HTTPS用のSSL証明書をStorageGRIDに実装する方法
StorageGRIDにSSL証明書を実装するための重要性と手順を理解します。
HTTPSを使用する場合は、Secure Sockets Layer(SSL)証明書が必要です。SSLプロトコルはクライアントとエンドポイントを識別し、信頼できるものとして検証します。SSLは、トラフィックの暗号化も提供します。SSL証明書はクライアントから信頼されている必要があります。これを実現するには、DigiCertなどのグローバルに信頼された認証局(CA)からのSSL証明書、インフラストラクチャで実行されているプライベートCA、またはホストによって生成された自己署名証明書を使用します。
クライアント側での追加のアクションが不要なため、グローバルに信頼されたCA証明書の使用が推奨されます。証明書がロードバランサまたはStorageGRIDにロードされ、クライアントはエンドポイントを信頼して接続します。
プライベートCAを使用するには、ルート証明書とすべての下位証明書をクライアントに追加する必要があります。プライベートCA証明書を信頼するプロセスは、クライアントのオペレーティングシステムとアプリケーションによって異なります。たとえば、ONTAP for FabricPoolでは、チェーン内の各証明書(ルート証明書、下位証明書、エンドポイント証明書)をONTAPクラスタに個別にアップロードする必要があります。
自己署名証明書を使用するには、クライアントがCAなしで提供された証明書を信頼して信頼性を検証する必要があります。一部のアプリケーションでは、自己署名証明書が受け入れられず、検証を無視できない場合があります。
クライアントロードバランサのStorageGRIDパスへのSSL証明書の配置は、SSLターミネーションが必要な場所によって異なります。ロードバランサをクライアントの終端エンドポイントとして設定し、ロードバランサからStorageGRIDへの接続用の新しいSSL証明書を使用して再暗号化またはホット暗号化することができます。または、トラフィックを通過させ、StorageGRIDをSSL終端エンドポイントにすることもできます。ロードバランサがSSLターミネーションエンドポイントの場合、証明書はロードバランサにインストールされ、DNS名/URLのサブジェクト名、およびロードバランサを介してStorageGRIDターゲットに接続するようにクライアントが設定されている代替URL/DNS名が含まれています。 ワイルドカード名を含む。ロードバランサがパススルー用に設定されている場合は、StorageGRIDにSSL証明書をインストールする必要があります。証明書には、DNS名/URLのサブジェクト名と、ロードバランサを介してStorageGRIDターゲットに接続するようにクライアントが設定されている代替URL/DNS名(ワイルドカード名を含む)が含まれている必要があります。個 々 のストレージノード名を証明書に含める必要はなく、エンドポイントのURLのみを含める必要があります。