サーバ証明書のセキュリティ強化ガイドライン
インストール時に作成されたデフォルトの証明書を独自のカスタム証明書に置き換える必要があります。
多くの組織では、 StorageGRID Web アクセス用の自己署名デジタル証明書が、情報セキュリティポリシーに準拠していません。本番用システムでは、 StorageGRID の認証に使用する CA 署名デジタル証明書をインストールする必要があります。
具体的には、次のデフォルト証明書ではなくカスタムサーバ証明書を使用する必要があります。
-
* 管理インターフェイス証明書 * : Grid Manager 、 Tenant Manager 、 Grid 管理 API 、およびテナント管理 API へのアクセスを保護するために使用します。
-
* S3 および Swift API 証明書 * :ストレージノードおよびゲートウェイノードへのアクセスを保護するために使用します。これらのノードは、 S3 および Swift クライアントアプリケーションがオブジェクトデータのアップロードとダウンロードに使用します。
StorageGRID では、ロードバランサエンドポイントに使用する証明書は別に管理されます。ロードバランサ証明書を設定するには、 StorageGRID の管理手順でロードバランサエンドポイントの設定手順を参照してください。 |
カスタムサーバ証明書を使用する場合は、次のガイドラインに従ってください。
-
証明書には、 StorageGRID の DNS エントリと一致する「 subjectAltName 」が含まれている必要があります。詳細については、のセクション 4.2.1.6 「 Subject Alternative Name 」を参照してください "RFC 5280: PKIX 証明書と CRL プロファイル"。
-
可能であれば、ワイルドカード証明書は使用しないでください。このガイドラインの例外は、 S3 仮想ホスト形式のエンドポイントの証明書です。バケット名が事前に不明な場合は、ワイルドカードを使用する必要があります。
-
証明書にワイルドカードを使用する必要がある場合は、リスクを軽減するために追加の手順を実行する必要があります。「 * .s3.example.com 」などのワイルドカードパターンを使用し、その他のアプリケーションには「 s3.example.com 」サフィックスを使用しないでください。このパターンは、「 dc1-s1.s3.example.com/mybucket` 」などのパス形式の S3 アクセスでも機能します。
-
証明書の有効期限を短く( 2 カ月など)設定し、グリッド管理 API を使用して証明書のローテーションを自動化します。これは、ワイルドカード証明書で特に重要です。
また、クライアントは StorageGRID との通信に厳密なホスト名チェックを使用する必要があります。