Consignes de renforcement des certificats de serveur
Vous devez remplacer les certificats par défaut créés lors de l'installation par vos propres certificats personnalisés.
Pour de nombreuses organisations, le certificat numérique auto-signé pour l'accès au Web StorageGRID n'est pas conforme à leurs politiques de sécurité de l'information. Sur les systèmes de production, vous devez installer un certificat numérique signé par une autorité de certification pour l'authentification de StorageGRID.
Plus précisément, vous devez utiliser des certificats de serveur personnalisés au lieu de ces certificats par défaut :
-
Certificat d'interface de gestion : utilisé pour sécuriser l'accès au Grid Manager, au tenant Manager, à l'API Grid Management et à l'API tenant Management.
-
Certificat API S3 et Swift : utilisé pour sécuriser l'accès aux nœuds de stockage et aux nœuds de passerelle, que les applications client S3 et Swift utilisent pour charger et télécharger des données d'objet.
StorageGRID gère séparément les certificats utilisés pour les terminaux de l'équilibreur de charge. Pour configurer les certificats d'équilibreur de charge, reportez-vous aux étapes de configuration des noeuds finaux d'équilibreur de charge dans les instructions d'administration de StorageGRID. |
Lorsque vous utilisez des certificats de serveur personnalisés, suivez les instructions suivantes :
-
Les certificats doivent avoir un
subjectAltName
Correspondant aux entrées DNS de StorageGRID. Pour plus de détails, reportez-vous à la section 4.2.1.6, «sous-objet autre nom», dans "RFC 5280 : certificat PKIX et profil CRL". -
Si possible, évitez d'utiliser des certificats génériques. Une exception à cette directive est le certificat d'un terminal de type hébergé virtuel S3. Il requiert l'utilisation d'un caractère générique si les noms de compartiment ne sont pas connus à l'avance.
-
Lorsque vous devez utiliser des caractères génériques dans les certificats, vous devez prendre des mesures supplémentaires pour réduire les risques. Utilisez un motif générique comme
*.s3.example.com
, et n'utilisez pas les3.example.com
suffixe pour les autres applications. Ce modèle fonctionne également avec l'accès S3 de type chemin d'accès, commedc1-s1.s3.example.com/mybucket
. -
Définissez les délais d'expiration du certificat sur court (par exemple, 2 mois) et utilisez l'API Grid Management pour automatiser la rotation des certificats. Ceci est particulièrement important pour les certificats génériques.
En outre, les clients doivent utiliser un contrôle strict du nom d'hôte lors de la communication avec StorageGRID.