系统证书
您可以使用管理图形用户界面或命令行界面(CLI)管理系统证书,以确保网络中系统或应用程序之间的连接安全。
关于此任务
- 自签名证书
- 在 8.5.3.0中,缺省情况下不再创建自签名证书。 更新到 8.5.3.0 或更高版本后,当前自签名证书可用,直到到期为止。 在自签名证书到期之前,必须将系统证书更新为内部签名证书或外部签名证书。
- 内部签名证书
- 系统具有可用于创建内部签名的系统证书的根认证中心 (CA)。 在 8.5.3.0 或更高版本中,系统设置将创建由根 CA 签署的证书,以保护管理 GUI 与浏览器之间的连接。 可以从系统导出根证书,并将其添加到其他系统,浏览器或设备上的信任库以建立信任。 内部签名证书可以在到期前自动更新。 自动更新可简化证书更新过程,并防止安全警告到期证书。 仅通过使用内部签名证书支持自动更新。
- 外部签名证书
- 外部签名证书由可信的第三方证书提供者 (称为外部认证中心 (CA)) 发布和签名。 此 CA 可以是公共 CA 或您自己的组织的 CA。 大多数 Web 浏览器都信任众所周知的公共 CA ,并在设备或应用程序中包含这些 CA 的根证书。 无法自动更新外部签名证书,因为这些证书必须由外部 CA 发放。 必须通过在系统上创建新的证书签名请求 (CSR) 并将其提供给 CA ,在外部签名证书到期之前对其进行手动更新。 CA 签署请求并发出必须安装在系统上的证书。 在证书到期前 30 天,系统会在事件日志中发出警告。
- 根证书
从 8.5.3.0 版本开始,IBM Storage Virtualize 具有可用于生成系统证书的根证书颁发机构。 根 CA 在 8.5.3.0 上首次启动时生成,由群集系统中的所有节点共享。 用户无法修改根 CA。
可以从系统导出根证书,并将其添加到 Web 浏览器, Thales CipherTrust Manager 密钥服务器以及支持信任链检查的其他设备和应用程序的信任库。 如果支持信任链检查,那么可以更新已签名的系统证书,并且不需要导出该证书。
根证书可由其主体和签发者专有名称标识:- O 表示 International Business Machines Corporation。
- OU 代表 IBM Storage Virtualize 根 CA。
- CN 表示序列号,例如 1234567。 公共名称 (CN) 字段是生成证书的配置节点的机柜序列号。
根证书有效期为 20 年,并使用 4096 位 RSA 密钥对。
首次系统升级到 8.5.3.0 (或更高版本) 后,系统将继续使用其当前证书 (自签名证书或外部签名证书) ,直到生成新证书为止。
- 系统证书
- 系统证书由系统的根 CA (可信第三方 CA) 签名或自签名。 此证书提供给其他设备 (例如, Web 浏览器,密钥服务器或 IP 伙伴关系中的伙伴系统) ,以认证系统并创建安全连接。系统证书支持以下密钥类型:
- RSA 4096
- RSA 2048
- ECDSA 521
- ECDSA 384
注:使用 IBM® Security Verify 的多因子认证使用系统证书来签署 JSON Web 令牌 (JWT)。 必须在 IBM Security Verify 界面中导出系统证书并将其添加为签署者证书。 如果系统证书到期或更新,那么在 IBM Security Verify中安装新系统证书之前,将无法访问管理 GUI。 用户必须使用 CLI 登录到系统以导出新系统证书,并将其安装在 IBM Security Verify中。
IBM Security Guardium® Key Lifecycle Manager密钥服务器目前不支持使用 IBM Storage Virtualize 进行信任链检查。 系统证书必须安装在 IBM Security Guardium Key Lifecycle Manager 密钥服务器上,才能建立连接。 如果系统证书已过期或已更新,则必须在密钥服务器上安装新的系统证书,以便 IBM Storage Virtualize 与密钥服务器建立连接。 在与密钥服务器的连接不可用时,不会中断对加密存储器的访问,除非集群系统中的所有节点都已断电并同时开启。
在系统设置期间,将创建初始证书,用于 Web 浏览器之间的安全连接。 此证书由系统的根 CA 签署。 应生成新证书,其中包含 "主题备用名称" 字段中系统的相关 DNS 或 IP 条目。 如果将 DNS 服务器添加到系统,那么管理 GUI 中的 " 系统证书 " 页面会建议 DNS 名称。 如果未添加 DNS 服务器,那么管理 GUI 会建议 IP 地址。