证书的工作原理
证书是用于标识网站、服务器等在线实体以确保在 Internet 上进行安全通信的数字文件。
证书可确保 Web 通信仅在指定的服务器和客户端之间以私有、不可更改且加密的形式传输。通过System Manager,可以管理主机管理系统上的浏览器(充当客户端)与存储系统中的控制器(充当服务器)之间的证书。
证书可以是可信颁发机构签名的证书,也可以是自签名证书。“签名”仅表示已经有人验证了所有者的身份并确定其设备可信。存储阵列在发货时每个控制器上都随附自动生成的自签名证书。您可以继续使用这些自签名证书,也可以获取 CA 签名证书,以在控制器与主机系统之间建立更安全的连接。
注
尽管 CA 签名证书的安全保护功能更强大(例如,可防止中间人攻击),但需要付费使用,如果您使用的是大型网络,所需的费用就会比较高。与之相反,自签名证书虽然安全性较低,但完全免费。因此,自签名证书常用于内部测试环境,而非生产环境。
签名证书
签名证书由证书颁发机构(CA)(通常为可信的第三方组织)验证。签名证书中包含实体(通常为服务器或网站)所有者的详细信息、证书的颁发和到期日期、实体的有效域以及由字母和数字组成的数字签名。
打开浏览器输入网址时,系统将在后台执行证书检查过程,以确定您是否要连接到包含有效 CA 签名证书的网站。通常而言,受签名证书保护的网站的地址中会带有挂锁图标和 https 代号。如果您试图连接到未包含 CA 签名证书的网站,浏览器将显示警告消息,提示该网站不安全。
在申请过程中,CA 会采取步骤来验证您的身份。他们可能会向您注册的公司发送电子邮件、验证您的公司地址,并执行 HTTP 或 DNS 验证。申请过程完成后,CA 将向您发送数字文件以加载至主机管理系统上。通常情况下,这些文件中包含一条信任链,如下所示:
- 根 – 根证书位于层次结构的顶部,其中包含用于签发其他证书的私钥。根证书可以标识特定的 CA 组织。如果在所有网络设备上使用相同的 CA,则仅需要一个根证书。
- 中间 – 中间证书是根证书的分支证书。CA 会颁发一个或多个中间证书,作为受保护的根证书与服务器证书之间的中间人。
- 服务器 – 服务器证书位于链的底部,用于标识网站、其他设备等特定实体。存储阵列中每个控制器的服务器证书都各不相同。
自签名证书
存储阵列中的每个控制器都有一个预先安装的自签名证书。自签名证书与 CA 签名证书类似,不同之处在于自签名证书由实体所有者而非第三方验证。与 CA 签名证书一样,自签名证书也包含自己的私钥,并可确保数据经过加密后通过 HTTPS 连接在服务器与客户端之间传输。但是,自签名证书使用的信任链与 CA 签名证书不同。
自签名证书不受浏览器“信任”。每次当您试图连接到仅包含自签名证书的网站时,浏览器都会显示警告消息。这时,必须单击警告消息中的链接,才能继续前往该网站;执行此操作,即表示您接受该自签名证书。
用于密钥管理服务器的证书
如果使用的是具有驱动器安全性功能的外部密钥管理服务器,则还可以管理该服务器与控制器之间的认证证书。
提供反馈