了解如何在StorageGRID中为HTTPS实施SSL证书
了解在StorageGRID中实施SSL证书的重要性和步骤。
如果您使用的是HTTPS、则必须具有安全套接字层(SSL)证书。SSL协议可识别客户端和端点、并验证它们是否可信。SSL还可对流量进行加密。客户端必须信任SSL证书。为此、SSL证书可以来自全局受信任的证书颁发机构(CA)、例如、数码证书、在基础架构中运行的私有CA或主机生成的自签名证书。
首选方法是使用全局受信任的CA证书、因为无需执行其他客户端操作。证书将加载到负载平衡器或StorageGRID中、客户端信任并连接到端点。
使用私有CA要求将根证书和所有从属证书添加到客户端。信任专用CA证书的过程可能因客户端操作系统和应用程序而异。例如、在ONTAP for FabricPool中、您必须单独将链中的每个证书(根证书、从属证书、端点证书)上传到ONTAP集群。
使用自签名证书要求客户端信任提供的证书、而不使用任何CA来验证其真实性。某些应用程序可能不接受自签名证书、并且无法忽略验证。
SSL证书在客户端负载平衡器StorageGRID路径中的放置取决于您需要SSL终止的位置。您可以将负载平衡器配置为客户端的终止端点、然后使用新的SSL证书对负载平衡器与StorageGRID的连接进行重新加密或热加密。或者、您也可以通过此流量并让StorageGRID成为SSL终止端点。如果负载平衡器是SSL终止端点、则此证书将安装在负载平衡器上、并包含DNS名称/URL的使用者名称以及客户端配置为通过负载平衡器连接到StorageGRID目标的任何备用URL/DNS名称。 包括任何通配符名称。如果为负载平衡器配置了直通、则必须在StorageGRID中安装SSL证书。同样、证书必须包含DNS名称/URL的使用者名称、以及客户端配置为通过负载平衡器连接到StorageGRID目标的任何备用URL/DNS名称、包括任何通配符名称。证书中无需包含单个存储节点名称、只需包含端点URL即可。