本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

關於安全性憑證

貢獻者

安全證書是小型資料檔案、用於在StorageGRID 各個元件之間、StorageGRID 以及在各個元件與外部系統之間建立安全且值得信賴的連線。

使用兩種類型的安全性憑證:StorageGRID

  • 使用HTTPS連線時需要伺服器憑證。伺服器憑證用於在用戶端和伺服器之間建立安全連線、驗證伺服器的用戶端身分、並提供安全的資料通訊路徑。伺服器和用戶端各有一份憑證複本。

  • *用戶端憑證*驗證伺服器的用戶端或使用者身分、提供比僅密碼更安全的驗證。用戶端憑證不會加密資料。

當用戶端使用HTTPS連線至伺服器時、伺服器會以含有公開金鑰的伺服器憑證回應。用戶端會將伺服器簽章與憑證複本上的簽章進行比較、藉此驗證此憑證。如果簽名相符、用戶端會使用相同的公開金鑰啟動與伺服器的工作階段。

充當某些連線(例如負載平衡器端點)的伺服器、或作為其他連線(例如CloudMirror複寫服務)的用戶端。StorageGRID

預設Grid CA憑證

包含內建的憑證授權單位(CA)、可在系統安裝期間產生內部Grid CA憑證。StorageGRID根據預設、Grid CA憑證用於保護內部StorageGRID 的不穩定流量。外部憑證授權單位(CA)可核發完全符合組織資訊安全原則的自訂憑證。雖然您可以將Grid CA憑證用於非正式作業環境、但正式作業環境的最佳做法是使用外部憑證授權單位所簽署的自訂憑證。不具證書的不安全連線也受到支援、但不建議使用。

  • 自訂CA憑證不會移除內部憑證;不過、自訂憑證應該是為驗證伺服器連線所指定的憑證。

  • 所有自訂憑證都必須符合 系統強化準則 適用於伺服器憑證。

  • 支援將CA的憑證整合至單一檔案(稱為CA憑證套件)StorageGRID 。

附註 此外、還包括所有網格上相同的作業系統CA憑證。StorageGRID在正式作業環境中、請務必指定由外部憑證授權單位簽署的自訂憑證、以取代作業系統CA憑證。

伺服器和用戶端憑證類型的變種會以多種方式實作。在設定系統之前、您應該StorageGRID 準備好特定的支援功能組態所需的所有憑證。

存取安全性憑證

您可以在StorageGRID 單一位置存取所有的資訊、以及每個憑證的組態工作流程連結。

  1. 從Grid Manager中選擇*組態設定*>*安全性*>*憑證*。

    「憑證」頁面
  2. 選取「憑證」頁面上的索引標籤、以取得每個憑證類別的相關資訊、並存取憑證設定。您只能在擁有適當權限的情況下存取索引標籤。

    • 全球:保護StorageGRID 從網頁瀏覽器和外部API用戶端進行的不受限存取。

    • * Grid CA*:保護內部StorageGRID 的不安全流量。

    • 用戶端:保護外部用戶端與StorageGRID 《The S動estetheus資料庫》之間的連線。

    • 負載平衡器端點:保護S3和Swift用戶端與StorageGRID 「平衡負載平衡器」之間的連線。

    • 租戶:保護連線至身分識別聯盟伺服器、或從平台服務端點到S3儲存資源的安全。

    • 其他:保護StorageGRID 需要特定憑證的不實連線。

    每個索引標籤都會在下方說明、並提供其他憑證詳細資料的連結。

全域

全域認證可從StorageGRID 網頁瀏覽器、外部S3和Swift API用戶端安全地進行不受限的存取。安裝期間、由版本資訊驗證機構產生兩個全域憑證StorageGRID 。正式作業環境的最佳實務做法是使用外部憑證授權單位簽署的自訂憑證。

安裝的全域憑證相關資訊包括:

  • 名稱:憑證名稱、含管理憑證的連結。

  • 說明

  • 類型:自訂或預設。+您應該永遠使用自訂憑證來改善網格安全性。

  • 到期日:如果使用預設憑證、則不會顯示到期日。

您可以:

網格CA

Grid CA憑證由安裝過程中的驗證機關所產生、StorageGRID 可保護所有內部的資訊流量。StorageGRID StorageGRID

憑證資訊包括憑證到期日和憑證內容。

您可以 複製或下載Grid CA憑證,但您無法加以變更。

用戶端

用戶端憑證由外部憑證授權單位所產生、可確保外部監控工具與StorageGRID VMware資料庫之間的連線安全無虞。

憑證表格中有一列用於每個已設定的用戶端憑證、並指出該憑證是否可用於Prometheus資料庫存取、以及憑證到期日。

您可以:

負載平衡器端點

負載平衡器端點憑證上傳或產生時、請確保S3和Swift用戶端之間的連線安全、並確保StorageGRID 閘道節點和管理節點上的「穩定負載平衡器」服務安全無虞。

負載平衡器端點表針對每個已設定的負載平衡器端點都有一列、可指出端點是使用全域S3和Swift API憑證、還是使用自訂負載平衡器端點憑證。也會顯示每個憑證的到期日。

附註 對端點憑證所做的變更、可能需要15分鐘才能套用至所有節點。

您可以:

租戶

租戶可以使用 身分識別聯盟伺服器憑證平台服務端點憑證 使用StorageGRID NetApp保護連線安全。

租戶表格會針對每個租戶顯示一列、並指出每個租戶是否有權使用自己的身分識別來源或平台服務。

您可以:

其他

針對特定用途使用其他安全性憑證。StorageGRID這些憑證會依其功能名稱列出。其他安全性憑證包括:

資訊指出功能使用的憑證類型、以及適用的伺服器和用戶端憑證到期日。選取功能名稱會開啟瀏覽器索引標籤、您可以在其中檢視及編輯憑證詳細資料。

附註 您只能在擁有適當權限的情況下檢視及存取其他憑證的資訊。

您可以:

安全性憑證詳細資料

每種類型的安全性憑證都會在下方說明、並附上包含實作指示的文章連結。

管理介面認證

憑證類型 說明 導覽位置 詳細資料

伺服器

驗證用戶端網頁瀏覽器與StorageGRID RealSet管理介面之間的連線、讓使用者能夠存取Grid Manager和Tenant Manager、而不會出現安全性警告。

此憑證也會驗證Grid Management API和租戶管理API連線。

您可以使用安裝期間建立的預設憑證、或是上傳自訂憑證。

組態>*安全性*>*憑證*、選取*全域*索引標籤、然後選取*管理介面憑證*

S3和Swift API認證

憑證類型 說明 導覽位置 詳細資料

伺服器

驗證安全S3或Swift用戶端連線至儲存節點、閘道節點上已過時的連線負載平衡器(CLB)服務、以及負載平衡器端點(選用)。

組態>*安全性*>*憑證*、選取*全域*索引標籤、然後選取* S3和Swift API憑證*

Grid CA憑證

系統管理員用戶端憑證

憑證類型 說明 導覽位置 詳細資料

用戶端

安裝在每個用戶端上、StorageGRID 讓功能驗證外部用戶端存取。

  • 允許授權的外部用戶端存取StorageGRID 《The WilsPrometheus資料庫》。

  • 允許StorageGRID 使用外部工具安全監控功能。

組態>*安全性*>*憑證*、然後選取*用戶端*索引標籤

負載平衡器端點憑證

憑證類型 說明 導覽位置 詳細資料

伺服器

驗證S3或Swift用戶端之間的連線、StorageGRID 以及閘道節點和管理節點上的「RealsLoad Balancer」服務。您可以在設定負載平衡器端點時上傳或產生負載平衡器憑證。用戶端應用程式在連線StorageGRID 至物件資料時、會使用負載平衡器憑證來儲存及擷取物件資料。

您也可以使用全域的自訂版本 [S3 and Swift API certificate] 用於驗證負載平衡器服務連線的憑證。如果使用全域憑證來驗證負載平衡器連線、則不需要上傳或為每個負載平衡器端點產生個別的憑證。

*附註:*用於負載平衡器驗證的憑證、是正常StorageGRID 執行過程中最常使用的憑證。

組態>*網路*>*負載平衡器端點*

身分識別聯盟憑證

憑證類型 說明 導覽位置 詳細資料

伺服器

驗證StorageGRID Reality與外部身分識別供應商(例如Active Directory、OpenLDAP或Oracle Directory Server)之間的連線。用於身分識別聯盟、可讓管理員群組和使用者由外部系統管理。

組態>*存取控制*>*身分識別聯盟*

平台服務端點憑證

憑證類型 說明 導覽位置 詳細資料

伺服器

驗證StorageGRID 從SReals功能 平台服務到S3儲存資源的連線。

租戶管理程式>*儲存設備(S3)>*平台服務端點

雲端儲存資源池端點憑證

憑證類型 說明 導覽位置 詳細資料

伺服器

驗證StorageGRID 從Ss3 Glacier或Microsoft Azure Blob儲存設備等外部儲存位置的連接。每種雲端供應商類型都需要不同的憑證。

  • ILM >*儲存資源池

金鑰管理伺服器(KMS)憑證

憑證類型 說明 導覽位置 詳細資料

伺服器與用戶端

驗證StorageGRID 支援功能與外部金鑰管理伺服器(KMS)之間的連線、此伺服器可為StorageGRID 應用裝置節點提供加密金鑰。

組態>*安全性*>*金鑰管理伺服器*

單一登入(SSO)憑證

憑證類型 說明 導覽位置 詳細資料

伺服器

驗證身分識別聯盟服務(例如Active Directory Federation Services(AD FS))和StorageGRID 用來處理單一登入(SSO)要求的支援服務之間的連線。

組態>*存取控制*>*單一登入*

電子郵件警示通知憑證

憑證類型 說明 導覽位置 詳細資料

伺服器與用戶端

驗證用於StorageGRID 警示通知的SMTP電子郵件伺服器與功能鏈之間的連線。

  • 如果與SMTP伺服器的通訊需要傳輸層安全性(TLS)、您必須指定電子郵件伺服器CA憑證。

  • 只有在SMTP電子郵件伺服器需要用戶端憑證進行驗證時、才指定用戶端憑證。

警示>*電子郵件設定*

外部syslog伺服器憑證

憑證類型 說明 導覽位置 詳細資料

伺服器

驗證外部syslog伺服器之間的TLS或RELP/TLS連線、該伺服器會將事件記錄StorageGRID 在整個過程中。

*附註:*不需要外部系統記錄伺服器憑證、就能連接到外部系統記錄伺服器的TCP、RELP/TCP及udp連線。

組態>*監控*>*稽核與系統記錄伺服器*、然後選取*設定外部系統記錄伺服器*

憑證範例

範例1:負載平衡器服務

在此範例中StorageGRID 、用作伺服器的是功能。

  1. 您可以設定負載平衡器端點、並在StorageGRID 中上傳或產生伺服器憑證。

  2. 您可以設定S3或Swift用戶端連線至負載平衡器端點、然後將相同的憑證上傳至用戶端。

  3. 當用戶端想要儲存或擷取資料時、會使用HTTPS連線至負載平衡器端點。

  4. 以伺服器憑證做出回應、其中包含公開金鑰、並以私密金鑰為基礎提供簽名。StorageGRID

  5. 用戶端會將伺服器簽章與憑證複本上的簽章進行比較、藉此驗證此憑證。如果簽名相符、用戶端就會使用相同的公開金鑰來啟動工作階段。

  6. 用戶端會將物件資料傳送StorageGRID 至物件資料。

範例2:外部金鑰管理伺服器(KMS)

在此範例中StorageGRID 、由客戶扮演的角色就是

  1. 使用外部金鑰管理伺服器軟體、您可以將StorageGRID 效能設定為KMS用戶端、並取得CA簽署的伺服器憑證、公用用戶端憑證及用戶端憑證的私密金鑰。

  2. 您可以使用Grid Manager設定KMS伺服器、並上傳伺服器和用戶端憑證及用戶端私密金鑰。

  3. 當某個節點需要加密金鑰時、它會向KMS伺服器提出要求、要求其中包含來自憑證的資料、以及以私密金鑰為基礎的簽名。StorageGRID

  4. KMS伺服器會驗證憑證簽章、並決定其是否值得信賴StorageGRID 。

  5. KMS伺服器會使用已驗證的連線來回應。