本产品推出了新版本。
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。
服务器证书的强化准则
贡献者
建议更改
PDF
您应将安装期间创建的默认证书替换为您自己的自定义证书。
对于许多组织来说,用于 StorageGRID Web 访问的自签名数字证书不符合其信息安全策略。在生产系统上,您应安装 CA 签名的数字证书以用于对 StorageGRID 进行身份验证。
具体而言,您应使用自定义服务器证书,而不是这些默认证书:
-
管理接口服务器证书:用于确保对网格管理器、租户管理器、网格管理API和租户管理API的访问安全。
-
对象存储API服务端点服务器证书:用于保护对存储节点和网关节点的访问安全、S3和Swift客户端应用程序使用这些节点上传和下载对象数据。
|
StorageGRID 单独管理用于负载平衡器端点的证书。要配置负载平衡器证书,请参见管理 StorageGRID 的说明中配置负载平衡器端点的步骤。 |
使用自定义服务器证书时,请遵循以下准则:
-
证书应具有
subjectAltName与StorageGRID 的DNS条目匹配。有关详细信息,请参见中的第 4.2.1.6 节 "SSubject Alternative Name ," "RFC 5280 : PKIX 证书和 CRL 配置文件"。 -
尽可能避免使用通配符证书。此准则的一个例外是 S3 虚拟托管模式端点的证书,如果事先不知道分段名称,则需要使用通配符。
-
如果必须在证书中使用通配符,则应执行其他步骤以降低风险。使用通配符模式、例如
*.s3.example.com`和、请勿使用 `s3.example.com其他应用程序的后缀。此模式也适用于路径模式S3访问、例如dc1-s1.s3.example.com/mybucket。 -
将证书到期时间设置为较短(例如 2 个月),并使用网格管理 API 自动轮换证书。这对于通配符证书尤其重要。
此外,客户端在与 StorageGRID 通信时应使用严格的主机名检查。