Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

管理安全證書

PDF

安全性憑證是用於在StorageGRID組件之間以及StorageGRID組件與外部系統之間建立安全、可信任連接的小型資料檔案。

StorageGRID使用兩種類型的安全性憑證:

  • 使用 HTTPS 連線時需要*伺服器憑證*。伺服器憑證用於在客戶端和伺服器之間建立安全連接,向客戶端驗證伺服器的身份並為資料提供安全通訊路徑。伺服器和客戶端各自擁有一份憑證副本。

  • *用戶端憑證*向伺服器驗證用戶端或使用者身份,提供比單獨使用密碼更安全的身份驗證。客戶端證書不加密資料。

當客戶端使用 HTTPS 連接到伺服器時,伺服器會使用包含公鑰的伺服器憑證進行回應。用戶端透過將伺服器簽章與其憑證副本上的簽章進行比較來驗證此憑證。如果簽章匹配,客戶端將使用相同的公鑰與伺服器開始會話。

StorageGRID可作為某些連線(例如負載平衡器端點)的伺服器,或充當其他連線(例如 CloudMirror 複製服務)的用戶端。

預設網格 CA 憑證

StorageGRID包括一個內建憑證授權單位 (CA),它在系統安裝期間產生內部 Grid CA 憑證。預設情況下,使用 Grid CA 憑證來保護內部StorageGRID流量。外部憑證授權單位 (CA) 可以頒發完全符合您組織的資訊安全策略的自訂憑證。雖然您可以在非生產環境中使用 Grid CA 證書,但生產環境的最佳做法是使用外部憑證授權單位簽署的自訂憑證。也支援沒有證書的不安全連接,但不建議。

  • 自訂 CA 憑證不會刪除內部憑證;但是,自訂憑證應該是用於驗證伺服器連線的憑證。

  • 所有客製化證書必須滿足"伺服器證書的系統強化指南"

  • StorageGRID支援將來自 CA 的憑證捆綁到單一檔案中(稱為 CA 憑證包)。

註 StorageGRID還包括所有網格上相同的作業系統 CA 憑證。在生產環境中,請確保指定由外部憑證授權單位簽署的自訂憑證來取代作業系統 CA 憑證。

伺服器和客戶端憑證類型的變體以多種方式實現。在配置系統之前,您應該準備好特定StorageGRID配置所需的所有憑證。

存取安全憑證

您可以在單一位置存取有關所有StorageGRID憑證的信息,以及每個憑證的設定工作流程的連結。

步驟

  1. 從網格管理器中,選擇 配置 > 安全性 > 證書

    證書頁面

  2. 選擇「證書」頁面上的標籤以取得有關每個證書類別的資訊並存取證書設定。如果您有"適當的許可"

    • 全域:保護從 Web 瀏覽器和外部 API 用戶端存取StorageGRID 的安全性。

    • Grid CA:保護內部StorageGRID流量。

    • 客戶端:保護外部客戶端和StorageGRID Prometheus 資料庫之間的連線。

    • 負載平衡器端點:保護 S3 用戶端與StorageGRID負載平衡器之間的連線。

    • 租用戶:保護與身分識別聯合伺服器或從平台服務端點到 S3 儲存資源的連線。

    • 其他:保護需要特定憑證的StorageGRID連線。

      下面描述了每個選項卡,並提供了指向其他證書詳細資訊的連結。

    全球的

    全域憑證可確保從 Web 瀏覽器和外部 S3 API 用戶端存取StorageGRID 的安全性。在安裝過程中, StorageGRID憑證授權單位最初會產生兩個全域憑證。生產環境的最佳實踐是使用由外部憑證授權單位簽署的自訂憑證。

    • 管理介面證書:保護客戶端 Web 瀏覽器與StorageGRID管理介面的連線。

    • S3 API 證書:保護客戶端 API 與儲存節點、管理節點和網關節點的連接,S3 用戶端應用程式使用這些連接上傳和下載物件資料。

    有關已安裝的全域憑證的資訊包括:

    • 名稱:證書名稱以及證書管理連結。

    • 描述

    • 類型:自訂或預設。 + 您應該始終使用自訂憑證來提高電網安全性。

    • 到期日:如果使用預設證書,則不顯示到期日。

    你可以:

    網格CA

    網格CA證書由StorageGRID憑證授權單位在StorageGRID安裝期間生成,可保護所有內部StorageGRID流量。

    證書資訊包括證書有效期限、證書內容等。

    你可以"複製或下載 Grid CA 憑證",但您無法更改它。

    用戶端

    客戶端憑證由外部憑證授權單位生成,確保外部監控工具與StorageGRID Prometheus 資料庫之間的連線安全。

    證書表為每個配置的用戶端證書都有一行,並指示該證書是否可用於 Prometheus 資料庫訪問,以及證書到期日。

    你可以:

    負載平衡器端點

    負載平衡器端點憑證保護 S3 用戶端與網關節點和管理節點上的StorageGRID負載平衡器服務之間的連線。

    負載平衡器端點表為每個配置的負載平衡器端點都有一行,並指示該端點是否使用全域 S3 API 憑證或自訂負載平衡器端點憑證。也會顯示每個憑證的到期日期。

    註 端點憑證的變更可能需要長達 15 分鐘才能套用到所有節點。

    你可以:

    租戶

    租戶可以使用身份聯合伺服器憑證或者平台服務端點憑證以確保與StorageGRID 的連線安全。

    租戶表為每個租戶分配一行,並指示每個租戶是否有權使用自己的身份來源或平台服務。

    你可以:

    其他

    StorageGRID使用其他安全性憑證來達到特定目的。這些證書按其功能名稱列出。其他安全性憑證包括:

    資訊指示功能使用的憑證類型及其伺服器和用戶端憑證到期日期(如適用)。選擇函數名稱將開啟一個瀏覽器選項卡,您可以在其中查看和編輯憑證詳細資訊。

    註 僅當您擁有"適當的許可"

    你可以:

安全證書詳細信息

以下描述了每種類型的安全證書,並附有實施說明的連結。

管理介面證書

證書類型 描述 導航位置 細節

伺服器

驗證用戶端 Web 瀏覽器與StorageGRID管理介面之間的連接,允許使用者存取網格管理器和租用戶管理器而不會出現安全警告。

此憑證還驗證網格管理 API 和租用戶管理 API 連線。

您可以使用安裝期間建立的預設憑證或上傳自訂憑證。

設定 > 安全 > 憑證,選擇 全域 選項卡,然後選擇 管理介面憑證

"設定管理介面證書"

S3 API 證書

證書類型 描述 導航位置 細節

伺服器

驗證與儲存節點和負載平衡器端點的安全 S3 用戶端連線(可選)。

設定 > 安全 > 憑證,選擇 全域 選項卡,然後選擇 S3 API 憑證

"配置 S3 API 證書"

網格CA證書

查看預設網格 CA 憑證描述

管理員客戶端憑證

證書類型 描述 導航位置 細節

用戶端

安裝在每個客戶端上,允許StorageGRID驗證外部客戶端存取。

  • 允許授權的外部用戶端存取StorageGRID Prometheus 資料庫。

  • 允許使用外部工具對StorageGRID進行安全監控。

配置 > 安全性 > 憑證,然後選擇 用戶端 選項卡

"設定客戶端證書"

負載平衡器端點憑證

證書類型 描述 導航位置 細節

伺服器

驗證 S3 用戶端與網關節點和管理節點上的StorageGRID負載平衡器服務之間的連線。您可以在設定負載平衡器端點時上傳或產生負載平衡器憑證。用戶端應用程式在連接到StorageGRID以儲存和檢索物件資料時使用負載平衡器憑證。

您也可以使用全域的自訂版本S3 API 證書憑證來驗證與負載平衡器服務的連線。如果使用全域憑證來驗證負載平衡器連接,則無需為每個負載平衡器端點上傳或產生單獨的憑證。

*注意:*用於負載平衡器驗證的憑證是正常StorageGRID作業期間使用最多的憑證。

配置 > 網路 > 負載平衡器端點

雲端儲存池端點憑證

證書類型 描述 導航位置 細節

伺服器

驗證從StorageGRID雲端儲存池到外部儲存位置(例如 S3 Glacier 或 Microsoft Azure Blob 儲存體)的連線。每種雲端提供者類型都需要不同的憑證。

ILM > 儲存池

"建立雲端儲存池"

電子郵件警報通知證書

證書類型 描述 導航位置 細節

伺服器和客戶端

驗證用於警報通知的 SMTP 電子郵件伺服器和StorageGRID之間的連線。

  • 如果與 SMTP 伺服器的通訊需要傳輸層安全性 (TLS),則必須指定電子郵件伺服器 CA 憑證。

  • 僅當 SMTP 電子郵件伺服器需要用戶端憑證進行驗證時才指定用戶端憑證。

警報 > 電子郵件設定

"設定警報的電子郵件通知"

外部系統日誌伺服器證書

證書類型 描述 導航位置 細節

伺服器

對在StorageGRID中記錄事件的外部系統日誌伺服器之間的 TLS 或 RELP/TLS 連線進行驗證。

*注意:*與外部系統日誌伺服器的 TCP、RELP/TCP 和 UDP 連線不需要外部系統日誌伺服器憑證。

配置 > 監控 > 審計和系統日誌伺服器

"使用外部系統日誌伺服器"

電網聯合連接憑證

證書類型 描述 導航位置 細節

伺服器和客戶端

對目前StorageGRID系統和網格聯合連接中的另一個網格之間所傳送的資訊進行驗證和加密。

配置 > 系統 > 網格聯合

身分聯合憑證

證書類型 描述 導航位置 細節

伺服器

驗證StorageGRID與外部身分提供者(例如 Active Directory、OpenLDAP 或 Oracle Directory Server)之間的連線。用於身分聯合,允許管理群組和使用者由外部系統管理。

配置 > 存取控制 > 身份聯合

"使用身分聯合"

金鑰管理伺服器 (KMS) 證書

證書類型 描述 導航位置 細節

伺服器和客戶端

驗證StorageGRID與外部金鑰管理伺服器 (KMS) 之間的連接,該伺服器為StorageGRID設備節點提供加密金鑰。

配置 > 安全 > 金鑰管理伺服器

"新增金鑰管理伺服器(KMS)"

平台服務端點憑證

證書類型 描述 導航位置 細節

伺服器

驗證從StorageGRID平台服務到 S3 儲存資源的連線。

租用戶管理員 > 儲存 (S3) > 平台服務端點

"創建平台服務端點"

"編輯平台服務端點"

單一登入 (SSO) 證書

證書類型 描述 導航位置 細節

伺服器

驗證用於單一登入 (SSO) 請求的身份聯合服務(例如 Active Directory 聯合驗證服務 (AD FS))和StorageGRID之間的連線。

配置 > 存取控制 > 單一登入

"配置單一登入"

證書範例

範例 1:負載平衡器服務

在此範例中, StorageGRID充當伺服器。

  1. 您設定負載平衡器端點並在StorageGRID中上傳或產生伺服器憑證。

  2. 您配置與負載平衡器端點的 S3 用戶端連接,並將相同的憑證上傳到用戶端。

  3. 當客戶端想要儲存或檢索資料時,它使用 HTTPS 連接到負載平衡器端點。

  4. StorageGRID使用包含公鑰的伺服器憑證和基於私密金鑰的簽章進行回應。

  5. 用戶端透過將伺服器簽章與其憑證副本上的簽章進行比較來驗證此憑證。如果簽章匹配,客戶端將使用相同的公鑰開始會話。

  6. 客戶端將物件資料傳送到StorageGRID。

範例 2:外部金鑰管理伺服器 (KMS)

在此範例中, StorageGRID充當用戶端。

  1. 使用外部金鑰管理伺服器軟體,您可以將StorageGRID設定為 KMS 用戶端並取得 CA 簽署的伺服器憑證、公用用戶端憑證以及用戶端憑證的私密金鑰。

  2. 使用網格管理器,您可以設定 KMS 伺服器並上傳伺服器和用戶端憑證以及用戶端私鑰。

  3. 當StorageGRID節點需要加密金鑰時,它會向 KMS 伺服器發出請求,其中包含來自憑證的資料和基於私密金鑰的簽章。

  4. KMS 伺服器驗證憑證簽章並決定它可以信任StorageGRID。

  5. KMS 伺服器使用已驗證的連線進行回應。