Gérer les certificats de sécurité
Suggérer des modifications
PDF
Les certificats de sécurité sont de petits fichiers de données utilisés pour créer des connexions sécurisées et fiables entre les composants StorageGRID et entre les composants StorageGRID et les systèmes externes.
StorageGRID utilise deux types de certificats de sécurité :
-
Les certificats de serveur sont requis lorsque vous utilisez des connexions HTTPS. Les certificats de serveur sont utilisés pour établir des connexions sécurisées entre les clients et les serveurs, authentifiant l'identité d'un serveur auprès de ses clients et fournissant un chemin de communication sécurisé pour les données. Le serveur et le client disposent chacun d'une copie du certificat.
-
Les certificats clients authentifient l'identité d'un client ou d'un utilisateur auprès du serveur, offrant une authentification plus sécurisée que les mots de passe seuls. Les certificats clients ne cryptent pas les données.
Lorsqu'un client se connecte au serveur via HTTPS, le serveur répond avec le certificat du serveur, qui contient une clé publique. Le client vérifie ce certificat en comparant la signature du serveur à la signature sur sa copie du certificat. Si les signatures correspondent, le client démarre une session avec le serveur en utilisant la même clé publique.
StorageGRID fonctionne comme serveur pour certaines connexions (comme le point de terminaison de l'équilibreur de charge) ou comme client pour d'autres connexions (comme le service de réplication CloudMirror).
Certificat Grid CA par défaut
StorageGRID inclut une autorité de certification (CA) intégrée qui génère un certificat CA Grid interne lors de l'installation du système. Le certificat Grid CA est utilisé, par défaut, pour sécuriser le trafic StorageGRID interne. Une autorité de certification (CA) externe peut émettre des certificats personnalisés entièrement conformes aux politiques de sécurité des informations de votre organisation. Bien que vous puissiez utiliser le certificat Grid CA pour un environnement hors production, la meilleure pratique pour un environnement de production consiste à utiliser des certificats personnalisés signés par une autorité de certification externe. Les connexions non sécurisées sans certificat sont également prises en charge mais ne sont pas recommandées.
-
Les certificats CA personnalisés ne suppriment pas les certificats internes ; cependant, les certificats personnalisés doivent être ceux spécifiés pour vérifier les connexions au serveur.
-
Tous les certificats personnalisés doivent répondre aux"directives de renforcement du système pour les certificats de serveur" .
-
StorageGRID prend en charge le regroupement de certificats d'une autorité de certification dans un seul fichier (appelé regroupement de certificats d'autorité de certification).
|
StorageGRID inclut également des certificats d'autorité de certification du système d'exploitation qui sont les mêmes sur toutes les grilles. Dans les environnements de production, assurez-vous de spécifier un certificat personnalisé signé par une autorité de certification externe à la place du certificat CA du système d'exploitation. |
Les variantes des types de certificats serveur et client sont implémentées de plusieurs manières. Vous devez disposer de tous les certificats nécessaires à votre configuration StorageGRID spécifique avant de configurer le système.
Accéder aux certificats de sécurité
Vous pouvez accéder aux informations sur tous les certificats StorageGRID dans un seul emplacement, ainsi qu'aux liens vers le flux de travail de configuration pour chaque certificat.
-
Depuis le Gestionnaire de grille, sélectionnez CONFIGURATION > Sécurité > Certificats.
-
Sélectionnez un onglet sur la page Certificats pour obtenir des informations sur chaque catégorie de certificat et pour accéder aux paramètres du certificat. Vous pouvez accéder à un onglet si vous avez le"autorisation appropriée" .
-
Global : Sécurise l'accès à StorageGRID à partir des navigateurs Web et des clients API externes.
-
Grid CA : sécurise le trafic StorageGRID interne.
-
Client : sécurise les connexions entre les clients externes et la base de données StorageGRID Prometheus.
-
Points de terminaison de l'équilibreur de charge : sécurise les connexions entre les clients S3 et l'équilibreur de charge StorageGRID .
-
* Locataires * : sécurise les connexions aux serveurs de fédération d'identité ou des points de terminaison de service de la plateforme aux ressources de stockage S3.
-
Autre : Sécurise les connexions StorageGRID nécessitant des certificats spécifiques.
Chaque onglet est décrit ci-dessous avec des liens vers des détails de certificat supplémentaires.
MondialLes certificats globaux sécurisent l'accès à StorageGRID à partir des navigateurs Web et des clients API S3 externes. Deux certificats globaux sont initialement générés par l’autorité de certification StorageGRID lors de l’installation. La meilleure pratique pour un environnement de production consiste à utiliser des certificats personnalisés signés par une autorité de certification externe.
-
Certificat d'interface de gestion: Sécurise les connexions du navigateur Web client aux interfaces de gestion StorageGRID .
-
Certificat API S3:Sécurise les connexions API client aux nœuds de stockage, aux nœuds d'administration et aux nœuds de passerelle, que les applications client S3 utilisent pour télécharger et charger des données d'objet.
Les informations sur les certificats globaux installés incluent :
-
Nom : Nom du certificat avec lien pour gérer le certificat.
-
Description
-
Type : Personnalisé ou par défaut. + Vous devez toujours utiliser un certificat personnalisé pour améliorer la sécurité du réseau.
-
Date d'expiration : Si vous utilisez le certificat par défaut, aucune date d'expiration n'est affichée.
Tu peux:
-
Remplacez les certificats par défaut par des certificats personnalisés signés par une autorité de certification externe pour améliorer la sécurité de la grille :
-
"Remplacer le certificat d'interface de gestion généré par StorageGRID par défaut"utilisé pour les connexions Grid Manager et Tenant Manager.
-
"Remplacer le certificat API S3"utilisé pour les connexions au nœud de stockage et au point de terminaison de l'équilibreur de charge (facultatif).
-
-
"Restaurer le certificat d'interface de gestion par défaut" .
-
"Utiliser un script pour générer un nouveau certificat d'interface de gestion auto-signé" .
-
Copiez ou téléchargez le"certificat d'interface de gestion" ou"Certificat API S3" .
Grille CALeCertificat Grid CA , généré par l'autorité de certification StorageGRID lors de l'installation de StorageGRID , sécurise tout le trafic interne de StorageGRID .
Les informations du certificat incluent la date d’expiration du certificat et le contenu du certificat.
Tu peux"copier ou télécharger le certificat Grid CA" , mais tu ne peux pas le changer.
ClientCertificats clients, généré par une autorité de certification externe, sécurise les connexions entre les outils de surveillance externes et la base de données StorageGRID Prometheus.
La table des certificats comporte une ligne pour chaque certificat client configuré et indique si le certificat peut être utilisé pour l'accès à la base de données Prometheus, ainsi que la date d'expiration du certificat.
Tu peux:
-
Sélectionnez un nom de certificat pour afficher les détails du certificat où vous pouvez :
-
Sélectionnez Actions pour rapidement"modifier" ,"attacher" , ou"retirer" un certificat client. Vous pouvez sélectionner jusqu'à 10 certificats clients et les supprimer simultanément en utilisant Actions > Supprimer.
Points de terminaison de l'équilibreur de chargeCertificats de point de terminaison d'équilibrage de chargesécurisez les connexions entre les clients S3 et le service StorageGRID Load Balancer sur les nœuds de passerelle et les nœuds d'administration.
La table des points de terminaison de l'équilibreur de charge comporte une ligne pour chaque point de terminaison de l'équilibreur de charge configuré et indique si le certificat API S3 global ou un certificat de point de terminaison de l'équilibreur de charge personnalisé est utilisé pour le point de terminaison. La date d'expiration de chaque certificat est également affichée.
Les modifications apportées à un certificat de point de terminaison peuvent prendre jusqu'à 15 minutes pour être appliquées à tous les nœuds. Tu peux:
-
"Afficher un point de terminaison d'équilibrage de charge", y compris les détails de son certificat.
-
"Spécifiez un certificat de point de terminaison d’équilibrage de charge pour FabricPool."
-
"Utiliser le certificat API S3 global"au lieu de générer un nouveau certificat de point de terminaison d'équilibrage de charge.
LocatairesLes locataires peuvent utilisercertificats de serveur de fédération d'identité oucertificats de point de terminaison de service de plateforme pour sécuriser leurs connexions avec StorageGRID.
La table des locataires comporte une ligne pour chaque locataire et indique si chaque locataire est autorisé à utiliser sa propre source d'identité ou ses propres services de plateforme.
Tu peux:
AutreStorageGRID utilise d’autres certificats de sécurité à des fins spécifiques. Ces certificats sont répertoriés par leur nom fonctionnel. D’autres certificats de sécurité incluent :
Les informations indiquent le type de certificat utilisé par une fonction ainsi que les dates d'expiration de ses certificats serveur et client, le cas échéant. La sélection d’un nom de fonction ouvre un onglet de navigateur dans lequel vous pouvez afficher et modifier les détails du certificat.
Vous ne pouvez afficher et accéder aux informations des autres certificats que si vous disposez des droits d'accès."autorisation appropriée" . Tu peux:
-
"Spécifier un certificat de pool de stockage cloud pour S3, C2S S3 ou Azure"
-
"Spécifier un certificat pour les notifications d'alerte par e-mail"
-
"Faire pivoter les certificats de connexion à la fédération de réseau"
-
"Afficher et modifier un certificat de fédération d'identité"
-
"Télécharger les certificats du serveur de gestion des clés (KMS) et du client"
-
"Spécifier manuellement un certificat SSO pour une approbation de partie de confiance"
-
Détails du certificat de sécurité
Chaque type de certificat de sécurité est décrit ci-dessous, avec des liens vers les instructions de mise en œuvre.
Certificat d'interface de gestion
| Type de certificat | Description | Emplacement de navigation | Détails |
|---|---|---|---|
Serveur |
Authentifie la connexion entre les navigateurs Web clients et l'interface de gestion StorageGRID , permettant aux utilisateurs d'accéder à Grid Manager et Tenant Manager sans avertissements de sécurité. Ce certificat authentifie également les connexions à l'API Grid Management et à l'API Tenant Management. Vous pouvez utiliser le certificat par défaut créé lors de l'installation ou télécharger un certificat personnalisé. |
CONFIGURATION > Sécurité > Certificats, sélectionnez l'onglet Global, puis sélectionnez Certificat d'interface de gestion |
Certificat API S3
| Type de certificat | Description | Emplacement de navigation | Détails |
|---|---|---|---|
Serveur |
Authentifie les connexions client S3 sécurisées à un nœud de stockage et aux points de terminaison de l'équilibreur de charge (facultatif). |
CONFIGURATION > Sécurité > Certificats, sélectionnez l'onglet Global, puis sélectionnez Certificat API S3 |
Certificat Grid CA
Certificat client administrateur
| Type de certificat | Description | Emplacement de navigation | Détails |
|---|---|---|---|
Client |
Installé sur chaque client, permettant à StorageGRID d'authentifier l'accès client externe.
|
CONFIGURATION > Sécurité > Certificats puis sélectionnez l'onglet Client |
Certificat de point de terminaison de l'équilibreur de charge
| Type de certificat | Description | Emplacement de navigation | Détails |
|---|---|---|---|
Serveur |
Authentifie la connexion entre les clients S3 et le service d'équilibrage de charge StorageGRID sur les nœuds de passerelle et les nœuds d'administration. Vous pouvez télécharger ou générer un certificat d’équilibreur de charge lorsque vous configurez un point de terminaison d’équilibreur de charge. Les applications clientes utilisent le certificat d’équilibrage de charge lors de la connexion à StorageGRID pour enregistrer et récupérer les données d’objet. Vous pouvez également utiliser une version personnalisée du globalCertificat API S3 certificat pour authentifier les connexions au service Load Balancer. Si le certificat global est utilisé pour authentifier les connexions de l'équilibreur de charge, vous n'avez pas besoin de télécharger ou de générer un certificat distinct pour chaque point de terminaison de l'équilibreur de charge. Remarque : le certificat utilisé pour l’authentification de l’équilibreur de charge est le certificat le plus utilisé pendant le fonctionnement normal de StorageGRID . |
CONFIGURATION > Réseau > Points de terminaison de l'équilibreur de charge |
Certificat de point de terminaison du pool de stockage cloud
| Type de certificat | Description | Emplacement de navigation | Détails |
|---|---|---|---|
Serveur |
Authentifie la connexion d’un pool de stockage cloud StorageGRID vers un emplacement de stockage externe, tel que S3 Glacier ou le stockage Microsoft Azure Blob. Un certificat différent est requis pour chaque type de fournisseur de cloud. |
ILM > Pools de stockage |
Certificat de notification d'alerte par courrier électronique
| Type de certificat | Description | Emplacement de navigation | Détails |
|---|---|---|---|
Serveur et client |
Authentifie la connexion entre un serveur de messagerie SMTP et StorageGRID utilisé pour les notifications d'alerte.
|
ALERTES > Configuration de la messagerie électronique |
Certificat de serveur syslog externe
| Type de certificat | Description | Emplacement de navigation | Détails |
|---|---|---|---|
Serveur |
Authentifie la connexion TLS ou RELP/TLS entre un serveur syslog externe qui enregistre les événements dans StorageGRID. Remarque : un certificat de serveur Syslog externe n'est pas requis pour les connexions TCP, RELP/TCP et UDP à un serveur Syslog externe. |
CONFIGURATION > Surveillance > Serveur d'audit et syslog |
Certificat de connexion à la fédération de réseau
| Type de certificat | Description | Emplacement de navigation | Détails |
|---|---|---|---|
Serveur et client |
Authentifiez et cryptez les informations envoyées entre le système StorageGRID actuel et une autre grille dans une connexion de fédération de grille. |
CONFIGURATION > Système > Fédération de grille |
Certificat de fédération d'identité
| Type de certificat | Description | Emplacement de navigation | Détails |
|---|---|---|---|
Serveur |
Authentifie la connexion entre StorageGRID et un fournisseur d'identité externe, tel qu'Active Directory, OpenLDAP ou Oracle Directory Server. Utilisé pour la fédération d'identité, qui permet aux groupes d'administrateurs et aux utilisateurs d'être gérés par un système externe. |
CONFIGURATION > Contrôle d'accès > Fédération d'identité |
Certificat du serveur de gestion de clés (KMS)
| Type de certificat | Description | Emplacement de navigation | Détails |
|---|---|---|---|
Serveur et client |
Authentifie la connexion entre StorageGRID et un serveur de gestion de clés externe (KMS), qui fournit des clés de chiffrement aux nœuds de l'appliance StorageGRID . |
CONFIGURATION > Sécurité > Serveur de gestion des clés |
Certificat de point de terminaison des services de plateforme
| Type de certificat | Description | Emplacement de navigation | Détails |
|---|---|---|---|
Serveur |
Authentifie la connexion du service de plateforme StorageGRID à une ressource de stockage S3. |
Gestionnaire de locataires > STOCKAGE (S3) > Points de terminaison des services de plateforme |
Certificat d'authentification unique (SSO)
| Type de certificat | Description | Emplacement de navigation | Détails |
|---|---|---|---|
Serveur |
Authentifie la connexion entre les services de fédération d'identité, tels que les services de fédération Active Directory (AD FS) et StorageGRID qui sont utilisés pour les demandes d'authentification unique (SSO). |
CONFIGURATION > Contrôle d'accès > Authentification unique |
Exemples de certificats
Exemple 1 : service d'équilibrage de charge
Dans cet exemple, StorageGRID agit comme serveur.
-
Vous configurez un point de terminaison d'équilibrage de charge et téléchargez ou générez un certificat de serveur dans StorageGRID.
-
Vous configurez une connexion client S3 au point de terminaison de l’équilibreur de charge et téléchargez le même certificat sur le client.
-
Lorsque le client souhaite enregistrer ou récupérer des données, il se connecte au point de terminaison de l'équilibreur de charge à l'aide de HTTPS.
-
StorageGRID répond avec le certificat du serveur, qui contient une clé publique, et avec une signature basée sur la clé privée.
-
Le client vérifie ce certificat en comparant la signature du serveur à la signature sur sa copie du certificat. Si les signatures correspondent, le client démarre une session en utilisant la même clé publique.
-
Le client envoie des données d’objet à StorageGRID.
Exemple 2 : Serveur de gestion de clés externe (KMS)
Dans cet exemple, StorageGRID agit en tant que client.
-
À l'aide d'un logiciel de gestion de clés externe, vous configurez StorageGRID en tant que client KMS et obtenez un certificat de serveur signé par une autorité de certification, un certificat client public et la clé privée du certificat client.
-
À l’aide du gestionnaire de grille, vous configurez un serveur KMS et téléchargez les certificats du serveur et du client ainsi que la clé privée du client.
-
Lorsqu'un nœud StorageGRID a besoin d'une clé de chiffrement, il envoie une demande au serveur KMS qui inclut les données du certificat et une signature basée sur la clé privée.
-
Le serveur KMS valide la signature du certificat et décide qu'il peut faire confiance à StorageGRID.
-
Le serveur KMS répond en utilisant la connexion validée.