日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

セキュリティ証明書について

寄稿者

セキュリティ証明書は、 StorageGRID コンポーネント間、および StorageGRID コンポーネントと外部システム間のセキュアで信頼された接続の確立に使用される小さいデータファイルです。

StorageGRID では、 2 種類のセキュリティ証明書が使用されます。

  • * HTTPS 接続を使用する場合は、サーバー証明書 * が必要です。サーバ証明書は、クライアントとサーバ間のセキュアな接続を確立し、クライアントに対するサーバの ID を認証し、データのセキュアな通信パスを提供するために使用されます。サーバとクライアントには、それぞれ証明書のコピーがあります。

  • * クライアント証明書 * は、クライアントまたはユーザー ID をサーバーに対して認証し、パスワードだけではなく、より安全な認証を提供します。クライアント証明書はデータを暗号化しません。

クライアントが HTTPS を使用してサーバに接続すると、サーバはサーバ証明書を返します。このサーバ証明書には公開鍵が含まれています。クライアントは、サーバの署名と証明書のコピーの署名を比較して、この証明書を検証します。署名が一致した場合、クライアントは同じ公開鍵を使用してサーバとのセッションを開始します。

StorageGRID は、一部の接続(ロードバランサエンドポイントなど)のサーバとして、または他の接続( CloudMirror レプリケーションサービスなど)のクライアントとして機能します。

  • デフォルトの Grid CA 証明書 *

StorageGRID には、システムのインストール時に内部のグリッド CA 証明書を生成する認証局( CA )が組み込まれています。デフォルトでは、グリッド CA 証明書を使用して内部 StorageGRID トラフィックが保護されます。外部の認証局( CA )は、組織の情報セキュリティポリシーに完全に準拠した問題 カスタム証明書を作成できます。グリッド CA 証明書は非本番環境で使用できますが、本番環境では外部の認証局が署名したカスタム証明書を使用することを推奨します。証明書なしのセキュアでない接続もサポートされますが、推奨されません。

  • カスタム CA 証明書では内部証明書は削除されませんが、カスタム証明書にはサーバ接続の検証用の証明書を指定する必要があります。

  • カスタム証明書はすべてがを満たしている必要があります システムの保護設定のガイドライン サーバ証明書の場合。

  • StorageGRID では、 CA からの証明書を 1 つのファイル( CA 証明書バンドル)にバンドルすることがサポートされています。

注記 StorageGRID には、すべてのグリッドで同じオペレーティングシステムの CA 証明書も含まれています。本番環境では、オペレーティングシステムの CA 証明書の代わりに、外部の認証局によって署名されたカスタム証明書を指定してください。

サーバ証明書とクライアント証明書のタイプのバリエーションは、いくつかの方法で実装されます。システムを設定する前に、特定の StorageGRID 構成に必要なすべての証明書を準備しておく必要があります。

アクセスセキュリティ証明書

すべての StorageGRID 証明書に関する情報に一元的にアクセスでき、各証明書の設定ワークフローへのリンクも含まれます。

  1. Grid Manager で、 * configuraton * > * Security * > * Certificates * を選択します。

    証明書ページ
  2. [ 証明書 ] ページのタブを選択して、各証明書カテゴリの情報を表示し、証明書設定にアクセスします。タブにアクセスできるのは、適切な権限がある場合のみです。

    • * グローバル * : Web ブラウザおよび外部 API クライアントからの StorageGRID アクセスを保護します。

    • * Grid CA * :内部 StorageGRID トラフィックを保護します。

    • * クライアント * :外部クライアントと StorageGRID Prometheus データベースの間の接続を保護します。

    • * ロードバランサエンドポイント * : S3 および Swift クライアントと StorageGRID ロードバランサ間の接続を保護します。

    • * テナント * :アイデンティティフェデレーションサーバーまたはプラットフォームサービスエンドポイントから S3 ストレージリソースへの接続を保護します。

    • * その他 * :特定の証明書を必要とする StorageGRID 接続を保護します。

    各タブについては、証明書の詳細へのリンクを次に示します。

グローバル

グローバル証明書は、 Web ブラウザおよび外部の S3 および Swift API クライアントからの StorageGRID アクセスを保護します。2 つのグローバル証明書は、最初にインストール時に StorageGRID 認証局によって生成されます。本番環境では、外部の認証局によって署名されたカスタム証明書を使用することを推奨します。

  • [Management interface certificate]: クライアントの Web ブラウザ接続を StorageGRID 管理インターフェイスに保護します。

  • [S3 and Swift API certificate]:ストレージノード、管理ノード、およびゲートウェイノードへのクライアント API 接続を保護します。これらのノードは、 S3 および Swift クライアントアプリケーションがオブジェクトデータをアップロードおよびダウンロードするために使用します。

インストールされるグローバル証明書には次の情報が含まれます。

  • * 名前 * :証明書の管理リンクを持つ証明書の名前。

  • * 概要 *

  • * タイプ * :カスタムまたはデフォルト。+ グリッドセキュリティを向上させるために、常にカスタム証明書を使用する必要があります。

  • * 失効日 * :デフォルトの証明書を使用している場合、有効期限は表示されません。

可能です

Grid CA

Grid CA 証明書は、 StorageGRID のインストール時に StorageGRID 認証局によって生成され、すべての内部 StorageGRID トラフィックを保護します。

証明書情報には、証明書の有効期限とその内容が含まれます。

可能です Grid CA 証明書をコピーまたはダウンロードしますただし、変更することはできません。

クライアント

クライアント証明書は外部の認証局によって生成され、外部の監視ツールと StorageGRID の Prometheus データベースとの間の接続を保護します。

証明書テーブルには、設定されている各クライアント証明書の行があり、証明書の有効期限とともに Prometheus データベースへのアクセスに証明書を使用できるかどうかが示されます。

可能です

ロードバランサエンドポイント

ロードバランサエンドポイントの証明書をアップロードまたは生成して、ゲートウェイノードと管理ノード上の S3 / Swift クライアントと StorageGRID ロードバランササービスの間の接続を保護します。

ロードバランサエンドポイントテーブルには、設定されている各ロードバランサエンドポイント用の行があり、グローバルな S3 および Swift API 証明書とカスタムのロードバランサエンドポイント証明書のどちらがエンドポイントに使用されているかを示しています。各証明書の有効期限も表示されます。

注記 エンドポイント証明書の変更がすべてのノードに適用されるまでに最大 15 分かかることがあります。

可能です

テナント
その他

StorageGRID では、特定の目的に他のセキュリティ証明書を使用します。これらの証明書は、機能名で一覧表示されます。その他のセキュリティ証明書には、次のもの

情報は、関数が使用する証明書の種類と、そのサーバーおよびクライアント証明書の有効期限を示します。関数名を選択するとブラウザタブが開き、証明書の詳細を表示および編集できます。

注記 他の証明書の情報を表示およびアクセスできるのは、適切な権限がある場合のみです。

可能です

セキュリティ証明書の詳細

セキュリティ証明書の種類ごとに、実装手順が記載された記事へのリンクを以下に示します。

管理インターフェイスの証明書

証明書のタイプ 説明 ナビゲーションの場所 詳細

サーバ

クライアントの Web ブラウザと StorageGRID 管理インターフェイスの間の接続を認証することで、ユーザがセキュリティの警告なしで Grid Manager とテナントマネージャにアクセスできるようにします。

この証明書は、 Grid 管理 API 接続とテナント管理 API 接続も認証します。

インストール時に作成されるデフォルトの証明書を使用することも、カスタム証明書をアップロードすることもできます。

  • 設定 * > * セキュリティ * > * 証明書 * 、 * グローバル * タブを選択し、 * 管理インターフェイス証明書 * を選択します

S3 および Swift API 証明書

証明書のタイプ 説明 ナビゲーションの場所 詳細

サーバ

ストレージノードへのセキュアな S3 または Swift クライアント接続、ゲートウェイノード上の廃止された Connection Load Balancer ( CLB )サービス、およびロードバランサエンドポイント(オプション)への接続を認証します。

  • configuration * > * Security * > * Certificates * を選択し、 * Global * タブを選択して、 * S3 および Swift API certificate * を選択します

Grid CA 証明書

を参照してください デフォルトの Grid CA 証明書概要

管理者クライアント証明書

証明書のタイプ 説明 ナビゲーションの場所 詳細

クライアント

StorageGRID が外部クライアントアクセスを認証できるように、各クライアントにインストールします。

  • 許可された外部クライアントから StorageGRID Prometheus データベースにアクセスできるようにします。

  • 外部ツールを使用して StorageGRID をセキュアに監視できます。

  • 設定 * > * セキュリティ * > * 証明書 * を選択し、 * クライアント * タブを選択します

ロードバランサエンドポイントの証明書

証明書のタイプ 説明 ナビゲーションの場所 詳細

サーバ

S3 または Swift クライアントと、ゲートウェイノードおよび管理ノード上の StorageGRID ロードバランササービス間の接続を認証します。ロードバランサエンドポイントの設定時にロードまたは生成できます。クライアントアプリケーションでは、 StorageGRID に接続する際にロードバランサ証明書を使用してオブジェクトデータを保存および読み出します。

グローバルのカスタムバージョンを使用することもできます [S3 and Swift API certificate] ロードバランササービスへの接続を認証する証明書。ロードバランサ接続の認証にグローバル証明書を使用する場合は、ロードバランサエンドポイントごとに個別の証明書をアップロードまたは生成する必要はありません。

  • 注: * ロードバランサ認証に使用される証明書は、通常の StorageGRID 処理で最もよく使用される証明書です。

  • 設定 * > * ネットワーク * > * ロードバランサエンドポイント *

アイデンティティフェデレーション証明書

証明書のタイプ 説明 ナビゲーションの場所 詳細

サーバ

Active Directory 、 OpenLDAP 、 Oracle Directory Server などの外部のアイデンティティプロバイダと StorageGRID の間の接続を認証します。アイデンティティフェデレーションに使用します。管理者グループとユーザを外部システムで管理できます。

  • 設定 * > * アクセス制御 * > * アイデンティティフェデレーション *

プラットフォームサービスのエンドポイント証明書

証明書のタイプ 説明 ナビゲーションの場所 詳細

サーバ

StorageGRID プラットフォームサービスから S3 ストレージリソースへの接続を認証します。

  • Tenant Manager * > * storage ( S3 ) * > * Platform services endpoints *

クラウドストレージプールのエンドポイントの証明書

証明書のタイプ 説明 ナビゲーションの場所 詳細

サーバ

StorageGRID クラウドストレージプールから S3 Glacier や Microsoft Azure BLOB ストレージなどの外部ストレージへの接続を認証します。クラウドプロバイダのタイプごとに別の証明書が必要です。

  • ilm * > * ストレージ・プール *

キー管理サーバ( KMS )の証明書

証明書のタイプ 説明 ナビゲーションの場所 詳細

サーバとクライアント

StorageGRID と外部キー管理サーバ( KMS )の間の接続を認証します。この接続により、 StorageGRID アプライアンスノードに暗号化キーが提供されます。

  • 設定 * > * セキュリティ * > * キー管理サーバ *

シングルサインオン( SSO )証明書

証明書のタイプ 説明 ナビゲーションの場所 詳細

サーバ

Active Directory フェデレーションサービス( AD FS )やシングルサインオン( SSO )要求に使用される StorageGRID などのアイデンティティフェデレーションサービスとの間の接続を認証します。

  • 設定 * > * アクセス制御 * > * シングルサインオン *

E メールアラート通知の証明書

証明書のタイプ 説明 ナビゲーションの場所 詳細

サーバとクライアント

アラート通知に使用される SMTP E メールサーバと StorageGRID 間の接続を認証します。

  • SMTP サーバとの通信に Transport Layer Security ( TLS )が必要な場合は、 E メールサーバの CA 証明書を指定する必要があります。

  • SMTP E メールサーバで認証用のクライアント証明書が必要な場合にのみ、クライアント証明書を指定してください。

  • アラート > 電子メールセットアップ *

外部 syslog サーバの証明書

証明書のタイプ 説明 ナビゲーションの場所 詳細

サーバ

StorageGRID にイベントを記録する外部 syslog サーバ間で、 TLS 接続または RELP/TLS 接続を認証します。

  • 注:外部 syslog サーバへの TCP 、 RELP/TCP 、および UDP 接続には、外部 syslog サーバ証明書は必要ありません。

  • 設定 * > * モニタリング * > * 監査および syslog サーバ * を選択し、 * 外部 syslog サーバの設定 * を選択します

証明書の例

例 1 :ロードバランササービス

この例では、 StorageGRID がサーバとして機能します。

  1. ロードバランサエンドポイントを設定し、 StorageGRID でサーバ証明書をアップロードまたは生成します。

  2. S3 または Swift クライアント接続をロードバランサエンドポイントに設定し、同じ証明書をクライアントにアップロードします。

  3. クライアントは、データを保存または取得する際に HTTPS を使用してロードバランサエンドポイントに接続します。

  4. StorageGRID は、公開鍵を含むサーバ証明書と、秘密鍵に基づく署名を返します。

  5. クライアントは、サーバの署名と証明書のコピーの署名を比較して、この証明書を検証します。署名が一致した場合、クライアントは同じ公開鍵を使用してセッションを開始します。

  6. クライアントがオブジェクトデータを StorageGRID に送信

例 2 :外部キー管理サーバ( KMS )

この例では、 StorageGRID がクライアントとして機能します。

  1. 外部キー管理サーバソフトウェアを使用する場合は、 StorageGRID を KMS クライアントとして設定し、 CA 署名済みサーバ証明書、パブリッククライアント証明書、およびクライアント証明書の秘密鍵を取得します。

  2. Grid Manager を使用して KMS サーバを設定し、サーバ証明書とクライアント証明書およびクライアント秘密鍵をアップロードします。

  3. StorageGRID ノードで暗号化キーが必要な場合、証明書からのデータと秘密鍵に基づく署名を含む KMS サーバに要求が送信されます。

  4. KMS サーバは証明書の署名を検証し、 StorageGRID を信頼できることを決定します。

  5. KMS サーバは、検証済みの接続を使用して応答します。