Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Gerenciar certificados de segurança

PDFs

Certificados de segurança são pequenos arquivos de dados usados ​​para criar conexões seguras e confiáveis ​​entre componentes do StorageGRID e entre componentes do StorageGRID e sistemas externos.

O StorageGRID usa dois tipos de certificados de segurança:

  • Certificados de servidor são necessários quando você usa conexões HTTPS. Os certificados de servidor são usados para estabelecer conexões seguras entre clientes e servidores, autenticando a identidade de um servidor para seus clientes e fornecendo um caminho de comunicação seguro para dados. O servidor e o cliente têm uma cópia do certificado.

  • Certificados de cliente autenticam a identidade de um cliente ou usuário no servidor, fornecendo autenticação mais segura do que apenas senhas. Os certificados do cliente não criptografam dados.

Quando um cliente se conecta ao servidor usando HTTPS, o servidor responde com o certificado do servidor, que contém uma chave pública. O cliente verifica este certificado comparando a assinatura do servidor com a assinatura em sua cópia do certificado. Se as assinaturas corresponderem, o cliente inicia uma sessão com o servidor usando a mesma chave pública.

O StorageGRID funciona como servidor para algumas conexões (como o ponto de extremidade do balanceador de carga) ou como cliente para outras conexões (como o serviço de replicação do CloudMirror).

Certificado Grid CA padrão

O StorageGRID inclui uma autoridade de certificação (CA) integrada que gera um certificado de CA de grade interno durante a instalação do sistema. O certificado Grid CA é usado, por padrão, para proteger o tráfego interno do StorageGRID . Uma autoridade de certificação (CA) externa pode emitir certificados personalizados que são totalmente compatíveis com as políticas de segurança de informações da sua organização. Embora você possa usar o certificado Grid CA para um ambiente de não produção, a prática recomendada para um ambiente de produção é usar certificados personalizados assinados por uma autoridade de certificação externa. Conexões não seguras sem certificado também são suportadas, mas não são recomendadas.

  • Os certificados CA personalizados não removem os certificados internos; no entanto, os certificados personalizados devem ser aqueles especificados para verificar as conexões do servidor.

  • Todos os certificados personalizados devem atender aos"diretrizes de reforço do sistema para certificados de servidor" .

  • O StorageGRID oferece suporte ao agrupamento de certificados de uma CA em um único arquivo (conhecido como pacote de certificados de CA).

Observação O StorageGRID também inclui certificados de CA do sistema operacional que são os mesmos em todas as grades. Em ambientes de produção, certifique-se de especificar um certificado personalizado assinado por uma autoridade de certificação externa no lugar do certificado de CA do sistema operacional.

Variantes dos tipos de certificados de servidor e cliente são implementadas de diversas maneiras. Você deve ter todos os certificados necessários para sua configuração específica do StorageGRID prontos antes de configurar o sistema.

Certificados de segurança de acesso

Você pode acessar informações sobre todos os certificados StorageGRID em um único local, juntamente com links para o fluxo de trabalho de configuração de cada certificado.

Passos

  1. No Grid Manager, selecione CONFIGURAÇÃO > Segurança > Certificados.

    Página de certificados

  2. Selecione uma guia na página Certificados para obter informações sobre cada categoria de certificado e acessar as configurações do certificado. Você pode acessar uma aba se tiver a"permissão apropriada" .

    • Global: Protege o acesso ao StorageGRID de navegadores da web e clientes de API externos.

    • Grid CA: protege o tráfego interno do StorageGRID .

    • Cliente: protege conexões entre clientes externos e o banco de dados StorageGRID Prometheus.

    • Pontos de extremidade do balanceador de carga: protege conexões entre clientes S3 e o balanceador de carga StorageGRID .

    • Inquilinos: protege conexões com servidores de federação de identidade ou de pontos de extremidade de serviço de plataforma para recursos de armazenamento S3.

    • Outro: Protege conexões StorageGRID que exigem certificados específicos.

      Cada aba é descrita abaixo com links para detalhes adicionais do certificado.

    Global

    Os certificados globais protegem o acesso ao StorageGRID de navegadores da web e clientes externos da API S3. Dois certificados globais são gerados inicialmente pela autoridade de certificação StorageGRID durante a instalação. A melhor prática para um ambiente de produção é usar certificados personalizados assinados por uma autoridade de certificação externa.

    • Certificado de interface de gerenciamento: Protege as conexões do navegador da Web do cliente com as interfaces de gerenciamento do StorageGRID .

    • Certificado S3 API: Protege conexões de API do cliente com nós de armazenamento, nós de administração e nós de gateway, que os aplicativos cliente S3 usam para carregar e baixar dados de objetos.

    As informações sobre os certificados globais instalados incluem:

    • Nome: Nome do certificado com link para gerenciar o certificado.

    • Descrição

    • Tipo: Personalizado ou padrão. + Você deve sempre usar um certificado personalizado para melhorar a segurança da grade.

    • Data de validade: Se estiver usando o certificado padrão, nenhuma data de validade será exibida.

    Você pode:

    Grade CA

    OCertificado Grid CA , gerado pela autoridade de certificação do StorageGRID durante a instalação do StorageGRID , protege todo o tráfego interno do StorageGRID .

    As informações do certificado incluem a data de validade do certificado e o conteúdo do certificado.

    Você pode"copie ou baixe o certificado Grid CA" , mas você não pode alterá-lo.

    Cliente

    Certificados de cliente, gerado por uma autoridade de certificação externa, protege as conexões entre ferramentas de monitoramento externo e o banco de dados StorageGRID Prometheus.

    A tabela de certificados tem uma linha para cada certificado de cliente configurado e indica se o certificado pode ser usado para acesso ao banco de dados do Prometheus, juntamente com a data de expiração do certificado.

    Você pode:

    Pontos de extremidade do balanceador de carga

    Certificados de ponto de extremidade do balanceador de cargaproteger as conexões entre clientes S3 e o serviço StorageGRID Load Balancer em nós de gateway e nós de administração.

    A tabela de ponto de extremidade do balanceador de carga tem uma linha para cada ponto de extremidade do balanceador de carga configurado e indica se o certificado global da API S3 ou um certificado de ponto de extremidade do balanceador de carga personalizado está sendo usado para o ponto de extremidade. A data de validade de cada certificado também é exibida.

    Observação Alterações em um certificado de ponto de extremidade podem levar até 15 minutos para serem aplicadas a todos os nós.

    Você pode:

    Inquilinos

    Os inquilinos podem usarcertificados de servidor de federação de identidade oucertificados de ponto de extremidade de serviço de plataforma para proteger suas conexões com o StorageGRID.

    A tabela de locatários tem uma linha para cada locatário e indica se cada locatário tem permissão para usar sua própria fonte de identidade ou serviços de plataforma.

    Você pode:

    Outro

    O StorageGRID usa outros certificados de segurança para fins específicos. Esses certificados são listados por seu nome funcional. Outros certificados de segurança incluem:

    As informações indicam o tipo de certificado que uma função usa e as datas de expiração dos certificados de servidor e cliente, conforme aplicável. Selecionar um nome de função abre uma aba do navegador onde você pode visualizar e editar os detalhes do certificado.

    Observação Você só pode visualizar e acessar informações de outros certificados se tiver a permissão"permissão apropriada" .

    Você pode:

Detalhes do certificado de segurança

Cada tipo de certificado de segurança é descrito abaixo, com links para as instruções de implementação.

Certificado de interface de gerenciamento

Tipo de certificado Descrição Localização de navegação Detalhes

Servidor

Autentica a conexão entre os navegadores da Web do cliente e a interface de gerenciamento do StorageGRID , permitindo que os usuários acessem o Grid Manager e o Tenant Manager sem avisos de segurança.

Este certificado também autentica conexões da API de gerenciamento de grade e da API de gerenciamento de locatários.

Você pode usar o certificado padrão criado durante a instalação ou carregar um certificado personalizado.

CONFIGURAÇÃO > Segurança > Certificados, selecione a aba Global e então selecione Certificado de interface de gerenciamento

"Configurar certificados de interface de gerenciamento"

Certificado S3 API

Tipo de certificado Descrição Localização de navegação Detalhes

Servidor

Autentica conexões seguras do cliente S3 com um nó de armazenamento e com pontos de extremidade do balanceador de carga (opcional).

CONFIGURAÇÃO > Segurança > Certificados, selecione a aba Global e então selecione Certificado S3 API

"Configurar certificados da API S3"

Certificado Grid CA

Veja oDescrição do certificado CA de grade padrão .

Certificado de cliente administrador

Tipo de certificado Descrição Localização de navegação Detalhes

Cliente

Instalado em cada cliente, permitindo que o StorageGRID autentique o acesso de clientes externos.

  • Permite que clientes externos autorizados acessem o banco de dados StorageGRID Prometheus.

  • Permite o monitoramento seguro do StorageGRID usando ferramentas externas.

CONFIGURAÇÃO > Segurança > Certificados e então selecione a aba Cliente

"Configurar certificados de cliente"

Certificado de ponto de extremidade do balanceador de carga

Tipo de certificado Descrição Localização de navegação Detalhes

Servidor

Autentica a conexão entre clientes S3 e o serviço StorageGRID Load Balancer em nós de gateway e nós de administração. Você pode carregar ou gerar um certificado do balanceador de carga ao configurar um ponto de extremidade do balanceador de carga. Os aplicativos cliente usam o certificado do balanceador de carga ao se conectar ao StorageGRID para salvar e recuperar dados de objetos.

Você também pode usar uma versão personalizada do globalCertificado S3 API certificado para autenticar conexões com o serviço Load Balancer. Se o certificado global for usado para autenticar conexões do balanceador de carga, você não precisará carregar ou gerar um certificado separado para cada ponto de extremidade do balanceador de carga.

Observação: O certificado usado para autenticação do balanceador de carga é o certificado mais usado durante a operação normal do StorageGRID .

CONFIGURAÇÃO > Rede > Pontos de extremidade do balanceador de carga

Certificado de ponto de extremidade do Cloud Storage Pool

Tipo de certificado Descrição Localização de navegação Detalhes

Servidor

Autentica a conexão de um pool de armazenamento em nuvem do StorageGRID com um local de armazenamento externo, como o S3 Glacier ou o armazenamento de Blobs do Microsoft Azure. Um certificado diferente é necessário para cada tipo de provedor de nuvem.

ILM > Pools de armazenamento

"Criar um pool de armazenamento em nuvem"

Certificado de notificação de alerta por e-mail

Tipo de certificado Descrição Localização de navegação Detalhes

Servidor e cliente

Autentica a conexão entre um servidor de e-mail SMTP e o StorageGRID que é usado para notificações de alerta.

  • Se as comunicações com o servidor SMTP exigirem o Transport Layer Security (TLS), você deverá especificar o certificado CA do servidor de e-mail.

  • Especifique um certificado de cliente somente se o servidor de e-mail SMTP exigir certificados de cliente para autenticação.

ALERTAS > Configuração de e-mail

"Configurar notificações por e-mail para alertas"

Certificado de servidor syslog externo

Tipo de certificado Descrição Localização de navegação Detalhes

Servidor

Autentica a conexão TLS ou RELP/TLS entre um servidor syslog externo que registra eventos no StorageGRID.

Observação: Um certificado de servidor syslog externo não é necessário para conexões TCP, RELP/TCP e UDP com um servidor syslog externo.

CONFIGURAÇÃO > Monitoramento > Servidor de auditoria e syslog

"Use um servidor syslog externo"

Certificado de conexão de federação de rede

Tipo de certificado Descrição Localização de navegação Detalhes

Servidor e cliente

Autentique e criptografe as informações enviadas entre o sistema StorageGRID atual e outra grade em uma conexão de federação de grade.

CONFIGURAÇÃO > Sistema > Federação de grade

Certificado de federação de identidade

Tipo de certificado Descrição Localização de navegação Detalhes

Servidor

Autentica a conexão entre o StorageGRID e um provedor de identidade externo, como Active Directory, OpenLDAP ou Oracle Directory Server. Usado para federação de identidade, o que permite que grupos de administradores e usuários sejam gerenciados por um sistema externo.

CONFIGURAÇÃO > Controle de Acesso > Federação de Identidade

"Usar federação de identidade"

Certificado do servidor de gerenciamento de chaves (KMS)

Tipo de certificado Descrição Localização de navegação Detalhes

Servidor e cliente

Autentica a conexão entre o StorageGRID e um servidor de gerenciamento de chaves externo (KMS), que fornece chaves de criptografia para os nós do dispositivo StorageGRID .

CONFIGURAÇÃO > Segurança > Servidor de gerenciamento de chaves

"Adicionar servidor de gerenciamento de chaves (KMS)"

Certificado de ponto de extremidade de serviços de plataforma

Tipo de certificado Descrição Localização de navegação Detalhes

Servidor

Autentica a conexão do serviço da plataforma StorageGRID com um recurso de armazenamento S3.

Gerenciador de inquilinos > ARMAZENAMENTO (S3) > Pontos de extremidade de serviços de plataforma

"Criar ponto de extremidade de serviços de plataforma"

"Editar ponto de extremidade dos serviços da plataforma"

Certificado de logon único (SSO)

Tipo de certificado Descrição Localização de navegação Detalhes

Servidor

Autentica a conexão entre serviços de federação de identidade, como os Serviços de Federação do Active Directory (AD FS) e o StorageGRID , que são usados ​​para solicitações de logon único (SSO).

CONFIGURAÇÃO > Controle de acesso > Logon único

"Configurar logon único"

Exemplos de certificados

Exemplo 1: serviço de balanceador de carga

Neste exemplo, o StorageGRID atua como servidor.

  1. Você configura um ponto de extremidade do balanceador de carga e carrega ou gera um certificado de servidor no StorageGRID.

  2. Você configura uma conexão de cliente S3 com o ponto de extremidade do balanceador de carga e carrega o mesmo certificado para o cliente.

  3. Quando o cliente deseja salvar ou recuperar dados, ele se conecta ao ponto de extremidade do balanceador de carga usando HTTPS.

  4. O StorageGRID responde com o certificado do servidor, que contém uma chave pública, e com uma assinatura baseada na chave privada.

  5. O cliente verifica este certificado comparando a assinatura do servidor com a assinatura em sua cópia do certificado. Se as assinaturas corresponderem, o cliente inicia uma sessão usando a mesma chave pública.

  6. O cliente envia dados do objeto para StorageGRID.

Exemplo 2: Servidor de gerenciamento de chaves externo (KMS)

Neste exemplo, o StorageGRID atua como cliente.

  1. Usando o software externo Key Management Server, você configura o StorageGRID como um cliente KMS e obtém um certificado de servidor assinado pela CA, um certificado de cliente público e a chave privada para o certificado de cliente.

  2. Usando o Grid Manager, você configura um servidor KMS e carrega os certificados do servidor e do cliente e a chave privada do cliente.

  3. Quando um nó StorageGRID precisa de uma chave de criptografia, ele faz uma solicitação ao servidor KMS que inclui dados do certificado e uma assinatura baseada na chave privada.

  4. O servidor KMS valida a assinatura do certificado e decide que pode confiar no StorageGRID.

  5. O servidor KMS responde usando a conexão validada.