Skip to main content
本产品推出了新版本。
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

使用StorageGRID 安全证书

贡献者
PDF

安全证书是一个小型数据文件,用于在 StorageGRID 组件之间以及 StorageGRID 组件与外部系统之间创建安全可信的连接。

StorageGRID 使用两种类型的安全证书:

  • 使用 HTTPS 连接时需要 * 服务器证书 * 。服务器证书用于在客户端和服务器之间建立安全连接,向客户端验证服务器的身份并为数据提供安全通信路径。服务器和客户端都有一个证书副本。

  • * 客户端证书 * 可对服务器的客户端或用户身份进行身份验证,从而提供比单独使用密码更安全的身份验证。客户端证书不会对数据进行加密。

当客户端使用 HTTPS 连接到服务器时,服务器会使用包含公有 密钥的服务器证书进行响应。客户端通过将服务器签名与其证书副本上的签名进行比较来验证此证书。如果签名匹配,则客户端将使用相同的公有 密钥启动与服务器的会话。

StorageGRID 用作某些连接的服务器(例如负载平衡器端点)或其他连接的客户端(例如 CloudMirror 复制服务)。

外部证书颁发机构( CA )可以对完全符合组织信息安全策略的自定义证书进行问题描述 。StorageGRID 还包括一个内置证书颁发机构(Certificate Authority、CA)、用于在系统安装期间生成内部CA证书。默认情况下、这些内部CA证书用于保护内部StorageGRID 流量的安全。虽然您可以在非生产环境中使用内部CA证书、但在生产环境中、最佳做法是使用由外部证书颁发机构签名的自定义证书。此外,还支持无证书的不安全连接,但不建议这样做。

  • 自定义 CA 证书不会删除内部证书;但是,自定义证书应是为验证服务器连接而指定的证书。

  • 所有自定义证书都必须符合服务器证书的系统强化准则。

    "系统强化"

  • StorageGRID 支持将 CA 中的证书捆绑到一个文件中(称为 CA 证书包)。

备注 StorageGRID 还包括在所有网格上相同的操作系统 CA 证书。在生产环境中,请确保指定一个由外部证书颁发机构签名的自定义证书,以替代操作系统 CA 证书。

服务器和客户端证书类型的变体通过多种方式实现。在配置系统之前,您应准备好特定 StorageGRID 配置所需的所有证书。

证书 证书类型 Description 导航位置 详细信息

管理员客户端证书

客户端

安装在每个客户端上,使 StorageGRID 能够对外部客户端访问进行身份验证。

  • 允许授权的外部客户端访问 StorageGRID Prometheus 数据库。

  • 允许使用外部工具安全监控 StorageGRID 。

配置>*访问控制*>*客户端证书*

"配置管理员客户端证书"

身份联合证书

服务器

对StorageGRID 与外部Active Directory、OpenLDAP或Oracle目录服务器之间的连接进行身份验证。用于身份联合、从而允许管理组和用户由外部系统进行管理。

配置>*访问控制*>*身份联合*

"使用身份联合"

单点登录( SSO )证书

服务器

对用于单点登录(SSO)请求的Active Directory联合身份验证服务(AD FS)和StorageGRID 之间的连接进行身份验证。

配置>*访问控制*>*单点登录*

"配置单点登录"

密钥管理服务器( KMS )证书

服务器和客户端

对 StorageGRID 与外部密钥管理服务器( KMS )之间的连接进行身份验证,该服务器可为 StorageGRID 设备节点提供加密密钥。

配置>*系统设置*>*密钥管理服务器*

"添加密钥管理服务器(KMS)"

通过电子邮件发送警报通知证书

服务器和客户端

对 SMTP 电子邮件服务器与用于警报通知的 StorageGRID 之间的连接进行身份验证。

  • 如果与 SMTP 服务器的通信需要传输层安全( Transport Layer Security , TLS ),则必须指定电子邮件服务器 CA 证书。

  • 仅当 SMTP 电子邮件服务器需要客户端证书进行身份验证时,才指定客户端证书。

警报>*电子邮件设置*

"监控和放大;故障排除"

负载平衡器端点证书

服务器

对S3或Swift客户端与网关节点或管理节点上的StorageGRID 负载平衡器服务之间的连接进行身份验证。您可以在配置负载平衡器端点时上传或生成负载平衡器证书。客户端应用程序在连接到StorageGRID 时使用负载平衡器证书来保存和检索对象数据。

*注:*负载平衡器证书是正常StorageGRID 操作期间使用量最多的证书。

配置>*网络设置*>*负载平衡器端点*

管理接口服务器证书

服务器

对客户端 Web 浏览器和 StorageGRID 管理界面之间的连接进行身份验证,使用户能够访问网格管理器和租户管理器,而不会出现安全警告。

此证书还会对网格管理 API 和租户管理 API 连接进行身份验证。

您可以使用内部CA证书或上传自定义证书。

配置>*网络设置*>*服务器证书*

云存储池端点证书

服务器

对从StorageGRID 云存储池到外部存储位置(例如S3 Glacier或Microsoft Azure Blob存储)的连接进行身份验证。每种云提供商类型都需要一个不同的证书。

  • ILM >*存储池

"使用 ILM 管理对象"

平台服务端点证书

服务器

对从 StorageGRID 平台服务到 S3 存储资源的连接进行身份验证。

  • 租户管理器 * > * 存储( S3 ) * > * 平台服务端点 *

"使用租户帐户"

对象存储API服务端点服务器证书

服务器

对与存储节点上的本地分布路由器(LDR)服务或网关节点上已弃用的连接负载平衡器(CLB)服务的安全S3或Swift客户端连接进行身份验证。

配置>*网络设置*>*负载平衡器端点*

"配置自定义服务器证书以连接到存储节点或CLB服务"

示例 1 :负载平衡器服务

在此示例中, StorageGRID 充当服务器。

  1. 您可以在 StorageGRID 中配置负载平衡器端点并上传或生成服务器证书。

  2. 您可以配置与负载平衡器端点的 S3 或 Swift 客户端连接,并将同一证书上传到客户端。

  3. 当客户端要保存或检索数据时,它会使用 HTTPS 连接到负载平衡器端点。

  4. StorageGRID 会使用包含公有 密钥的服务器证书进行响应,并使用基于私钥的签名进行响应。

  5. 客户端通过将服务器签名与其证书副本上的签名进行比较来验证此证书。如果签名匹配,客户端将使用相同的公有 密钥启动会话。

  6. 客户端将对象数据发送到 StorageGRID 。

示例 2 :外部密钥管理服务器( KMS )

在此示例中, StorageGRID 充当客户端。

  1. 您可以使用外部密钥管理服务器软件将 StorageGRID 配置为 KMS 客户端,并获取 CA 签名的服务器证书,公有 客户端证书以及客户端证书的专用密钥。

  2. 使用网格管理器,您可以配置 KMS 服务器并上传服务器和客户端证书以及客户端专用密钥。

  3. 当 StorageGRID 节点需要加密密钥时,它会向 KMS 服务器发出请求,请求包含证书中的数据以及基于私钥的签名。

  4. KMS 服务器会验证证书签名,并决定它可以信任 StorageGRID 。

  5. KMS 服务器使用经过验证的连接进行响应。