憑證的運作方式
憑證是數位檔案、可識別網站和伺服器等線上實體、以便在網際網路上進行安全通訊。
簽署的憑證
憑證可確保Web通訊只能在指定的伺服器與用戶端之間以加密形式私下傳輸且不會變更。使用Unified Manager、您可以管理主機管理系統上瀏覽器的憑證、以及探索到的儲存陣列中的控制器。
憑證可以由信任的授權單位簽署、也可以自行簽署。「簽署」只是指有人驗證擁有者的身分、並判斷其裝置是否值得信任。儲存陣列會在每個控制器上隨附自動產生的自我簽署憑證。您可以繼續使用自我簽署的憑證、或是取得CA簽署的憑證、以便在控制器與主機系統之間建立更安全的連線。
雖然CA簽署的憑證可提供更好的安全保護(例如預防攔截式攻擊)、但如果您的網路規模較大、也需要支付昂貴的費用。相較之下、自我簽署的憑證較不安全、但完全免費。因此、自我簽署的憑證最常用於內部測試環境、而非正式作業環境。 |
已簽署的憑證會由信任的協力廠商組織之憑證授權單位(CA)驗證。簽署的憑證包括實體擁有者(通常是伺服器或網站)、憑證發行日期和到期日期、實體的有效網域、以及由字母和數字組成的數位簽章等詳細資料。
當您開啟瀏覽器並輸入網址時、系統會在背景執行憑證檢查程序、以判斷您是否要連線至內含有效CA簽署憑證的網站。一般而言、以簽署憑證保護的站台會在位址中包含掛鎖圖示和https指定名稱。如果您嘗試連線至不含CA簽署憑證的網站、瀏覽器會顯示網站不安全的警告。
CA會在應用程式處理期間採取步驟來驗證您的身分。他們可能會傳送電子郵件給您的註冊企業、驗證您的公司地址、並執行HTTP或DNS驗證。應用程式程序完成後、CA會傳送數位檔案給您、以便載入主機管理系統。通常、這些檔案包括信任鏈、如下所示:
-
根-階層頂端是根憑證、其中包含用於簽署其他憑證的私密金鑰。根可識別特定的CA組織。如果您的所有網路裝置都使用相同的CA、則只需要一個根憑證。
-
中級:從根目錄下分出的是中繼憑證。CA會發出一或多個中繼憑證、做為受保護根憑證與伺服器憑證之間的中間人。
-
伺服器:在鏈結底部是伺服器憑證、可識別您的特定實體、例如網站或其他裝置。儲存陣列中的每個控制器都需要個別的伺服器憑證。
自我簽署的憑證
儲存陣列中的每個控制器都包含預先安裝的自我簽署憑證。自我簽署的憑證與CA簽署的憑證類似、只是由實體擁有者(而非第三方)驗證。如同CA簽署的憑證、自我簽署的憑證也包含自己的私密金鑰、同時確保資料經過加密、並透過伺服器與用戶端之間的HTTPS連線傳送。
自我簽署的憑證並非瀏覽器的「信任」。每次您嘗試連線至僅包含自我簽署憑證的網站時、瀏覽器都會顯示警告訊息。您必須按一下警告訊息中的連結、以便繼續前往網站;如此一來、您基本上就會接受自我簽署的憑證。
Unified Manager認證
Unified Manager介面會與主機系統上的Web Services Proxy一起安裝。當您開啟瀏覽器並嘗試連線至Unified Manager時、瀏覽器會檢查數位憑證、以驗證主機是否為信任來源。如果瀏覽器找不到伺服器的CA簽署憑證、則會開啟警告訊息。您可以從這裡繼續前往網站、接受該工作階段的自我簽署憑證。或者、您也可以從CA取得已簽署的數位憑證、因此您不會再看到警告訊息。
控制器的憑證
在Unified Manager工作階段期間、當您嘗試存取沒有CA簽署憑證的控制器時、可能會看到其他安全訊息。在此情況下、您可以永久信任自我簽署的憑證、或是匯入控制器的CA簽署憑證、讓Web服務Proxy伺服器能夠驗證這些控制器傳入的用戶端要求。