本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

伺服器憑證的強化準則

貢獻者

您應該使用自己的自訂憑證來取代安裝期間建立的預設憑證。

對於許多組織而言StorageGRID 、自我簽署的數位憑證不符合其資訊安全政策。在正式作業系統上、您應該安裝CA簽署的數位憑證、以用於驗證StorageGRID 功能。

具體而言、您應該使用自訂伺服器憑證、而非下列預設憑證:

  • 管理介面認證:用於安全存取Grid Manager、租戶管理程式、Grid Management API及租戶管理API。

  • * S3和Swift API認證*:用於保護儲存節點和閘道節點的存取安全、S3和Swift用戶端應用程式可用來上傳和下載物件資料。

附註 可分別管理負載平衡器端點所使用的憑證。StorageGRID若要設定負載平衡器憑證、請參閱管理StorageGRID 指令中的設定負載平衡器端點步驟。

使用自訂伺服器憑證時、請遵循下列準則:

  • 憑證應該有一個與DNS項目相符StorageGRID 的「bectAltName」、以供觀賞。如需詳細資料、請參閱第4.2.1.6節「Subject Alternative Name」(主題替代名稱)、請參閱 "RFC 5280:PKIX憑證與CRL設定檔"

  • 如有可能、請避免使用萬用字元憑證。此準則的例外情況是S3虛擬託管樣式端點的憑證、如果儲存區名稱事先不知道、則需要使用萬用字元。

  • 當您必須在憑證中使用萬用字元時、應採取其他步驟來降低風險。請使用萬用字元模式、例如「*.s3.example.com」、不要將「3.example.com」字尾用於其他應用程式。此模式也適用於路徑樣式S3存取、例如「dc1-s1.s3.example.com/mybucket`」。

  • 將憑證到期時間設為短(例如2個月)、然後使用Grid Management API自動執行憑證輪替。這對萬用字元憑證特別重要。

此外、用戶端在與StorageGRID NetApp通訊時、應使用嚴格的主機名稱檢查。