Inizia subito
Linee guida per la protezione avanzata dei certificati server
Suggerisci modifiche
-
PDF del sito di questa documentazione
-
Installare e aggiornare il software
-
Installazione e manutenzione dell'hardware
-
Appliance di storage SG6000
-
Appliance di storage SG5700
-
Appliance di storage SG5600
-
-
Configurare e gestire
-
Amministrare StorageGRID
-
-
USA StorageGRID
-
Utilizzare un account tenant
-
-
Monitorare e risolvere i problemi
-
Monitorare un sistema StorageGRID
-
-
Mantenere
-
Mantenere il ripristino
-
Procedure di ripristino del nodo Grid
-
-
-
Raccolta di documenti PDF separati
Creating your file...
È necessario sostituire i certificati predefiniti creati durante l'installazione con certificati personalizzati.
Per molte organizzazioni, il certificato digitale autofirmato per l'accesso Web a StorageGRID non è conforme alle policy di sicurezza delle informazioni. Nei sistemi di produzione, è necessario installare un certificato digitale con firma CA da utilizzare per l'autenticazione di StorageGRID.
In particolare, è necessario utilizzare certificati server personalizzati anziché i seguenti certificati predefiniti:
-
Management Interface Server Certificate: Utilizzato per proteggere l'accesso a Grid Manager, Tenant Manager, Grid Management API e Tenant Management API.
-
Object Storage API Service Endpoints Server Certificate: Utilizzato per proteggere l'accesso ai nodi di storage e ai nodi gateway, utilizzati dalle applicazioni client S3 e Swift per caricare e scaricare i dati degli oggetti.
|
StorageGRID gestisce separatamente i certificati utilizzati per gli endpoint del bilanciamento del carico. Per configurare i certificati di bilanciamento del carico, vedere i passaggi per la configurazione degli endpoint di bilanciamento del carico nelle istruzioni per l'amministrazione di StorageGRID. |
Quando si utilizzano certificati server personalizzati, attenersi alle seguenti linee guida:
-
I certificati devono avere un
subjectAltNameChe corrisponde alle voci DNS per StorageGRID. Per ulteriori informazioni, vedere la sezione 4.2.1.6, “Subject alternative Name,” in "RFC 5280: Certificato PKIX e profilo CRL". -
Se possibile, evitare l'utilizzo di certificati con caratteri jolly. Un'eccezione a questa linea guida è il certificato per un endpoint di stile host virtuale S3, che richiede l'utilizzo di un carattere jolly se i nomi dei bucket non sono noti in anticipo.
-
Quando è necessario utilizzare i caratteri jolly nei certificati, è necessario adottare ulteriori misure per ridurre i rischi. Utilizzare un modello con caratteri jolly come
*.s3.example.com`e non utilizzare `s3.example.comsuffisso per altre applicazioni. Questo modello funziona anche con l'accesso S3 di tipo path, ad esempiodc1-s1.s3.example.com/mybucket. -
Impostare i tempi di scadenza del certificato su brevi (ad esempio, 2 mesi) e utilizzare l'API Grid Management per automatizzare la rotazione del certificato. Ciò è particolarmente importante per i certificati con caratteri jolly.
Inoltre, i client devono utilizzare un rigoroso controllo del nome host quando comunicano con StorageGRID.