Si vous utilisez HTTPS, vous devez disposer d'un certificat SSL (Secure Sockets Layer). Le protocole SSL identifie les clients et les noeuds finaux et les valide comme étant approuvés. SSL assure également le cryptage du trafic. Le certificat SSL doit être approuvé par les clients. Pour ce faire, le certificat SSL peut provenir d'une autorité de certification (CA) de confiance mondiale, telle que DigiCert, d'une autorité de certification privée exécutée dans votre infrastructure ou d'un certificat auto-signé généré par l'hôte.

L'utilisation d'un certificat d'autorité de certification approuvée à l'échelle mondiale est la méthode recommandée, car aucune action supplémentaire côté client n'est requise. Le certificat est chargé dans l'équilibreur de charge ou StorageGRID, et les clients font confiance et se connectent au terminal.

L'utilisation d'une autorité de certification privée nécessite l'ajout de la racine et de tous les certificats subordonnés au client. Le processus d'approbation d'un certificat d'autorité de certification privée peut varier en fonction du système d'exploitation et des applications du client. Par exemple, dans ONTAP for FabricPool, vous devez télécharger individuellement chaque certificat de la chaîne (certificat racine, certificat subordonné, certificat de point final) sur le cluster ONTAP.

L'utilisation d'un certificat auto-signé exige que le client ait confiance dans le certificat fourni sans aucune autorité de certification pour vérifier l'authenticité. Certaines applications peuvent ne pas accepter de certificats auto-signés et ne pas pouvoir ignorer la vérification.

Le placement du certificat SSL dans le chemin StorageGRID de l'équilibreur de charge du client dépend de l'emplacement où vous avez besoin de la terminaison SSL. Vous pouvez configurer un équilibreur de charge comme point d'extrémité pour le client, puis le chiffrer à nouveau ou le chiffrer à chaud avec un nouveau certificat SSL pour l'équilibreur de charge vers la connexion StorageGRID. Ou vous pouvez passer par le trafic et laisser StorageGRID être le point de terminaison SSL. Si l'équilibreur de charge est le noeud final de terminaison SSL, le certificat est installé sur l'équilibreur de charge et contient le nom du sujet pour le nom DNS/l'URL et tout autre nom URL/DNS pour lequel un client est configuré pour se connecter à la cible StorageGRID via l'équilibreur de charge, y compris les noms de caractères génériques. Si l'équilibreur de charge est configuré pour l'intercommunication, le certificat SSL doit être installé dans StorageGRID. Encore une fois, le certificat doit contenir le nom de l'objet du nom DNS/URL, ainsi que tous les autres noms URL/DNS pour lesquels un client est configuré pour se connecter à la cible StorageGRID via l'équilibreur de charge, y compris les noms de caractères génériques. Il n'est pas nécessaire d'inclure les noms de nœud de stockage individuel sur le certificat, mais uniquement les URL de point final.