보안 인증서 관리
변경 제안
PDF
보안 인증서는 StorageGRID 구성 요소 간, 그리고 StorageGRID 구성 요소와 외부 시스템 간에 안전하고 신뢰할 수 있는 연결을 만드는 데 사용되는 작은 데이터 파일입니다.
StorageGRID 두 가지 유형의 보안 인증서를 사용합니다.
-
HTTPS 연결을 사용하는 경우 *서버 인증서*가 필요합니다. 서버 인증서는 클라이언트와 서버 간의 보안 연결을 설정하고, 클라이언트에게 서버의 신원을 인증하고, 데이터에 대한 보안 통신 경로를 제공하는 데 사용됩니다. 서버와 클라이언트는 각각 인증서 사본을 가지고 있습니다.
-
*클라이언트 인증서*는 클라이언트 또는 사용자 신원을 서버에 인증하여 비밀번호만 사용하는 것보다 더 안전한 인증을 제공합니다. 클라이언트 인증서는 데이터를 암호화하지 않습니다.
클라이언트가 HTTPS를 사용하여 서버에 연결하면 서버는 공개 키가 포함된 서버 인증서로 응답합니다. 클라이언트는 서버 서명을 인증서 사본의 서명과 비교하여 인증서를 검증합니다. 서명이 일치하면 클라이언트는 동일한 공개 키를 사용하여 서버와 세션을 시작합니다.
StorageGRID 일부 연결(예: 로드 밸런서 엔드포인트)에 대한 서버 역할을 하거나 다른 연결(예: CloudMirror 복제 서비스)에 대한 클라이언트 역할을 합니다.
기본 Grid CA 인증서
StorageGRID 시스템 설치 중에 내부 Grid CA 인증서를 생성하는 내장 인증 기관(CA)이 포함되어 있습니다. Grid CA 인증서는 기본적으로 내부 StorageGRID 트래픽을 보호하는 데 사용됩니다. 외부 인증 기관(CA)은 조직의 정보 보안 정책을 완벽하게 준수하는 맞춤형 인증서를 발급할 수 있습니다. 비운영 환경에서는 Grid CA 인증서를 사용할 수 있지만, 운영 환경에서는 외부 인증 기관에서 서명한 사용자 지정 인증서를 사용하는 것이 가장 좋습니다. 인증서가 없는 보안되지 않은 연결도 지원되지만 권장되지는 않습니다.
-
사용자 정의 CA 인증서는 내부 인증서를 제거하지 않습니다. 그러나 사용자 정의 인증서는 서버 연결을 확인하기 위해 지정되어야 합니다.
-
모든 사용자 정의 인증서는 다음을 충족해야 합니다."서버 인증서에 대한 시스템 강화 지침" .
-
StorageGRID CA의 인증서를 단일 파일(CA 인증서 번들이라고 함)로 묶는 것을 지원합니다.
|
StorageGRID 에는 모든 그리드에서 동일한 운영 체제 CA 인증서도 포함되어 있습니다. 프로덕션 환경에서는 운영 체제 CA 인증서 대신 외부 인증 기관에서 서명한 사용자 지정 인증서를 지정해야 합니다. |
서버 및 클라이언트 인증서 유형의 변형은 여러 가지 방법으로 구현됩니다. 시스템을 구성하기 전에 특정 StorageGRID 구성에 필요한 모든 인증서를 준비해야 합니다.
보안 인증서 접근
각 인증서의 구성 워크플로에 대한 링크와 함께 모든 StorageGRID 인증서에 대한 정보를 단일 위치에서 액세스할 수 있습니다.
-
그리드 관리자에서 구성 > 보안 > *인증서*를 선택합니다.
-
각 인증서 범주에 대한 정보를 확인하고 인증서 설정에 액세스하려면 인증서 페이지에서 탭을 선택하세요. 탭이 있으면 액세스할 수 있습니다."적절한 허가" .
-
글로벌: 웹 브라우저와 외부 API 클라이언트에서 StorageGRID 대한 액세스를 보호합니다.
-
Grid CA: 내부 StorageGRID 트래픽을 보호합니다.
-
클라이언트: 외부 클라이언트와 StorageGRID Prometheus 데이터베이스 간의 연결을 보호합니다.
-
로드 밸런서 엔드포인트: S3 클라이언트와 StorageGRID 로드 밸런서 간의 연결을 보호합니다.
-
테넌트: ID 페더레이션 서버 또는 플랫폼 서비스 엔드포인트에서 S3 스토리지 리소스로의 연결을 보호합니다.
-
기타: 특정 인증서가 필요한 StorageGRID 연결을 보호합니다.
각 탭은 아래에 설명되어 있으며, 추가 인증서 세부 정보에 대한 링크가 있습니다.
글로벌글로벌 인증서는 웹 브라우저와 외부 S3 API 클라이언트에서 StorageGRID 액세스하는 것을 보호합니다. StorageGRID 인증 기관은 설치 중에 처음에 두 개의 글로벌 인증서를 생성합니다. 프로덕션 환경에서 가장 좋은 방법은 외부 인증 기관에서 서명한 사용자 정의 인증서를 사용하는 것입니다.
-
관리 인터페이스 인증서: StorageGRID 관리 인터페이스에 대한 클라이언트 웹 브라우저 연결을 보호합니다.
-
S3 API 인증서: S3 클라이언트 애플리케이션이 객체 데이터를 업로드 및 다운로드하는 데 사용하는 스토리지 노드, 관리 노드 및 게이트웨이 노드에 대한 클라이언트 API 연결을 보호합니다.
설치된 글로벌 인증서에 대한 정보는 다음과 같습니다.
-
이름: 인증서 관리 링크가 있는 인증서 이름입니다.
-
설명
-
유형: 사용자 정의 또는 기본. + 그리드 보안을 강화하려면 항상 사용자 정의 인증서를 사용해야 합니다.
-
만료일: 기본 인증서를 사용하는 경우 만료일이 표시되지 않습니다.
다음을 수행할 수 있습니다.
-
향상된 그리드 보안을 위해 기본 인증서를 외부 인증 기관에서 서명한 사용자 정의 인증서로 교체합니다.
-
"기본 StorageGRID 에서 생성된 관리 인터페이스 인증서를 교체합니다."Grid Manager 및 Tenant Manager 연결에 사용됩니다.
-
"S3 API 인증서 교체"스토리지 노드 및 로드 밸런서 엔드포인트(선택 사항) 연결에 사용됩니다.
-
-
복사하거나 다운로드하세요"관리 인터페이스 인증서" 또는"S3 API 인증서" .
그리드 CA그만큼그리드 CA 인증서 StorageGRID 설치 중 StorageGRID 인증 기관에서 생성된 은 모든 내부 StorageGRID 트래픽을 보호합니다.
인증서 정보에는 인증서 만료일과 인증서 내용이 포함됩니다.
당신은 할 수 있습니다"Grid CA 인증서를 복사하거나 다운로드하세요" 하지만 바꿀 수는 없습니다.
클라이언트클라이언트 인증서외부 인증 기관에서 생성된 인증서는 외부 모니터링 도구와 StorageGRID Prometheus 데이터베이스 간의 연결을 보호합니다.
인증서 테이블에는 구성된 각 클라이언트 인증서에 대한 행이 있으며 인증서 만료 날짜와 함께 인증서를 Prometheus 데이터베이스 액세스에 사용할 수 있는지 여부를 나타냅니다.
다음을 수행할 수 있습니다.
로드 밸런서 엔드포인트로드 밸런서 엔드포인트 인증서게이트웨이 노드와 관리 노드에서 S3 클라이언트와 StorageGRID 로드 밸런서 서비스 간의 연결을 보호합니다.
로드 밸런서 엔드포인트 테이블에는 구성된 각 로드 밸런서 엔드포인트에 대한 행이 있으며, 엔드포인트에 글로벌 S3 API 인증서 또는 사용자 지정 로드 밸런서 엔드포인트 인증서가 사용되는지 여부를 나타냅니다. 각 인증서의 만료일도 표시됩니다.
엔드포인트 인증서에 대한 변경 사항이 모든 노드에 적용되는 데 최대 15분이 걸릴 수 있습니다. 다음을 수행할 수 있습니다.
-
"로드 밸런서 엔드포인트 보기"인증서 세부 정보를 포함합니다.
-
"글로벌 S3 API 인증서 사용"새로운 로드 밸런서 엔드포인트 인증서를 생성하는 대신.
세입자세입자는 사용할 수 있습니다ID 페더레이션 서버 인증서 또는플랫폼 서비스 엔드포인트 인증서 StorageGRID 와의 연결을 보호합니다.
테넌트 테이블에는 각 테넌트에 대한 행이 있으며 각 테넌트가 자체 ID 소스 또는 플랫폼 서비스를 사용할 권한이 있는지 여부를 나타냅니다.
다음을 수행할 수 있습니다.
다른StorageGRID 특정 목적을 위해 다른 보안 인증서를 사용합니다. 이러한 인증서는 기능적 이름으로 나열됩니다. 기타 보안 인증서는 다음과 같습니다.
정보는 해당 기능이 사용하는 인증서 유형과 해당 서버 및 클라이언트 인증서 만료 날짜를 나타냅니다. 함수 이름을 선택하면 인증서 세부 정보를 보고 편집할 수 있는 브라우저 탭이 열립니다.
다른 인증서에 대한 정보는 다음 권한이 있는 경우에만 볼 수 있고 액세스할 수 있습니다."적절한 허가" . 다음을 수행할 수 있습니다.
-
보안 인증서 세부 정보
각 유형의 보안 인증서는 아래에 설명되어 있으며, 구현 지침에 대한 링크도 함께 제공됩니다.
관리 인터페이스 인증서
| 자격증 종류 | 설명 | 내비게이션 위치 | 세부 |
|---|---|---|---|
섬기는 사람 |
클라이언트 웹 브라우저와 StorageGRID 관리 인터페이스 간의 연결을 인증하여 사용자가 보안 경고 없이 Grid Manager와 Tenant Manager에 액세스할 수 있도록 합니다. 이 인증서는 또한 Grid Management API와 Tenant Management API 연결을 인증합니다. 설치 중에 생성된 기본 인증서를 사용하거나 사용자 정의 인증서를 업로드할 수 있습니다. |
구성 > 보안 > 인증서*에서 *전역 탭을 선택한 다음 *관리 인터페이스 인증서*를 선택합니다. |
S3 API 인증서
| 자격증 종류 | 설명 | 내비게이션 위치 | 세부 |
|---|---|---|---|
섬기는 사람 |
스토리지 노드와 로드 밸런서 엔드포인트에 대한 보안 S3 클라이언트 연결을 인증합니다(선택 사항). |
구성 > 보안 > 인증서*에서 *글로벌 탭을 선택한 다음 *S3 API 인증서*를 선택합니다. |
그리드 CA 인증서
를 참조하십시오기본 Grid CA 인증서 설명 .
관리자 클라이언트 인증서
| 자격증 종류 | 설명 | 내비게이션 위치 | 세부 |
|---|---|---|---|
클라이언트 |
각 클라이언트에 설치되어 StorageGRID 외부 클라이언트 액세스를 인증할 수 있습니다.
|
구성 > 보안 > 인증서*를 선택한 다음 *클라이언트 탭을 선택합니다. |
로드 밸런서 엔드포인트 인증서
| 자격증 종류 | 설명 | 내비게이션 위치 | 세부 |
|---|---|---|---|
섬기는 사람 |
게이트웨이 노드와 관리 노드에서 S3 클라이언트와 StorageGRID 로드 밸런서 서비스 간의 연결을 인증합니다. 로드 밸런서 엔드포인트를 구성할 때 로드 밸런서 인증서를 업로드하거나 생성할 수 있습니다. 클라이언트 애플리케이션은 StorageGRID 에 연결할 때 로드 밸런서 인증서를 사용하여 개체 데이터를 저장하고 검색합니다. 또한 글로벌의 사용자 정의 버전을 사용할 수도 있습니다.S3 API 인증서 로드 밸런서 서비스에 대한 연결을 인증하는 인증서입니다. 글로벌 인증서를 사용하여 로드 밸런서 연결을 인증하는 경우 각 로드 밸런서 엔드포인트에 대해 별도의 인증서를 업로드하거나 생성할 필요가 없습니다. 참고: 로드 밸런서 인증에 사용되는 인증서는 일반적인 StorageGRID 작업 중 가장 많이 사용되는 인증서입니다. |
구성 > 네트워크 > 로드 밸런서 엔드포인트 |
Cloud Storage Pool 엔드포인트 인증서
| 자격증 종류 | 설명 | 내비게이션 위치 | 세부 |
|---|---|---|---|
섬기는 사람 |
StorageGRID 클라우드 스토리지 풀에서 S3 Glacier 또는 Microsoft Azure Blob 스토리지와 같은 외부 스토리지 위치로의 연결을 인증합니다. 각 클라우드 공급자 유형마다 다른 인증서가 필요합니다. |
ILM > 스토리지 풀 |
이메일 알림 인증서
| 자격증 종류 | 설명 | 내비게이션 위치 | 세부 |
|---|---|---|---|
서버와 클라이언트 |
알림에 사용되는 SMTP 이메일 서버와 StorageGRID 간의 연결을 인증합니다.
|
알림 > 이메일 설정 |
외부 syslog 서버 인증서
| 자격증 종류 | 설명 | 내비게이션 위치 | 세부 |
|---|---|---|---|
섬기는 사람 |
StorageGRID 에서 이벤트를 기록하는 외부 syslog 서버 간의 TLS 또는 RELP/TLS 연결을 인증합니다. 참고: 외부 syslog 서버에 대한 TCP, RELP/TCP 및 UDP 연결에는 외부 syslog 서버 인증서가 필요하지 않습니다. |
구성 > 모니터링 > 감사 및 시스템 로그 서버 |
그리드 페더레이션 연결 인증서
| 자격증 종류 | 설명 | 내비게이션 위치 | 세부 |
|---|---|---|---|
서버와 클라이언트 |
현재 StorageGRID 시스템과 그리드 연합 연결의 다른 그리드 간에 전송되는 정보를 인증하고 암호화합니다. |
구성 > 시스템 > 그리드 연합 |
ID 페더레이션 인증서
| 자격증 종류 | 설명 | 내비게이션 위치 | 세부 |
|---|---|---|---|
섬기는 사람 |
StorageGRID 와 Active Directory, OpenLDAP, Oracle Directory Server와 같은 외부 ID 공급자 간의 연결을 인증합니다. 외부 시스템에서 관리자 그룹과 사용자를 관리할 수 있는 ID 연합에 사용됩니다. |
구성 > 액세스 제어 > ID 페더레이션 |
키 관리 서버(KMS) 인증서
| 자격증 종류 | 설명 | 내비게이션 위치 | 세부 |
|---|---|---|---|
서버와 클라이언트 |
StorageGRID 와 외부 키 관리 서버(KMS) 간의 연결을 인증하여 StorageGRID 어플라이언스 노드에 암호화 키를 제공합니다. |
구성 > 보안 > 키 관리 서버 |
플랫폼 서비스 엔드포인트 인증서
| 자격증 종류 | 설명 | 내비게이션 위치 | 세부 |
|---|---|---|---|
섬기는 사람 |
StorageGRID 플랫폼 서비스에서 S3 스토리지 리소스로의 연결을 인증합니다. |
테넌트 관리자 > 스토리지(S3) > 플랫폼 서비스 엔드포인트 |
Single Sign-On(SSO) 인증서
| 자격증 종류 | 설명 | 내비게이션 위치 | 세부 |
|---|---|---|---|
섬기는 사람 |
SSO(Single Sign-On) 요청에 사용되는 AD FS(Active Directory Federation Services)와 같은 ID 페더레이션 서비스와 StorageGRID 간의 연결을 인증합니다. |
구성 > 액세스 제어 > 단일 로그인 |
인증서 예시
예 1: 로드 밸런서 서비스
이 예에서 StorageGRID 서버 역할을 합니다.
-
StorageGRID 에서 로드 밸런서 엔드포인트를 구성하고 서버 인증서를 업로드하거나 생성합니다.
-
로드 밸런서 엔드포인트에 대한 S3 클라이언트 연결을 구성하고 동일한 인증서를 클라이언트에 업로드합니다.
-
클라이언트가 데이터를 저장하거나 검색하려면 HTTPS를 사용하여 로드 밸런서 엔드포인트에 연결합니다.
-
StorageGRID 공개 키가 포함된 서버 인증서와 개인 키를 기반으로 한 서명으로 응답합니다.
-
클라이언트는 서버 서명을 인증서 사본의 서명과 비교하여 인증서를 검증합니다. 서명이 일치하면 클라이언트는 동일한 공개 키를 사용하여 세션을 시작합니다.
-
클라이언트는 StorageGRID 에 객체 데이터를 전송합니다.
예 2: 외부 키 관리 서버(KMS)
이 예에서 StorageGRID 클라이언트 역할을 합니다.
-
외부 키 관리 서버 소프트웨어를 사용하여 StorageGRID KMS 클라이언트로 구성하고 CA 서명 서버 인증서, 공개 클라이언트 인증서 및 클라이언트 인증서의 개인 키를 얻습니다.
-
Grid Manager를 사용하여 KMS 서버를 구성하고 서버 및 클라이언트 인증서와 클라이언트 개인 키를 업로드합니다.
-
StorageGRID 노드에 암호화 키가 필요한 경우 인증서의 데이터와 개인 키를 기반으로 한 서명을 포함하는 요청을 KMS 서버에 보냅니다.
-
KMS 서버는 인증서 서명을 검증하고 StorageGRID 신뢰할 수 있다고 결정합니다.
-
KMS 서버는 검증된 연결을 사용하여 응답합니다.