Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Gérer les certificats de sécurité

Les certificats de sécurité sont de petits fichiers de données utilisés pour créer des connexions sécurisées et fiables entre les composants StorageGRID et entre les composants StorageGRID et les systèmes externes.

StorageGRID utilise deux types de certificats de sécurité :

  • Les certificats de serveur sont requis lorsque vous utilisez des connexions HTTPS. Les certificats de serveur sont utilisés pour établir des connexions sécurisées entre les clients et les serveurs, authentifiant l'identité d'un serveur auprès de ses clients et fournissant un chemin de communication sécurisé pour les données. Le serveur et le client disposent chacun d'une copie du certificat.

  • Les certificats clients authentifient l'identité d'un client ou d'un utilisateur auprès du serveur, offrant une authentification plus sécurisée que les mots de passe seuls. Les certificats clients ne cryptent pas les données.

Lorsqu'un client se connecte au serveur via HTTPS, le serveur répond avec le certificat du serveur, qui contient une clé publique. Le client vérifie ce certificat en comparant la signature du serveur à la signature sur sa copie du certificat. Si les signatures correspondent, le client démarre une session avec le serveur en utilisant la même clé publique.

StorageGRID fonctionne comme serveur pour certaines connexions (comme le point de terminaison de l'équilibreur de charge) ou comme client pour d'autres connexions (comme le service de réplication CloudMirror).

Certificat Grid CA par défaut

StorageGRID inclut une autorité de certification (CA) intégrée qui génère un certificat CA Grid interne lors de l'installation du système. Le certificat Grid CA est utilisé, par défaut, pour sécuriser le trafic StorageGRID interne. Une autorité de certification (CA) externe peut émettre des certificats personnalisés entièrement conformes aux politiques de sécurité des informations de votre organisation. Bien que vous puissiez utiliser le certificat Grid CA pour un environnement hors production, la meilleure pratique pour un environnement de production consiste à utiliser des certificats personnalisés signés par une autorité de certification externe. Les connexions non sécurisées sans certificat sont également prises en charge mais ne sont pas recommandées.

  • Les certificats CA personnalisés ne suppriment pas les certificats internes ; cependant, les certificats personnalisés doivent être ceux spécifiés pour vérifier les connexions au serveur.

  • Tous les certificats personnalisés doivent répondre aux"directives de renforcement du système pour les certificats de serveur" .

  • StorageGRID prend en charge le regroupement de certificats d'une autorité de certification dans un seul fichier (appelé regroupement de certificats d'autorité de certification).

Remarque StorageGRID inclut également des certificats d'autorité de certification du système d'exploitation qui sont les mêmes sur toutes les grilles. Dans les environnements de production, assurez-vous de spécifier un certificat personnalisé signé par une autorité de certification externe à la place du certificat CA du système d'exploitation.

Les variantes des types de certificats serveur et client sont implémentées de plusieurs manières. Vous devez disposer de tous les certificats nécessaires à votre configuration StorageGRID spécifique avant de configurer le système.

Accéder aux certificats de sécurité

Vous pouvez accéder aux informations sur tous les certificats StorageGRID dans un seul emplacement, ainsi qu'aux liens vers le flux de travail de configuration pour chaque certificat.

Étapes
  1. Depuis le Gestionnaire de grille, sélectionnez CONFIGURATION > Sécurité > Certificats.

    Page des certificats
  2. Sélectionnez un onglet sur la page Certificats pour obtenir des informations sur chaque catégorie de certificat et pour accéder aux paramètres du certificat. Vous pouvez accéder à un onglet si vous avez le"autorisation appropriée" .

    • Global : Sécurise l'accès à StorageGRID à partir des navigateurs Web et des clients API externes.

    • Grid CA : sécurise le trafic StorageGRID interne.

    • Client : sécurise les connexions entre les clients externes et la base de données StorageGRID Prometheus.

    • Points de terminaison de l'équilibreur de charge : sécurise les connexions entre les clients S3 et l'équilibreur de charge StorageGRID .

    • * Locataires * : sécurise les connexions aux serveurs de fédération d'identité ou des points de terminaison de service de la plateforme aux ressources de stockage S3.

    • Autre : Sécurise les connexions StorageGRID nécessitant des certificats spécifiques.

      Chaque onglet est décrit ci-dessous avec des liens vers des détails de certificat supplémentaires.

    Mondial

    Les certificats globaux sécurisent l'accès à StorageGRID à partir des navigateurs Web et des clients API S3 externes. Deux certificats globaux sont initialement générés par l’autorité de certification StorageGRID lors de l’installation. La meilleure pratique pour un environnement de production consiste à utiliser des certificats personnalisés signés par une autorité de certification externe.

    • Certificat d'interface de gestion: Sécurise les connexions du navigateur Web client aux interfaces de gestion StorageGRID .

    • Certificat API S3:Sécurise les connexions API client aux nœuds de stockage, aux nœuds d'administration et aux nœuds de passerelle, que les applications client S3 utilisent pour télécharger et charger des données d'objet.

    Les informations sur les certificats globaux installés incluent :

    • Nom : Nom du certificat avec lien pour gérer le certificat.

    • Description

    • Type : Personnalisé ou par défaut. + Vous devez toujours utiliser un certificat personnalisé pour améliorer la sécurité du réseau.

    • Date d'expiration : Si vous utilisez le certificat par défaut, aucune date d'expiration n'est affichée.

    Tu peux:

    Grille CA

    LeCertificat Grid CA , généré par l'autorité de certification StorageGRID lors de l'installation de StorageGRID , sécurise tout le trafic interne de StorageGRID .

    Les informations du certificat incluent la date d’expiration du certificat et le contenu du certificat.

    Tu peux"copier ou télécharger le certificat Grid CA" , mais tu ne peux pas le changer.

    Client

    Certificats clients, généré par une autorité de certification externe, sécurise les connexions entre les outils de surveillance externes et la base de données StorageGRID Prometheus.

    La table des certificats comporte une ligne pour chaque certificat client configuré et indique si le certificat peut être utilisé pour l'accès à la base de données Prometheus, ainsi que la date d'expiration du certificat.

    Tu peux:

    Points de terminaison de l'équilibreur de charge

    Certificats de point de terminaison d'équilibrage de chargesécurisez les connexions entre les clients S3 et le service StorageGRID Load Balancer sur les nœuds de passerelle et les nœuds d'administration.

    La table des points de terminaison de l'équilibreur de charge comporte une ligne pour chaque point de terminaison de l'équilibreur de charge configuré et indique si le certificat API S3 global ou un certificat de point de terminaison de l'équilibreur de charge personnalisé est utilisé pour le point de terminaison. La date d'expiration de chaque certificat est également affichée.

    Remarque Les modifications apportées à un certificat de point de terminaison peuvent prendre jusqu'à 15 minutes pour être appliquées à tous les nœuds.

    Tu peux:

    Autre

    StorageGRID utilise d’autres certificats de sécurité à des fins spécifiques. Ces certificats sont répertoriés par leur nom fonctionnel. D’autres certificats de sécurité incluent :

    Les informations indiquent le type de certificat utilisé par une fonction ainsi que les dates d'expiration de ses certificats serveur et client, le cas échéant. La sélection d’un nom de fonction ouvre un onglet de navigateur dans lequel vous pouvez afficher et modifier les détails du certificat.

    Remarque Vous ne pouvez afficher et accéder aux informations des autres certificats que si vous disposez des droits d'accès."autorisation appropriée" .

    Tu peux:

Détails du certificat de sécurité

Chaque type de certificat de sécurité est décrit ci-dessous, avec des liens vers les instructions de mise en œuvre.

Certificat d'interface de gestion

Type de certificat Description Emplacement de navigation Détails

Serveur

Authentifie la connexion entre les navigateurs Web clients et l'interface de gestion StorageGRID , permettant aux utilisateurs d'accéder à Grid Manager et Tenant Manager sans avertissements de sécurité.

Ce certificat authentifie également les connexions à l'API Grid Management et à l'API Tenant Management.

Vous pouvez utiliser le certificat par défaut créé lors de l'installation ou télécharger un certificat personnalisé.

CONFIGURATION > Sécurité > Certificats, sélectionnez l'onglet Global, puis sélectionnez Certificat d'interface de gestion

Certificat API S3

Type de certificat Description Emplacement de navigation Détails

Serveur

Authentifie les connexions client S3 sécurisées à un nœud de stockage et aux points de terminaison de l'équilibreur de charge (facultatif).

CONFIGURATION > Sécurité > Certificats, sélectionnez l'onglet Global, puis sélectionnez Certificat API S3

Certificat Grid CA

Certificat client administrateur

Type de certificat Description Emplacement de navigation Détails

Client

Installé sur chaque client, permettant à StorageGRID d'authentifier l'accès client externe.

  • Permet aux clients externes autorisés d'accéder à la base de données StorageGRID Prometheus.

  • Permet une surveillance sécurisée de StorageGRID à l'aide d'outils externes.

CONFIGURATION > Sécurité > Certificats puis sélectionnez l'onglet Client

Certificat de point de terminaison de l'équilibreur de charge

Type de certificat Description Emplacement de navigation Détails

Serveur

Authentifie la connexion entre les clients S3 et le service d'équilibrage de charge StorageGRID sur les nœuds de passerelle et les nœuds d'administration. Vous pouvez télécharger ou générer un certificat d’équilibreur de charge lorsque vous configurez un point de terminaison d’équilibreur de charge. Les applications clientes utilisent le certificat d’équilibrage de charge lors de la connexion à StorageGRID pour enregistrer et récupérer les données d’objet.

Vous pouvez également utiliser une version personnalisée du globalCertificat API S3 certificat pour authentifier les connexions au service Load Balancer. Si le certificat global est utilisé pour authentifier les connexions de l'équilibreur de charge, vous n'avez pas besoin de télécharger ou de générer un certificat distinct pour chaque point de terminaison de l'équilibreur de charge.

Remarque : le certificat utilisé pour l’authentification de l’équilibreur de charge est le certificat le plus utilisé pendant le fonctionnement normal de StorageGRID .

CONFIGURATION > Réseau > Points de terminaison de l'équilibreur de charge

Certificat de point de terminaison du pool de stockage cloud

Type de certificat Description Emplacement de navigation Détails

Serveur

Authentifie la connexion d’un pool de stockage cloud StorageGRID vers un emplacement de stockage externe, tel que S3 Glacier ou le stockage Microsoft Azure Blob. Un certificat différent est requis pour chaque type de fournisseur de cloud.

ILM > Pools de stockage

Certificat de notification d'alerte par courrier électronique

Type de certificat Description Emplacement de navigation Détails

Serveur et client

Authentifie la connexion entre un serveur de messagerie SMTP et StorageGRID utilisé pour les notifications d'alerte.

  • Si les communications avec le serveur SMTP nécessitent Transport Layer Security (TLS), vous devez spécifier le certificat d'autorité de certification du serveur de messagerie.

  • Spécifiez un certificat client uniquement si le serveur de messagerie SMTP requiert des certificats clients pour l'authentification.

ALERTES > Configuration de la messagerie électronique

Certificat de serveur syslog externe

Type de certificat Description Emplacement de navigation Détails

Serveur

Authentifie la connexion TLS ou RELP/TLS entre un serveur syslog externe qui enregistre les événements dans StorageGRID.

Remarque : un certificat de serveur Syslog externe n'est pas requis pour les connexions TCP, RELP/TCP et UDP à un serveur Syslog externe.

CONFIGURATION > Surveillance > Serveur d'audit et syslog

Certificat de connexion à la fédération de réseau

Type de certificat Description Emplacement de navigation Détails

Serveur et client

Authentifiez et cryptez les informations envoyées entre le système StorageGRID actuel et une autre grille dans une connexion de fédération de grille.

CONFIGURATION > Système > Fédération de grille

Certificat de fédération d'identité

Type de certificat Description Emplacement de navigation Détails

Serveur

Authentifie la connexion entre StorageGRID et un fournisseur d'identité externe, tel qu'Active Directory, OpenLDAP ou Oracle Directory Server. Utilisé pour la fédération d'identité, qui permet aux groupes d'administrateurs et aux utilisateurs d'être gérés par un système externe.

CONFIGURATION > Contrôle d'accès > Fédération d'identité

Certificat du serveur de gestion de clés (KMS)

Type de certificat Description Emplacement de navigation Détails

Serveur et client

Authentifie la connexion entre StorageGRID et un serveur de gestion de clés externe (KMS), qui fournit des clés de chiffrement aux nœuds de l'appliance StorageGRID .

CONFIGURATION > Sécurité > Serveur de gestion des clés

Certificat de point de terminaison des services de plateforme

Type de certificat Description Emplacement de navigation Détails

Serveur

Authentifie la connexion du service de plateforme StorageGRID à une ressource de stockage S3.

Gestionnaire de locataires > STOCKAGE (S3) > Points de terminaison des services de plateforme

Certificat d'authentification unique (SSO)

Type de certificat Description Emplacement de navigation Détails

Serveur

Authentifie la connexion entre les services de fédération d'identité, tels que les services de fédération Active Directory (AD FS) et StorageGRID qui sont utilisés pour les demandes d'authentification unique (SSO).

CONFIGURATION > Contrôle d'accès > Authentification unique

Exemples de certificats

Exemple 1 : service d'équilibrage de charge

Dans cet exemple, StorageGRID agit comme serveur.

  1. Vous configurez un point de terminaison d'équilibrage de charge et téléchargez ou générez un certificat de serveur dans StorageGRID.

  2. Vous configurez une connexion client S3 au point de terminaison de l’équilibreur de charge et téléchargez le même certificat sur le client.

  3. Lorsque le client souhaite enregistrer ou récupérer des données, il se connecte au point de terminaison de l'équilibreur de charge à l'aide de HTTPS.

  4. StorageGRID répond avec le certificat du serveur, qui contient une clé publique, et avec une signature basée sur la clé privée.

  5. Le client vérifie ce certificat en comparant la signature du serveur à la signature sur sa copie du certificat. Si les signatures correspondent, le client démarre une session en utilisant la même clé publique.

  6. Le client envoie des données d’objet à StorageGRID.

Exemple 2 : Serveur de gestion de clés externe (KMS)

Dans cet exemple, StorageGRID agit en tant que client.

  1. À l'aide d'un logiciel de gestion de clés externe, vous configurez StorageGRID en tant que client KMS et obtenez un certificat de serveur signé par une autorité de certification, un certificat client public et la clé privée du certificat client.

  2. À l’aide du gestionnaire de grille, vous configurez un serveur KMS et téléchargez les certificats du serveur et du client ainsi que la clé privée du client.

  3. Lorsqu'un nœud StorageGRID a besoin d'une clé de chiffrement, il envoie une demande au serveur KMS qui inclut les données du certificat et une signature basée sur la clé privée.

  4. Le serveur KMS valide la signature du certificat et décide qu'il peut faire confiance à StorageGRID.

  5. Le serveur KMS répond en utilisant la connexion validée.