서버 인증서에 대한 강화 지침
설치 중에 생성된 기본 인증서를 사용자 지정 인증서로 교체해야 합니다.
많은 조직에서 StorageGRID 웹 액세스를 위한 자체 서명된 디지털 인증서가 정보 보안 정책을 준수하지 않습니다. 프로덕션 시스템에서는 StorageGRID 인증에 사용할 CA 서명 디지털 인증서를 설치해야 합니다.
특히 다음과 같은 기본 인증서 대신 사용자 지정 서버 인증서를 사용해야 합니다.
-
* 관리 인터페이스 인증서 *: 그리드 관리자, 테넌트 관리자, 그리드 관리 API 및 테넌트 관리 API에 대한 액세스를 보호하는 데 사용됩니다.
-
* S3 및 Swift API 인증서 *: S3 및 Swift 클라이언트 애플리케이션이 오브젝트 데이터를 업로드 및 다운로드하는 데 사용하는 스토리지 노드 및 게이트웨이 노드에 대한 액세스를 보호하는 데 사용됩니다.
StorageGRID는 로드 밸런서 끝점에 사용되는 인증서를 별도로 관리합니다. 로드 밸런서 인증서를 구성하려면 StorageGRID 관리 지침 에서 로드 밸런서 엔드포인트를 구성하는 단계를 참조하십시오. |
사용자 지정 서버 인증서를 사용하는 경우 다음 지침을 따르십시오.
-
인증서에는 StorageGRID의 DNS 항목과 일치하는 "subjectAltName"이(가) 있어야 합니다. 자세한 내용은 의 4.2.1.6 "대체 이름" 단원을 참조하십시오 "RFC 5280: PKIX 인증서 및 CRL 프로필".
-
가능한 경우 와일드카드 인증서를 사용하지 마십시오. 이 지침의 예외는 S3 가상 호스팅 스타일 엔드포인트에 대한 인증서이며, 버킷 이름을 미리 모르는 경우 와일드카드를 사용해야 합니다.
-
인증서에 와일드카드를 사용해야 하는 경우 위험을 줄이기 위해 추가 단계를 수행해야 합니다. '* .s3.example.com ' 와 같은 와일드카드 패턴을 사용하고 다른 응용 프로그램에는 '3.example.com' 접미사를 사용하지 마십시오. 이 패턴은 경로 스타일 S3 액세스(예: ddc1-s1.s3.example.com/mybucket` )에서도 사용할 수 있습니다.
-
인증서 만료 시간을 짧게(예: 2개월) 설정하고 그리드 관리 API를 사용하여 인증서 회전을 자동화합니다. 이것은 와일드카드 인증서에 특히 중요합니다.
또한 클라이언트는 StorageGRID과 통신할 때 엄격한 호스트 이름 확인을 사용해야 합니다.