憑證在 SANtricity System Manager 中的運作方式
建議變更
PDF
憑證是用於識別線上實體(例如網站和伺服器)的數位檔案,以便在網際網路上進行安全通訊。
憑證可確保網路通訊以加密形式私密且不可竄改地在指定的伺服器和用戶端之間傳輸。使用 System Manager,您可以管理主機管理系統上的瀏覽器(作為用戶端)和儲存系統中的控制器(作為伺服器)之間的憑證。
憑證可以由受信任的機構簽名,也可以是自簽名憑證。「簽名」僅僅意味著有人驗證了憑證擁有者的身份,並確定其裝置可信賴。儲存陣列的每個控制器都預先安裝了一個自動產生的自簽名憑證。您可以繼續使用自簽名憑證,也可以取得由憑證授權單位(CA)簽署的憑證,以在控制器和主機系統之間建立更安全的連線。
|
雖然 CA 簽署的憑證能提供更好的安全保護(例如,防止中間人攻擊),但它們也需要付費,如果您的網路規模龐大,費用可能會很高。相比之下,自簽名憑證安全性較低,但它們是免費的。因此,自簽名憑證通常用於內部測試環境,而不是生產環境。 |
已簽署的憑證
已簽署的憑證由憑證授權單位 (CA) 驗證,憑證授權單位是受信任的第三方組織。已簽署的憑證包含有關實體(通常是伺服器或網站)所有者的詳細資訊、憑證核發日期和到期日期、實體的有效網域以及由字母和數字組成的數位簽章。
當您開啟瀏覽器並輸入網址時,系統會在背景執行憑證檢查程序,以判斷您連線的網站是否包含有效的 CA 簽署憑證。一般而言,使用簽署憑證保護的網站會在網址中包含掛鎖圖示和 https 標示。如果您嘗試連線到不包含 CA 簽署憑證的網站,瀏覽器會顯示警告,指出該網站不安全。
在申請過程中,憑證授權單位(CA)會採取措施驗證您的身分。他們可能會向您註冊的公司發送電子郵件,驗證您的公司地址,並執行 HTTP 或 DNS 驗證。申請流程完成後,CA 會向您發送數位文件,供您上傳至主機管理系統。通常,這些文件包含信任鏈,如下所示:
-
Root — 根憑證位於憑證層級結構的頂端,其中包含用於簽署其他憑證的私密金鑰。根憑證標識特定的 CA 組織。如果您對所有網路裝置使用同一個 CA,則只需要一個根憑證。
-
中間證書 ── 從根證書分支出來的是中間證書。CA 頒發一個或多個中間證書,作為受保護的根證書和伺服器證書之間的中間層。
-
伺服器 — 證書鏈的最底層是伺服器證書,它用於標識您的特定實體,例如網站或其他設備。儲存陣列中的每個控制器都需要單獨的伺服器憑證。
自我簽署憑證
儲存陣列中的每個控制器都預先安裝了一個自簽名憑證。自簽名憑證與 CA 簽章憑證類似,差別在於它由實體擁有者而非第三方驗證。與 CA 簽章憑證一樣,自簽名憑證包含其自身的私密金鑰,並確保資料經過加密並透過伺服器和用戶端之間的 HTTPS 連線傳輸。但是,自簽名憑證不使用與 CA 簽章憑證相同的信任鏈。
自簽名憑證不受瀏覽器「信任」。每次嘗試連線到僅包含自簽名憑證的網站時,瀏覽器都會顯示警告訊息。您必須點擊警告訊息中的連結才能繼續造訪該網站;這樣做實際上就等於接受了該自簽名憑證。
用於金鑰管理伺服器的憑證
如果您使用具有 Drive Security 功能的外部金鑰管理伺服器,您也可以管理該伺服器與控制器之間的身份驗證憑證。