瞭解如何在 StorageGRID 中實作 HTTPS 的 SSL 憑證
瞭解在 StorageGRID 中實作 SSL 憑證的重要性和步驟。
如果您使用 HTTPS 、則必須擁有安全通訊端層( SSL )憑證。SSL 通訊協定會識別用戶端和端點、並將它們驗證為信任的。SSL 也能加密流量。SSL 憑證必須由用戶端信任。若要達成此目的、 SSL 憑證可以來自全球信任的憑證授權單位( CA )、例如 DigiCert 、在基礎架構中執行的私有 CA 、或是主機產生的自我簽署憑證。
使用全域信任的 CA 憑證是首選方法、因為不需要額外的用戶端端動作。憑證會載入負載平衡器或 StorageGRID 、而用戶端則信任並連線至端點。
使用私有 CA 需要將根憑證和所有次級憑證新增至用戶端。信任私有 CA 憑證的程序可能會因用戶端作業系統和應用程式而異。例如、在 ONTAP for FabricPool 中、您必須將鏈中的每個憑證(根憑證、次級憑證、端點憑證)個別上傳至 ONTAP 叢集。
使用自我簽署的憑證需要用戶端信任提供的憑證、而不需要任何 CA 來驗證其真實性。有些應用程式可能不接受自我簽署的憑證、也無法忽略驗證。
SSL 憑證在用戶端負載平衡器 StorageGRID 路徑中的放置位置取決於您需要 SSL 終止的位置。您可以將負載平衡器設定為用戶端的終止端點、然後使用新的 SSL 憑證將負載平衡器重新加密或熱加密至 StorageGRID 連線。或者、您也可以通過流量、讓 StorageGRID 成為 SSL 終止端點。如果負載平衡器是 SSL 終止端點、則該憑證會安裝在負載平衡器上、其中包含 DNS 名稱 /URL 的主體名稱、以及任何其他將用戶端設定為透過負載平衡器連線至 StorageGRID 目標的 URL/DNS 名稱、 包括任何萬用字元名稱。如果負載平衡器設定為通過、則必須在 StorageGRID 中安裝 SSL 憑證。同樣地、憑證必須包含 DNS 名稱 /URL 的主體名稱、以及任何其他設定用戶端透過負載平衡器連線至 StorageGRID 目標的 URL/DNS 名稱、包括任何萬用字元名稱。不需要在憑證中包含個別的儲存節點名稱、只有端點 URL 。