Gerenciar certificados de segurança
Certificados de segurança são pequenos arquivos de dados usados para criar conexões seguras e confiáveis entre componentes do StorageGRID e entre componentes do StorageGRID e sistemas externos.
O StorageGRID usa dois tipos de certificados de segurança:
-
Certificados de servidor são necessários quando você usa conexões HTTPS. Os certificados de servidor são usados para estabelecer conexões seguras entre clientes e servidores, autenticando a identidade de um servidor para seus clientes e fornecendo um caminho de comunicação seguro para os dados. O servidor e o cliente têm uma cópia do certificado.
-
Certificados de cliente autenticam uma identidade de cliente ou usuário no servidor, fornecendo autenticação mais segura do que senhas sozinhas. Os certificados de cliente não encriptam dados.
Quando um cliente se coneta ao servidor usando HTTPS, o servidor responde com o certificado do servidor, que contém uma chave pública. O cliente verifica esse certificado comparando a assinatura do servidor com a assinatura em sua cópia do certificado. Se as assinaturas corresponderem, o cliente inicia uma sessão com o servidor usando a mesma chave pública.
O StorageGRID funciona como o servidor para algumas conexões (como o endpoint do balanceador de carga) ou como o cliente para outras conexões (como o serviço de replicação do CloudMirror).
-
Certificado padrão de CA de grade*
O StorageGRID inclui uma autoridade de certificação (CA) integrada que gera um certificado interno da CA de grade durante a instalação do sistema. O certificado de CA de grade é usado, por padrão, para proteger o tráfego interno do StorageGRID. Uma autoridade de certificação externa (CA) pode emitir certificados personalizados que são totalmente compatíveis com as políticas de segurança de informações da sua organização. Embora seja possível usar o certificado da CA de Grade para um ambiente que não seja de produção, a prática recomendada para um ambiente de produção é usar certificados personalizados assinados por uma autoridade de certificação externa. Conexões não protegidas sem certificado também são suportadas, mas não são recomendadas.
-
Os certificados de CA personalizados não removem os certificados internos; no entanto, os certificados personalizados devem ser os especificados para verificar conexões de servidor.
-
Todos os certificados personalizados devem atender ao "diretrizes de fortalecimento do sistema para certificados de servidor".
-
O StorageGRID oferece suporte ao agrupamento de certificados de uma CA em um único arquivo (conhecido como pacote de certificados da CA).
O StorageGRID também inclui certificados de CA do sistema operacional que são os mesmos em todas as grades. Em ambientes de produção, certifique-se de especificar um certificado personalizado assinado por uma autoridade de certificação externa em vez do certificado CA do sistema operacional. |
Variantes dos tipos de certificado de servidor e cliente são implementadas de várias maneiras. Você deve ter todos os certificados necessários para sua configuração específica do StorageGRID prontos antes de configurar o sistema.
Acesse certificados de segurança
Você pode acessar informações sobre todos os certificados do StorageGRID em um único local, juntamente com links para o fluxo de trabalho de configuração de cada certificado.
-
No Gerenciador de Grade, selecione CONFIGURATION > Security > Certificates.
-
Selecione uma guia na página certificados para obter informações sobre cada categoria de certificado e para acessar as configurações de certificado. Pode aceder a um separador se tiver o "permissão apropriada".
-
* Global*: Protege o acesso à StorageGRID de navegadores da web e clientes de API externos.
-
* Grade CA*: Protege o tráfego interno do StorageGRID.
-
Cliente: Protege conexões entre clientes externos e o banco de dados StorageGRID Prometheus.
-
Terminais do balanceador de carga: Protege conexões entre clientes S3 e o balanceador de carga StorageGRID.
-
* Inquilinos*: Protege conexões com servidores de federação de identidade ou de endpoints de serviço de plataforma para recursos de armazenamento S3.
-
Outros: Protege conexões StorageGRID que exigem certificados específicos.
Cada guia é descrito abaixo com links para detalhes adicionais do certificado.
GlobalOs certificados globais protegem o acesso à StorageGRID a partir de navegadores da Web e clientes externos da API S3. Dois certificados globais são inicialmente gerados pela autoridade de certificação StorageGRID durante a instalação. A prática recomendada para um ambiente de produção é usar certificados personalizados assinados por uma autoridade de certificação externa.
-
Certificado de interface de gerenciamento: Protege as conexões do navegador da Web do cliente às interfaces de gerenciamento do StorageGRID.
-
Certificado API S3: Protege as conexões da API do cliente aos nós de storage, nós de administrador e nós de gateway, que os aplicativos clientes S3 usam para carregar e baixar dados de objeto.
As informações sobre os certificados globais instalados incluem:
-
Nome: Nome do certificado com link para gerenciar o certificado.
-
Descrição
-
Tipo: Personalizado ou padrão. Você deve sempre usar um certificado personalizado para melhorar a segurança da grade.
-
Data de expiração: Se estiver usando o certificado padrão, nenhuma data de expiração será exibida.
Você pode:
-
Substitua os certificados padrão por certificados personalizados assinados por uma autoridade de certificação externa para melhorar a segurança da grade:
-
"Substitua o certificado padrão da interface de gerenciamento gerado pelo StorageGRID" Usado para conexões do Grid Manager e do Tenant Manager.
-
"Substitua o certificado API S3" Usado para conexões do nó de armazenamento e do ponto de extremidade do balanceador de carga (opcional).
-
-
"Restaure o certificado padrão da interface de gerenciamento".
-
"Use um script para gerar um novo certificado de interface de gerenciamento autoassinado".
-
Copie ou transfira a "certificado de interface de gerenciamento" ou "Certificado API S3".
CA da grelhaO Certificado CA de grade, gerado pela autoridade de certificação StorageGRID durante a instalação do StorageGRID, protege todo o tráfego interno do StorageGRID.
As informações do certificado incluem a data de validade do certificado e o conteúdo do certificado.
Você pode "Copie ou baixe o certificado da CA de Grade", mas não pode alterá-lo.
ClienteCertificados de cliente, Gerado por uma autoridade de certificação externa, proteja as conexões entre ferramentas de monitoramento externas e o banco de dados do StorageGRID Prometheus.
A tabela de certificados tem uma linha para cada certificado de cliente configurado e indica se o certificado pode ser usado para acesso ao banco de dados Prometheus, juntamente com a data de validade do certificado.
Você pode:
Pontos de extremidade do balanceador de cargaCertificados de terminais do balanceador de carga Proteja as conexões entre clientes S3 e o serviço de balanceador de carga StorageGRID em nós de gateway e nós de administração.
A tabela de endpoint do balanceador de carga tem uma linha para cada endpoint do balanceador de carga configurado e indica se o certificado global da API S3 ou um certificado de endpoint do balanceador de carga personalizado está sendo usado para o endpoint. A data de validade de cada certificado também é exibida.
As alterações a um certificado de endpoint podem levar até 15 minutos para serem aplicadas a todos os nós. Você pode:
-
"Exibir um ponto final do balanceador de carga", incluindo os respetivos detalhes do certificado.
-
"Especifique um certificado de endpoint do balanceador de carga para o FabricPool."
-
"Use o certificado global da API S3" em vez de gerar um novo certificado de endpoint do balanceador de carga.
InquilinosOs locatários podem usar certificados de servidor de federação de identidade ou certificados de endpoint de serviço de plataformaproteger suas conexões com o StorageGRID.
A tabela de locatário tem uma linha para cada locatário e indica se cada locatário tem permissão para usar sua própria fonte de identidade ou serviços de plataforma.
Você pode:
-
"Selecione um nome de locatário para iniciar sessão no Gestor de inquilinos"
-
"Selecione um nome de locatário para exibir os detalhes da federação de identidade do locatário"
-
"Selecione um nome de locatário para visualizar os detalhes dos serviços da plataforma do locatário"
-
"Especifique um certificado de endpoint de serviço de plataforma durante a criação do endpoint"
OutrosO StorageGRID usa outros certificados de segurança para fins específicos. Estes certificados são listados pelo seu nome funcional. Outros certificados de segurança incluem:
As informações indicam o tipo de certificado que uma função utiliza e as datas de expiração do certificado do servidor e do cliente, conforme aplicável. A seleção de um nome de função abre uma guia do navegador onde você pode exibir e editar os detalhes do certificado.
Só pode ver e aceder a informações de outros certificados se tiver o "permissão apropriada". Você pode:
-
"Especifique um certificado do Cloud Storage Pool para S3, C2S S3 ou Azure"
-
"Especifique um certificado para notificações por e-mail de alerta"
-
"Carregar certificados de servidor de gerenciamento de chaves (KMS) e cliente"
-
"Especifique manualmente um certificado SSO para uma confiança de parte dependente"
-
Detalhes do certificado de segurança
Cada tipo de certificado de segurança é descrito abaixo, com links para as instruções de implementação.
Certificado de interface de gerenciamento
Tipo de certificado | Descrição | Localização de navegação | Detalhes |
---|---|---|---|
Servidor |
Autentica a conexão entre navegadores da Web cliente e a interface de gerenciamento do StorageGRID, permitindo que os usuários acessem o Gerenciador de Grade e o Gerenciador de locatário sem avisos de segurança. Este certificado também autentica as conexões da API de Gerenciamento de Grade e da API de Gerenciamento do locatário. Pode utilizar o certificado predefinido criado durante a instalação ou carregar um certificado personalizado. |
CONFIGURATION > Security > Certificates, selecione a guia Global e, em seguida, selecione Management interface certificate |
Certificado API S3
Tipo de certificado | Descrição | Localização de navegação | Detalhes |
---|---|---|---|
Servidor |
Autentica conexões seguras de clientes S3 com um nó de storage e terminais de balanceador de carga (opcional). |
CONFIGURATION > Security > Certificates, selecione a guia Global e, em seguida, selecione S3 API certificate |
Certificado CA de grade
Certificado de cliente administrador
Tipo de certificado | Descrição | Localização de navegação | Detalhes |
---|---|---|---|
Cliente |
Instalado em cada cliente, permitindo que o StorageGRID autentique o acesso de cliente externo.
|
CONFIGURATION > Security > Certificates e selecione a guia Client |
Certificado de ponto final do balanceador de carga
Tipo de certificado | Descrição | Localização de navegação | Detalhes |
---|---|---|---|
Servidor |
Autentica a conexão entre clientes S3 e o serviço de balanceador de carga StorageGRID em nós de gateway e nós de administração. Você pode fazer upload ou gerar um certificado de balanceador de carga ao configurar um endpoint de balanceador de carga. Os aplicativos clientes usam o certificado do balanceador de carga ao se conetar ao StorageGRID para salvar e recuperar dados de objeto. Você também pode usar uma versão personalizada do certificado global Certificado API S3para autenticar conexões com o serviço Load Balancer. Se o certificado global for usado para autenticar conexões do balanceador de carga, você não precisará carregar ou gerar um certificado separado para cada ponto de extremidade do balanceador de carga. Nota: o certificado usado para autenticação do balanceador de carga é o certificado mais usado durante a operação normal do StorageGRID. |
CONFIGURATION > Network > Load balancer endpoints |
Certificado de endpoint do Cloud Storage Pool
Tipo de certificado | Descrição | Localização de navegação | Detalhes |
---|---|---|---|
Servidor |
Autentica a conexão de um pool de storage de nuvem do StorageGRID para um local de storage externo, como o S3 Glacier ou o storage Microsoft Azure Blob. Um certificado diferente é necessário para cada tipo de provedor de nuvem. |
ILM > conjuntos de armazenamento |
Certificado de notificação de alerta por e-mail
Tipo de certificado | Descrição | Localização de navegação | Detalhes |
---|---|---|---|
Servidor e cliente |
Autentica a conexão entre um servidor de e-mail SMTP e o StorageGRID que é usado para notificações de alerta.
|
ALERTAS > Configuração do e-mail |
Certificado de servidor syslog externo
Tipo de certificado | Descrição | Localização de navegação | Detalhes |
---|---|---|---|
Servidor |
Autentica a conexão TLS ou RELP/TLS entre um servidor syslog externo que Registra eventos no StorageGRID. Nota: não é necessário um certificado de servidor syslog externo para conexões TCP, RELP/TCP e UDP a um servidor syslog externo. |
CONFIGURATION > Monitoring > servidor de auditoria e syslog |
certificado de conexão de federação de grade
Tipo de certificado | Descrição | Localização de navegação | Detalhes |
---|---|---|---|
Servidor e cliente |
Autentique e criptografe as informações enviadas entre o sistema StorageGRID atual e outra grade em uma conexão de federação de grade. |
CONFIGURATION > System > Grid Federation |
Certificado de federação de identidade
Tipo de certificado | Descrição | Localização de navegação | Detalhes |
---|---|---|---|
Servidor |
Autentica a conexão entre o StorageGRID e um provedor de identidade externo, como ative Directory, OpenLDAP ou Oracle Directory Server. Usado para federação de identidade, que permite que grupos de administração e usuários sejam gerenciados por um sistema externo. |
CONFIGURATION > Access Control > Identity Federation |
Certificado de servidor de gerenciamento de chaves (KMS)
Tipo de certificado | Descrição | Localização de navegação | Detalhes |
---|---|---|---|
Servidor e cliente |
Autentica a conexão entre o StorageGRID e um servidor de gerenciamento de chaves externo (KMS), que fornece chaves de criptografia para os nós do dispositivo StorageGRID. |
CONFIGURATION > Security > Key Management Server |
Certificado de endpoint de serviços de plataforma
Tipo de certificado | Descrição | Localização de navegação | Detalhes |
---|---|---|---|
Servidor |
Autentica a conexão do serviço da plataforma StorageGRID a um recurso de storage S3. |
Gerenciador do Locatário > ARMAZENAMENTO (S3) > terminais de serviços da plataforma |
Certificado de logon único (SSO)
Tipo de certificado | Descrição | Localização de navegação | Detalhes |
---|---|---|---|
Servidor |
Autentica a conexão entre serviços de federação de identidade, como AD FS (Serviços de Federação do ative Directory) e StorageGRID usados para solicitações de logon único (SSO). |
CONFIGURATION > access control > Single sign-on |
Exemplos de certificados
Exemplo 1: Serviço do Load Balancer
Neste exemplo, o StorageGRID atua como servidor.
-
Você configura um ponto de extremidade do balanceador de carga e carrega ou gera um certificado de servidor no StorageGRID.
-
Você configura uma conexão de cliente S3 para o endpoint do balanceador de carga e carrega o mesmo certificado para o cliente.
-
Quando o cliente deseja salvar ou recuperar dados, ele se coneta ao endpoint do balanceador de carga usando HTTPS.
-
O StorageGRID responde com o certificado do servidor, que contém uma chave pública e com uma assinatura baseada na chave privada.
-
O cliente verifica esse certificado comparando a assinatura do servidor com a assinatura em sua cópia do certificado. Se as assinaturas corresponderem, o cliente inicia uma sessão usando a mesma chave pública.
-
O cliente envia dados de objeto para o StorageGRID.
Exemplo 2: Servidor de gerenciamento de chaves externas (KMS)
Neste exemplo, o StorageGRID atua como cliente.
-
Usando o software servidor de gerenciamento de chaves externo, você configura o StorageGRID como um cliente KMS e obtém um certificado de servidor assinado pela CA, um certificado de cliente público e a chave privada para o certificado de cliente.
-
Usando o Gerenciador de Grade, você configura um servidor KMS e carrega os certificados de servidor e cliente e a chave privada do cliente.
-
Quando um nó StorageGRID precisa de uma chave de criptografia, ele faz uma solicitação ao servidor KMS que inclui dados do certificado e uma assinatura com base na chave privada.
-
O servidor KMS valida a assinatura do certificado e decide que pode confiar no StorageGRID.
-
O servidor KMS responde usando a conexão validada.