Externes Verschlüsselungsmanagement einrichten
Sie können diese Schritte ausführen und die aufgeführten Element-API-Methoden verwenden, um Ihre externe Verschlüsselungsmanagementfunktion einzurichten.
-
Wenn Sie externes Verschlüsselungsmanagement in Kombination mit Softwareverschlüsselung im Ruhezustand einrichten, ist die Softwareverschlüsselung im Ruhezustand aktiviert "CreateCluster erstellen" Methode auf einem neuen Cluster, das keine Volumes enthält.
-
Bauen Sie eine Vertrauensbeziehung mit dem externen Key Server (EKS) auf.
-
Erstellen Sie ein öffentliches/privates Schlüsselpaar für das Element Cluster, das zur Schaffung einer Vertrauensbeziehung mit dem Schlüsselserver verwendet wird, indem Sie die folgende API-Methode aufrufen: "CreatePublicPrivateKeyPair"
-
Holen Sie sich die Zertifikatsign-Anforderung (CSR), die die Zertifizierungsstelle unterzeichnen muss. Der CSR ermöglicht dem Schlüsselserver zu überprüfen, ob das Element-Cluster, das auf die Schlüssel zugreift, als Element-Cluster authentifiziert ist. Rufen Sie die folgende API-Methode auf: "GetClientCertificateSignRequest"
-
Verwenden Sie die EKS/Zertifizierungsstelle, um den abgerufenen CSR zu unterzeichnen. Weitere Informationen finden Sie in der Dokumentation von Drittanbietern.
-
-
Erstellen Sie auf dem Cluster einen Server und Provider, um mit dem EKS zu kommunizieren. Ein Schlüsselanbieter legt fest, wo ein Schlüssel abgerufen werden soll, und ein Server definiert die spezifischen Attribute der EKS, die mit kommuniziert werden.
-
Erstellen Sie einen Schlüsselanbieter, bei dem die Schlüsselserverdetails gespeichert werden, indem Sie die folgende API-Methode aufrufen: "CreateKeyProviderKmip"
-
Erstellen Sie einen Schlüsselserver mit dem signierten Zertifikat und dem öffentlichen Schlüsselzertifikat der Zertifizierungsstelle, indem Sie die folgenden API-Methoden aufrufen: "CreateKeyServerkmip" "TestKeyServerkmip"
Wenn der Test fehlschlägt, überprüfen Sie die Serverkonnektivität und -Konfiguration. Wiederholen Sie dann den Test.
-
Fügen Sie den Schlüsselserver in den Container des Schlüsselanbieters hinzu, indem Sie die folgenden API-Methoden aufrufen:"AddKeyServerToProviderKmip" "TestKeyProviderKmip"
Wenn der Test fehlschlägt, überprüfen Sie die Serverkonnektivität und -Konfiguration. Wiederholen Sie dann den Test.
-
-
Führen Sie als nächsten Schritt für die Verschlüsselung im Ruhezustand einen der folgenden Schritte aus:
-
(Für Hardware-Verschlüsselung im Ruhezustand) aktivieren "Hardware-Verschlüsselung für Daten im Ruhezustand" Durch Angabe der ID des Schlüsselanbieters, der den Schlüsselserver enthält, der zum Speichern der Schlüssel verwendet wird, indem der angerufen wird "EnableVerschlüsselungAtZiel" API-Methode.
Sie müssen die Verschlüsselung im Ruhezustand über das aktivieren "API". Die Aktivierung der Verschlüsselung im Ruhezustand mithilfe der vorhandenen Element UI-Schaltfläche bewirkt, dass die Funktion mithilfe intern generierter Schlüssel zurückgesetzt wird. -
(Für Softwareverschlüsselung im Ruhezustand) in der Reihenfolge "Softwareverschlüsselung für Daten im Ruhezustand" Um den neu erstellten Schlüsselanbieter nutzen zu können, geben Sie die Schlüssel-Provider-ID an den weiter "RekeySoftwareVerschlüsselungAtRestMasterKey" API-Methode.
-