使用StorageGRID 資訊安全認證
安全證書是小型資料檔案、用於在StorageGRID 各個元件之間、StorageGRID 以及在各個元件與外部系統之間建立安全且值得信賴的連線。
使用兩種類型的安全性憑證:StorageGRID
-
使用HTTPS連線時需要伺服器憑證。伺服器憑證用於在用戶端和伺服器之間建立安全連線、驗證伺服器的用戶端身分、並提供安全的資料通訊路徑。伺服器和用戶端各有一份憑證複本。
-
*用戶端憑證*驗證伺服器的用戶端或使用者身分、提供比僅密碼更安全的驗證。用戶端憑證不會加密資料。
當用戶端使用HTTPS連線至伺服器時、伺服器會以含有公開金鑰的伺服器憑證回應。用戶端會將伺服器簽章與憑證複本上的簽章進行比較、藉此驗證此憑證。如果簽名相符、用戶端會使用相同的公開金鑰啟動與伺服器的工作階段。
充當某些連線(例如負載平衡器端點)的伺服器、或作為其他連線(例如CloudMirror複寫服務)的用戶端。StorageGRID
外部憑證授權單位(CA)可核發完全符合組織資訊安全原則的自訂憑證。此外、還包括內建的憑證授權單位(CA)、可在系統安裝期間產生內部CA憑證StorageGRID 。根據預設、這些內部CA憑證是用來保護內部StorageGRID 的不穩定流量。雖然您可以將內部CA憑證用於非正式作業環境、但正式作業環境的最佳做法是使用外部憑證授權單位所簽署的自訂憑證。不具證書的不安全連線也受到支援、但不建議使用。
-
自訂CA憑證不會移除內部憑證;不過、自訂憑證應該是為驗證伺服器連線所指定的憑證。
-
所有自訂憑證都必須符合伺服器憑證的系統強化準則。
-
支援將CA的憑證整合至單一檔案(稱為CA憑證套件)StorageGRID 。
此外、還包括所有網格上相同的作業系統CA憑證。StorageGRID在正式作業環境中、請務必指定由外部憑證授權單位簽署的自訂憑證、以取代作業系統CA憑證。 |
伺服器和用戶端憑證類型的變種會以多種方式實作。在設定系統之前、您應該StorageGRID 準備好特定的支援功能組態所需的所有憑證。
憑證 | 憑證類型 | 說明 | 導覽位置 | 詳細資料 |
---|---|---|---|---|
系統管理員用戶端憑證 |
用戶端 |
安裝在每個用戶端上、StorageGRID 讓功能驗證外部用戶端存取。
|
組態>*存取控制*>*用戶端憑證* |
|
身分識別聯盟憑證 |
伺服器 |
驗證StorageGRID Reality與外部Active Directory、OpenLDAP或Oracle Directory Server之間的連線。用於身分識別聯盟、可讓管理員群組和使用者由外部系統管理。 |
組態>*存取控制*>*身分識別聯盟* |
|
單一登入(SSO)憑證 |
伺服器 |
驗證Active Directory Federation Services(AD FS)與StorageGRID 用於單一登入(SSO)要求的功能之間的連線。 |
組態>*存取控制*>*單一登入* |
|
金鑰管理伺服器(KMS)憑證 |
伺服器與用戶端 |
驗證StorageGRID 支援功能與外部金鑰管理伺服器(KMS)之間的連線、此伺服器可為StorageGRID 應用裝置節點提供加密金鑰。 |
組態>*系統設定*>*金鑰管理伺服器* |
|
電子郵件警示通知憑證 |
伺服器與用戶端 |
驗證用於StorageGRID 警示通知的SMTP電子郵件伺服器與功能鏈之間的連線。
|
警示>*電子郵件設定* |
|
負載平衡器端點憑證 |
伺服器 |
驗證S3或Swift用戶端之間的連線、以及StorageGRID 閘道節點或管理節點上的「SSecure Load Balancer」服務。當您設定負載平衡器端點時、您可以上傳或產生負載平衡器憑證。用戶端應用程式在連線StorageGRID 至時、會使用負載平衡器憑證來儲存及擷取物件資料。 *附註:*負載平衡器憑證是正常StorageGRID 執行過程中最常使用的憑證。 |
組態>*網路設定*>*負載平衡器端點* |
|
管理介面伺服器憑證 |
伺服器 |
驗證用戶端網頁瀏覽器與StorageGRID RealSet管理介面之間的連線、讓使用者能夠存取Grid Manager和Tenant Manager、而不會出現安全性警告。 此憑證也會驗證Grid Management API和租戶管理API連線。 您可以使用內部CA憑證或上傳自訂憑證。 |
組態>*網路設定*>*伺服器憑證* |
|
雲端儲存資源池端點憑證 |
伺服器 |
驗證StorageGRID 從「支援不支援的雲端儲存資源池」到外部儲存位置(例如S3 Glacier或Microsoft Azure Blob儲存設備)的連線。每種雲端供應商類型都需要不同的憑證。 |
|
|
平台服務端點憑證 |
伺服器 |
驗證StorageGRID 從SReals功能 平台服務到S3儲存資源的連線。 |
租戶管理程式>*儲存設備(S3)>*平台服務端點 |
|
物件儲存API服務端點伺服器憑證 |
伺服器 |
驗證安全S3或Swift用戶端連線至儲存節點上的本機發佈路由器(LDR)服務、或閘道節點上已過時的連線負載平衡器(CLB)服務。 |
組態>*網路設定*>*負載平衡器端點* |
範例1:負載平衡器服務
在此範例中StorageGRID 、用作伺服器的是功能。
-
您可以設定負載平衡器端點、並在StorageGRID 中上傳或產生伺服器憑證。
-
您可以設定S3或Swift用戶端連線至負載平衡器端點、然後將相同的憑證上傳至用戶端。
-
當用戶端想要儲存或擷取資料時、會使用HTTPS連線至負載平衡器端點。
-
以伺服器憑證做出回應、其中包含公開金鑰、並以私密金鑰為基礎提供簽名。StorageGRID
-
用戶端會將伺服器簽章與憑證複本上的簽章進行比較、藉此驗證此憑證。如果簽名相符、用戶端就會使用相同的公開金鑰來啟動工作階段。
-
用戶端會將物件資料傳送StorageGRID 至物件資料。
範例2:外部金鑰管理伺服器(KMS)
在此範例中StorageGRID 、由客戶扮演的角色就是
-
使用外部金鑰管理伺服器軟體、您可以將StorageGRID 效能設定為KMS用戶端、並取得CA簽署的伺服器憑證、公用用戶端憑證及用戶端憑證的私密金鑰。
-
您可以使用Grid Manager設定KMS伺服器、並上傳伺服器和用戶端憑證及用戶端私密金鑰。
-
當某個節點需要加密金鑰時、它會向KMS伺服器提出要求、要求其中包含來自憑證的資料、以及以私密金鑰為基礎的簽名。StorageGRID
-
KMS伺服器會驗證憑證簽章、並決定其是否值得信賴StorageGRID 。
-
KMS伺服器會使用已驗證的連線來回應。