Skip to main content
Element Software
Eine neuere Version dieses Produkts ist erhältlich.
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Einrichtung der externen Schlüsselverwaltung

Beitragende netapp-pcarriga
PDFs

Sie können diese Schritte befolgen und die aufgeführten Element-API-Methoden verwenden, um Ihre externe Schlüsselverwaltungsfunktion einzurichten.

Was du brauchst

  • Wenn Sie die externe Schlüsselverwaltung in Kombination mit der Softwareverschlüsselung ruhender Daten einrichten, haben Sie die Softwareverschlüsselung ruhender Daten mithilfe von … aktiviert."CreateCluster" Methode auf einem neuen Cluster, der keine Volumes enthält.

Schritte

  1. Stellen Sie eine Vertrauensbeziehung zum externen Schlüsselserver (EKS) her.

    1. Erstellen Sie ein öffentliches/privates Schlüsselpaar für den Element-Cluster, das zum Aufbau einer Vertrauensbeziehung mit dem Schlüsselserver verwendet wird, indem Sie die folgende API-Methode aufrufen:"Öffentliches/Privates Schlüsselpaar erstellen"

    2. Besorgen Sie sich die Zertifikatsignieranforderung (CSR), die die Zertifizierungsstelle unterzeichnen muss. Der CSR ermöglicht es dem Schlüsselserver zu überprüfen, ob der Elementcluster, der auf die Schlüssel zugreifen soll, als Elementcluster authentifiziert ist. Rufen Sie die folgende API-Methode auf:"GetClientCertificateSignRequest"

    3. Verwenden Sie die EKS/Zertifizierungsstelle, um den abgerufenen CSR zu signieren. Weitere Informationen finden Sie in der Dokumentation von Drittanbietern.

  2. Erstellen Sie einen Server und einen Provider auf dem Cluster, um mit dem EKS zu kommunizieren. Ein Schlüsselanbieter legt fest, wo ein Schlüssel bezogen werden soll, und ein Server definiert die spezifischen Attribute des EKS, mit denen kommuniziert werden soll.

    1. Erstellen Sie einen Schlüsselanbieter, in dem die Details des Schlüsselservers gespeichert werden, indem Sie die folgende API-Methode aufrufen:"CreateKeyProviderKmip"

    2. Erstellen Sie einen Schlüsselserver, der das signierte Zertifikat und das öffentliche Schlüsselzertifikat der Zertifizierungsstelle bereitstellt, indem Sie die folgenden API-Methoden aufrufen:"CreateKeyServerKmip" "TestKeyServerKmip"

      Falls der Test fehlschlägt, überprüfen Sie Ihre Serververbindung und -konfiguration. Wiederholen Sie dann den Test.

    3. Fügen Sie den Schlüsselserver dem Schlüsselanbietercontainer hinzu, indem Sie die folgenden API-Methoden aufrufen:"AddKeyServerToProviderKmip" "TestKeyProviderKmip"

      Falls der Test fehlschlägt, überprüfen Sie Ihre Serververbindung und -konfiguration. Wiederholen Sie dann den Test.

  3. Führen Sie als nächsten Schritt zur Verschlüsselung ruhender Daten einen der folgenden Schritte durch:

    1. (Für Hardwareverschlüsselung ruhender Daten) Aktivieren"Hardwareverschlüsselung im Ruhezustand" indem die ID des Schlüsselanbieters angegeben wird, der den zum Speichern der Schlüssel verwendeten Schlüsselserver enthält, indem die folgende Funktion aufgerufen wird:"EnableEncryptionAtRest" API-Methode.

      Hinweis Sie müssen die Verschlüsselung ruhender Daten über die"API" Die Durch Aktivieren der Verschlüsselung ruhender Daten über die vorhandene Element UI-Schaltfläche wird die Funktion auf die Verwendung intern generierter Schlüssel zurückgesetzt.

    2. (Für die Softwareverschlüsselung im Ruhezustand) Damit"Softwareverschlüsselung im Ruhezustand" Um den neu erstellten Schlüsselanbieter zu nutzen, übergeben Sie die Schlüsselanbieter-ID an den"RekeySoftwareEncryptionAtRestMasterKey" API-Methode.

Weitere Informationen