contrôle strict du nom d'hôte lors de la communication avec StorageGRID.