SANtricity Unified Manager 中的憑證運作原理
建議變更
PDF
憑證是用於識別線上實體(例如網站和伺服器)的數位檔案,以便在網際網路上進行安全通訊。
已簽署的憑證
憑證可確保網路通訊以加密形式私密且未經竄改地在指定的伺服器和用戶端之間傳輸。使用 Unified Manager,您可以管理主機管理系統上的瀏覽器憑證以及已發現儲存陣列中的控制器憑證。
憑證可以由受信任的機構簽名,也可以是自簽名憑證。「簽名」僅僅意味著有人驗證了憑證擁有者的身份,並確定其裝置可信賴。儲存陣列的每個控制器都預先安裝了一個自動產生的自簽名憑證。您可以繼續使用自簽名憑證,也可以取得由憑證授權單位(CA)簽署的憑證,以在控制器和主機系統之間建立更安全的連線。
|
雖然 CA 簽署的憑證能提供更好的安全保護(例如,防止中間人攻擊),但它們也需要付費,如果您的網路規模龐大,費用可能會很高。相比之下,自簽名憑證安全性較低,但它們是免費的。因此,自簽名憑證通常用於內部測試環境,而不是生產環境。 |
已簽署的憑證由憑證授權單位 (CA) 驗證,憑證授權單位是受信任的第三方組織。已簽署的憑證包含有關實體(通常是伺服器或網站)所有者的詳細資訊、憑證核發日期和到期日期、實體的有效網域以及由字母和數字組成的數位簽章。
當您開啟瀏覽器並輸入網址時,系統會在背景執行憑證檢查程序,以判斷您連線的網站是否包含有效的 CA 簽署憑證。一般而言,使用簽署憑證保護的網站會在網址中包含掛鎖圖示和 https 標示。如果您嘗試連線到不包含 CA 簽署憑證的網站,瀏覽器會顯示警告,指出該網站不安全。
在申請過程中,憑證授權單位(CA)會採取措施驗證您的身分。他們可能會向您註冊的公司發送電子郵件,驗證您的公司地址,並執行 HTTP 或 DNS 驗證。申請流程完成後,CA 會向您發送數位文件,供您上傳至主機管理系統。通常,這些文件包含信任鏈,如下所示:
-
Root — 根憑證位於憑證層級結構的頂端,其中包含用於簽署其他憑證的私密金鑰。根憑證標識特定的 CA 組織。如果您對所有網路裝置使用同一個 CA,則只需要一個根憑證。
-
中間證書 ── 從根證書分支出來的是中間證書。CA 頒發一個或多個中間證書,作為受保護的根證書和伺服器證書之間的中間層。
-
伺服器 — 證書鏈的最底層是伺服器證書,它用於標識您的特定實體,例如網站或其他設備。儲存陣列中的每個控制器都需要單獨的伺服器憑證。
自我簽署憑證
儲存陣列中的每個控制器都預先安裝了一個自簽名憑證。自簽名憑證與 CA 簽章憑證類似,差別在於它由實體擁有者而非第三方驗證。與 CA 簽章憑證一樣,自簽名憑證包含其自身的私密金鑰,並確保資料經過加密並透過伺服器和用戶端之間的 HTTPS 連線傳輸。
自簽名憑證不受瀏覽器「信任」。每次嘗試連線到僅包含自簽名憑證的網站時,瀏覽器都會顯示警告訊息。您必須點擊警告訊息中的連結才能繼續造訪該網站;這樣做實際上就等於接受了該自簽名憑證。
Unified Manager 的憑證
Unified Manager 介面與 Web Services Proxy 一起安裝在主機系統上。當您開啟瀏覽器並嘗試連線至 Unified Manager 時,瀏覽器會嘗試透過檢查數位憑證來驗證主機是否為可信任來源。如果瀏覽器找不到伺服器的 CA 簽署憑證,則會開啟警告訊息。您可以繼續前往該網站,以接受該工作階段的自我簽署憑證。或者,您可以從 CA 取得簽署的數位憑證,這樣就不會再看到警告訊息。
控制器憑證
在 Unified Manager 工作階段期間,如果您嘗試存取沒有 CA 簽署憑證的控制器,可能會看到額外的安全訊息。在這種情況下,您可以永久信任自我簽署憑證,也可以為控制器匯入 CA 簽署憑證,以便 Web Services Proxy 伺服器可以驗證來自這些控制器的傳入用戶端要求。