Skip to main content
Uma versão mais recente deste produto está disponível.
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Diretrizes de fortalecimento para certificados de servidor

Colaboradores
PDFs

Você deve substituir os certificados padrão criados durante a instalação por seus próprios certificados personalizados.

Para muitas organizações, o certificado digital autoassinado para o acesso à Web StorageGRID não é compatível com suas políticas de segurança de informações. Em sistemas de produção, você deve instalar um certificado digital assinado pela CA para uso na autenticação do StorageGRID.

Especificamente, você deve usar certificados de servidor personalizados em vez desses certificados padrão:

  • Certificado do servidor de interface de gerenciamento: Usado para proteger o acesso ao Gerenciador de Grade, ao Gerenciador de locatário, à API de gerenciamento de grade e à API de gerenciamento de locatário.

  • Object Storage API Service Endpoints Server Certificate: Usado para proteger o acesso a nós de armazenamento e nós de Gateway, que os aplicativos clientes S3 e Swift usam para carregar e baixar dados de objetos.

Observação O StorageGRID gerencia os certificados usados para pontos de extremidade do balanceador de carga separadamente. Para configurar os certificados do balanceador de carga, consulte as etapas para configurar os pontos de extremidade do balanceador de carga nas instruções de administração do StorageGRID.

Ao usar certificados de servidor personalizados, siga estas diretrizes:

  • Os certificados devem ter um subjectAltName que corresponda às entradas de DNS para StorageGRID. Para mais informações, ver secção 4,2.1,6, "'Nome alternativo do assunto", em "RFC 5280: Certificado PKIX e perfil CRL".

  • Quando possível, evite o uso de certificados curinga. Uma exceção a essa diretriz é o certificado para um endpoint de estilo hospedado virtual S3, que requer o uso de um curinga se os nomes de bucket não forem conhecidos antecipadamente.

  • Quando você deve usar curingas em certificados, você deve tomar medidas adicionais para reduzir os riscos. Use um padrão curinga como *.s3.example.com , e não use o s3.example.com sufixo para outros aplicativos. Esse padrão também funciona com acesso S3D de estilo caminho, como dc1-s1.s3.example.com/mybucket .

  • Defina os tempos de expiração do certificado como curtos (por exemplo, 2 meses) e use a API Grid Management para automatizar a rotação do certificado. Isso é especialmente importante para certificados curinga.

Além disso, os clientes devem usar uma verificação rigorosa do nome de host ao se comunicar com o StorageGRID.