此產品有較新版本可以使用。
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。
伺服器憑證的強化準則
貢獻者
建議變更
您應該使用自己的自訂憑證來取代安裝期間建立的預設憑證。
對於許多組織而言StorageGRID 、自我簽署的數位憑證不符合其資訊安全政策。在正式作業系統上、您應該安裝CA簽署的數位憑證、以用於驗證StorageGRID 功能。
具體而言、您應該使用自訂伺服器憑證、而非下列預設憑證:
-
管理介面伺服器憑證:用於安全存取Grid Manager、租戶管理程式、Grid Management API及租戶管理API。
-
物件儲存API服務端點伺服器憑證:用於保護儲存節點和閘道節點的存取安全、S3和Swift用戶端應用程式可用來上傳和下載物件資料。
可分別管理負載平衡器端點所使用的憑證。StorageGRID若要設定負載平衡器憑證、請參閱管理StorageGRID 指令中的設定負載平衡器端點步驟。 |
使用自訂伺服器憑證時、請遵循下列準則:
-
憑證應具有
subjectAltName
這與DNS項目相符StorageGRID 。如需詳細資料、請參閱第4.2.1.6節「Subject Alternative Name」(主題替代名稱)、請參閱 "RFC 5280:PKIX憑證與CRL設定檔"。 -
如有可能、請避免使用萬用字元憑證。此準則的例外情況是S3虛擬託管樣式端點的憑證、如果儲存區名稱事先不知道、則需要使用萬用字元。
-
當您必須在憑證中使用萬用字元時、應採取其他步驟來降低風險。使用萬用字元模式、例如
*.s3.example.com
、且請勿使用s3.example.com
其他應用程式的字尾。此模式也適用於路徑樣式S3存取、例如dc1-s1.s3.example.com/mybucket
。 -
將憑證到期時間設為短(例如2個月)、然後使用Grid Management API自動執行憑證輪替。這對萬用字元憑證特別重要。
此外、用戶端在與StorageGRID NetApp通訊時、應使用嚴格的主機名稱檢查。