はじめに
StorageGRID セキュリティ証明書を使用する
変更を提案
-
このドキュメント ページのPDF
-
ソフトウェアをインストールしてアップグレードする
-
構成と管理
-
PDF版ドキュメントのセット
Creating your file...
セキュリティ証明書は、 StorageGRID コンポーネント間、および StorageGRID コンポーネントと外部システム間のセキュアで信頼された接続の確立に使用される小さいデータファイルです。
StorageGRID では、 2 種類のセキュリティ証明書が使用されます。
-
* HTTPS 接続を使用する場合は、サーバー証明書 * が必要です。サーバ証明書は、クライアントとサーバ間のセキュアな接続を確立し、クライアントに対するサーバの ID を認証し、データのセキュアな通信パスを提供するために使用されます。サーバとクライアントには、それぞれ証明書のコピーがあります。
-
* クライアント証明書 * は、クライアントまたはユーザー ID をサーバーに対して認証し、パスワードだけではなく、より安全な認証を提供します。クライアント証明書はデータを暗号化しません。
クライアントが HTTPS を使用してサーバに接続すると、サーバはサーバ証明書を返します。このサーバ証明書には公開鍵が含まれています。クライアントは、サーバの署名と証明書のコピーの署名を比較して、この証明書を検証します。署名が一致した場合、クライアントは同じ公開鍵を使用してサーバとのセッションを開始します。
StorageGRID は、一部の接続(ロードバランサエンドポイントなど)のサーバとして、または他の接続( CloudMirror レプリケーションサービスなど)のクライアントとして機能します。
外部の認証局( CA )は、組織の情報セキュリティポリシーに完全に準拠した問題 カスタム証明書を作成できます。StorageGRID には、システムのインストール時に内部CA証明書を生成するCAも組み込まれています。デフォルトでは、これらの内部CA証明書を使用して、内部StorageGRID トラフィックが保護されます。非本番環境では内部CA証明書を使用できますが、本番環境では外部の認証局が署名したカスタム証明書を使用することを推奨します。証明書なしのセキュアでない接続もサポートされますが、推奨されません。
-
カスタム CA 証明書では内部証明書は削除されませんが、カスタム証明書にはサーバ接続の検証用の証明書を指定する必要があります。
-
すべてのカスタム証明書が、サーバ証明書のシステム強化ガイドラインを満たしている必要があります。
-
StorageGRID では、 CA からの証明書を 1 つのファイル( CA 証明書バンドル)にバンドルすることがサポートされています。
|
StorageGRID には、すべてのグリッドで同じオペレーティングシステムの CA 証明書も含まれています。本番環境では、オペレーティングシステムの CA 証明書の代わりに、外部の認証局によって署名されたカスタム証明書を指定してください。 |
サーバ証明書とクライアント証明書のタイプのバリエーションは、いくつかの方法で実装されます。システムを設定する前に、特定の StorageGRID 構成に必要なすべての証明書を準備しておく必要があります。
| 証明書 | 証明書のタイプ | 説明 | ナビゲーションの場所 | 詳細 |
|---|---|---|---|---|
管理者クライアント証明書 |
クライアント |
StorageGRID が外部クライアントアクセスを認証できるように、各クライアントにインストールします。
|
設定>*アクセス制御*>*クライアント証明書* |
|
アイデンティティフェデレーション証明書 |
サーバ |
StorageGRID と外部のActive Directory、OpenLDAP、またはOracle Directory Server間の接続が認証されます。アイデンティティフェデレーションに使用され、管理者グループとユーザを外部システムで管理できます。 |
設定>*アクセス制御*>*アイデンティティフェデレーション* |
|
シングルサインオン( SSO )証明書 |
サーバ |
シングルサインオン(SSO)要求に使用されるActive Directoryフェデレーションサービス(AD FS)とStorageGRID 間の接続を認証します。 |
環境設定>*アクセスコントロール*>*シングルサインオン* |
|
キー管理サーバ( KMS )の証明書 |
サーバとクライアント |
StorageGRID と外部キー管理サーバ( KMS )の間の接続を認証します。この接続により、 StorageGRID アプライアンスノードに暗号化キーが提供されます。 |
構成>*システム設定*>*キー管理サーバ* |
|
E メールアラート通知の証明書 |
サーバとクライアント |
アラート通知に使用される SMTP E メールサーバと StorageGRID 間の接続を認証します。
|
アラート>*電子メールの設定* |
|
ロードバランサエンドポイントの証明書 |
サーバ |
S3またはSwiftクライアントとゲートウェイノードまたは管理ノード上のStorageGRID ロードバランササービスの間の接続を認証します。ロードバランサエンドポイントを設定する際に、ロードバランサ証明書をアップロードまたは生成します。クライアントアプリケーションは、StorageGRID に接続してオブジェクトデータを保存および読み出す際にロードバランサ証明書を使用します。 *注:*ロードバランサ証明書は、通常のStorageGRID 処理で最も使用される証明書です。 |
設定>*ネットワーク設定*>*ロードバランサエンドポイント* |
|
管理インターフェイスのサーバ証明書 |
サーバ |
クライアントの Web ブラウザと StorageGRID 管理インターフェイスの間の接続を認証することで、ユーザがセキュリティの警告なしで Grid Manager とテナントマネージャにアクセスできるようにします。 この証明書は、 Grid 管理 API 接続とテナント管理 API 接続も認証します。 内部のCA証明書を使用するか、カスタム証明書をアップロードすることができます。 |
構成>*ネットワーク設定*>*サーバー証明書* |
|
クラウドストレージプールのエンドポイントの証明書 |
サーバ |
StorageGRID クラウドストレージプールから外部ストレージ(S3 GlacierやMicrosoft Azure BLOBストレージなど)への接続を認証します。クラウドプロバイダのタイプごとに別の証明書が必要です。 |
|
|
プラットフォームサービスのエンドポイント証明書 |
サーバ |
StorageGRID プラットフォームサービスから S3 ストレージリソースへの接続を認証します。 |
|
|
Object Storage API Service Endpoint Server証明書 |
サーバ |
ストレージノード上のLocal Distribution Router(LDR)サービスまたはゲートウェイノード上の廃止されたConnection Load Balancer(CLB)サービスへのセキュアなS3またはSwiftクライアント接続を認証します。 |
設定>*ネットワーク設定*>*ロードバランサエンドポイント* |
例 1 :ロードバランササービス
この例では、 StorageGRID がサーバとして機能します。
-
ロードバランサエンドポイントを設定し、 StorageGRID でサーバ証明書をアップロードまたは生成します。
-
S3 または Swift クライアント接続をロードバランサエンドポイントに設定し、同じ証明書をクライアントにアップロードします。
-
クライアントは、データを保存または取得する際に HTTPS を使用してロードバランサエンドポイントに接続します。
-
StorageGRID は、公開鍵を含むサーバ証明書と、秘密鍵に基づく署名を返します。
-
クライアントは、サーバの署名と証明書のコピーの署名を比較して、この証明書を検証します。署名が一致した場合、クライアントは同じ公開鍵を使用してセッションを開始します。
-
クライアントがオブジェクトデータを StorageGRID に送信
例 2 :外部キー管理サーバ( KMS )
この例では、 StorageGRID がクライアントとして機能します。
-
外部キー管理サーバソフトウェアを使用する場合は、 StorageGRID を KMS クライアントとして設定し、 CA 署名済みサーバ証明書、パブリッククライアント証明書、およびクライアント証明書の秘密鍵を取得します。
-
Grid Manager を使用して KMS サーバを設定し、サーバ証明書とクライアント証明書およびクライアント秘密鍵をアップロードします。
-
StorageGRID ノードで暗号化キーが必要な場合、証明書からのデータと秘密鍵に基づく署名を含む KMS サーバに要求が送信されます。
-
KMS サーバは証明書の署名を検証し、 StorageGRID を信頼できることを決定します。
-
KMS サーバは、検証済みの接続を使用して応答します。