管理TLS和SSH策略
TLS和SSH策略用于确定使用哪些协议和加密方法与客户端应用程序建立安全TLS连接、以及与内部StorageGRID 服务建立安全SSH连接。
此安全策略控制TLS和SSH如何对移动数据进行加密。通常、请使用现代兼容性(默认)策略、除非您的系统需要符合通用标准或您需要使用其他密钥。
某些StorageGRID 服务尚未更新、无法在这些策略中使用这些加密方法。 |
-
您已使用登录到网格管理器"支持的 Web 浏览器"。
-
您拥有"root访问权限"。
选择一个安全策略
-
选择*configuration*>*Security*>*Security settings。
TLS和SSH策略*选项卡显示可用策略。当前活动的策略会在策略磁贴上标记为绿色复选标记。
-
查看图块、了解可用策略。
策略 说明 现代兼容性(默认)
如果需要强加密、则使用默认策略、除非您有特殊要求。此策略与大多数TLS和SSH客户端兼容。
传统兼容性
如果需要为旧客户端提供其他兼容性选项、请使用此策略。此策略中的其他选项可能会使其不如现代兼容性策略安全。
通用标准
如果您需要通用标准认证、请使用此策略。
FIPS严格
如果您需要通用标准认证、并且需要使用NetApp加密安全模块3.0.8将外部客户端连接到负载平衡器端点、租户管理器和网格管理器、请使用此策略。使用此策略可能会降低性能。
注意:选择此策略后,所有节点都必须"已滚动重新启动"激活NetApp加密安全模块。使用*Maintenance (维护)*>*rolling reboot (滚动重新启动)*启动并监控重新启动。
自定义
如果需要应用您自己的用户名或用户名、请创建自定义策略。
-
要查看有关每个策略的加密、协议和算法的详细信息,请选择*查看详细信息*。
-
要更改当前策略,请选择*使用策略*。
策略磁贴上的*current policy*旁边会出现一个绿色复选标记。
创建自定义安全策略
如果需要应用自己的用户名、可以创建自定义策略。
-
从与要创建的自定义策略最相似的策略的磁贴中,选择*查看详细信息*。
-
选择*复制到剪贴板*,然后选择*取消*。
-
从“自定义策略”磁贴中,选择“配置和使用”。
-
粘贴您复制的JSON并进行所需的任何更改。
-
选择*使用策略*。
自定义策略磁贴上的*当前策略*旁边会出现一个绿色复选标记。
-
(可选)选择*Edit configuration*对新的自定义策略进行更多更改。
暂时还原为默认安全策略
如果配置了自定义安全策略,并且配置的TLS策略与不兼容,则可能无法登录到网格管理器"已配置服务器证书"。
您可以临时还原为默认安全策略。
-
登录到管理节点:
-
输入以下命令:
ssh admin@Admin_Node_IP
-
输入文件中列出的密码
Passwords.txt
。 -
输入以下命令切换到root:
su -
-
输入文件中列出的密码
Passwords.txt
。当您以root用户身份登录时,提示符将从更
$`改为 `#
。
-
-
运行以下命令:
restore-default-cipher-configurations
-
从 Web 浏览器访问同一管理节点上的网格管理器。
-
按照中的步骤选择一个安全策略重新配置策略。