NetApp S3 Mode D'emploi page 27

Utilisation des certificats de sécurité StorageGRID
Les certificats de sécurité sont de petits fichiers de données utilisés pour créer des
connexions sécurisées et fiables entre les composants StorageGRID et entre les
composants StorageGRID et les systèmes externes.
StorageGRID utilise deux types de certificats de sécurité :
• Les certificats de serveur sont requis lorsque vous utilisez des connexions HTTPS. Les certificats de
serveur permettent d'établir des connexions sécurisées entre les clients et les serveurs, d'authentifier
l'identité d'un serveur pour ses clients et de fournir un chemin de communication sécurisé pour les
données. Le serveur et le client ont chacun une copie du certificat.
• Certificats client authentifiez une identité client ou utilisateur au serveur, fournissant une authentification
plus sécurisée que les mots de passe seuls. Les certificats client ne cryptent pas les données.
Lorsqu'un client se connecte au serveur via HTTPS, le serveur répond avec le certificat du serveur, qui
contient une clé publique. Le client vérifie ce certificat en comparant la signature du serveur à la signature
figurant sur sa copie du certificat. Si les signatures correspondent, le client démarre une session avec le
serveur en utilisant la même clé publique.
StorageGRID fonctionne comme serveur pour certaines connexions (par exemple, le point de terminaison de
l'équilibreur de charge) ou comme client pour d'autres connexions (par exemple, le service de réplication
CloudMirror).
Une autorité de certification externe peut émettre des certificats personnalisés qui sont entièrement conformes
aux politiques de sécurité des informations de votre entreprise. StorageGRID inclut également une autorité de
certification intégrée qui génère des certificats CA internes lors de l'installation du système. Ces certificats
d'autorité de certification internes sont utilisés par défaut pour sécuriser le trafic StorageGRID interne. Bien
que vous puissiez utiliser les certificats d'autorité de certification internes pour un environnement non productif,
la meilleure pratique pour un environnement de production consiste à utiliser des certificats personnalisés
signés par une autorité de certification externe. Les connexions non sécurisées sans certificat sont également
prises en charge mais ne sont pas recommandées.
• Les certificats d'autorité de certification personnalisés ne suppriment pas les certificats internes ;
cependant, les certificats personnalisés doivent être ceux spécifiés pour vérifier les connexions du serveur.
• Tous les certificats personnalisés doivent respecter les directives de renforcement du système pour les
certificats de serveur.
"Durcissement du système"
• StorageGRID prend en charge le regroupement de certificats d'une autorité de certification dans un seul
fichier (appelé bundle de certificats d'autorité de certification).
StorageGRID inclut également des certificats CA du système d'exploitation identiques sur toutes
les grilles. Dans les environnements de production, assurez-vous de spécifier un certificat
personnalisé signé par une autorité de certification externe à la place du certificat d'autorité de
certification du système d'exploitation.
Les variantes du serveur et des types de certificats client sont mises en œuvre de plusieurs façons. Avant de
configurer le système, tous les certificats nécessaires à votre configuration StorageGRID spécifique doivent
être prêts.
25