管理インターフェイスのサーバ証明書：Grid Manager、テナントマネージャ、Grid管理API、テナント管理APIへのアクセスを保護するために使用されます。

* Object Storage API Service Endpoints Server Certificate *：ストレージノードおよびゲートウェイノードへのアクセスを保護するために使用します。これらのノードは、S3およびSwiftクライアントアプリケーションがオブジェクトデータをアップロードおよびダウンロードするために使用します。

証明書にはが必要です subjectAltName StorageGRID のDNSエントリと同じです。詳細については、のセクション 4.2.1.6 「 Subject Alternative Name 」を参照してください "RFC 5280: PKIX 証明書と CRL プロファイル"。

可能であれば、ワイルドカード証明書は使用しないでください。このガイドラインの例外は、 S3 仮想ホスト形式のエンドポイントの証明書です。バケット名が事前に不明な場合は、ワイルドカードを使用する必要があります。

証明書にワイルドカードを使用する必要がある場合は、リスクを軽減するために追加の手順を実行する必要があります。などのワイルドカードパターンを使用します *.s3.example.com`を使用せずに、を使用してください `s3.example.com その他のアプリケーションのサフィックス。このパターンは、などのパス形式のS3アクセスでも機能します dc1-s1.s3.example.com/mybucket。

証明書の有効期限を短く（ 2 カ月など）設定し、グリッド管理 API を使用して証明書のローテーションを自動化します。これは、ワイルドカード証明書で特に重要です。