Management von externen Schlüsselmanagern mit System Manager
Änderungen vorschlagen
PDFs
Ab ONTAP 9.7 können Sie die Authentifizierung und Verschlüsselung mit dem Onboard Key Manager speichern und managen. Ab ONTAP 9.13.1 können Sie diese Schlüssel auch mit externen Schlüsselmanagern speichern und verwalten.
Der integrierte Schlüsselmanager speichert und managt Schlüssel in einer sicheren, Cluster-internen Datenbank. Sein Umfang ist das Cluster. Ein externer Schlüsselmanager speichert und managt Schlüssel außerhalb des Clusters. Sein Umfang kann das Cluster oder die Storage-VM sein. Es können ein oder mehrere externe Schlüsselmanager verwendet werden. Es gelten die folgenden Bedingungen:
-
Wenn der Onboard Key Manager aktiviert ist, kann ein externer Schlüsselmanager nicht auf Cluster-Ebene aktiviert werden, er kann jedoch auf Storage-VM-Ebene aktiviert werden.
-
Wenn ein externer Schlüsselmanager auf Cluster-Ebene aktiviert ist, kann der Onboard Key Manager nicht aktiviert werden.
Beim Einsatz von externen Schlüsselmanagern können Sie bis zu vier primäre Schlüsselserver pro Storage-VM und Cluster registrieren. Jeder primäre Schlüsselserver kann mit bis zu drei sekundären Schlüsselservern gruppiert werden.
Konfigurieren Sie einen externen Schlüsselmanager
Zum Hinzufügen eines externen Schlüsselmanagers für eine Storage-VM sollten Sie beim Konfigurieren der Netzwerkschnittstelle für die Storage-VM ein optionales Gateway hinzufügen. Wenn die Speicher-VM ohne den Netzwerk-Route erstellt wurde, müssen Sie die Route explizit für den externen Schlüsselmanager erstellen. Siehe "LIF erstellen (Netzwerkschnittstelle)".
Sie können einen externen Schlüsselmanager von verschiedenen Standorten in System Manager aus konfigurieren.
-
Führen Sie einen der folgenden Startschritte durch, um einen externen Schlüsselmanager zu konfigurieren.
Workflow
Navigation
Startschritt
Konfigurieren Sie Key Manager
Cluster > Einstellungen
Blättern Sie zum Abschnitt Sicherheit. Wählen Sie unter Verschlüsselung
. Wählen Sie External Key Manager.Lokale Ebene hinzufügen
Storage > Tiers
Wählen Sie + Lokale Ebene Hinzufügen. Aktivieren Sie das Kontrollkästchen „Key Manager konfigurieren“. Wählen Sie External Key Manager.
Storage vorbereiten
Dashboard
Wählen Sie im Abschnitt Kapazität die Option Speicher vorbereiten aus. Wählen Sie dann „Configure Key Manager“ aus. Wählen Sie External Key Manager.
Konfiguration der Verschlüsselung (nur Schlüsselmanager im Umfang von Storage-VMs)
Storage > Storage VMs
Wählen Sie die Storage-VM aus. Wählen Sie die Registerkarte Einstellungen. Wählen Sie im Abschnitt Verschlüsselung unter Sicherheit die Option
. -
Um einen primären Schlüsselserver hinzuzufügen, wählen Sie
, und füllen Sie die Felder IP-Adresse oder Hostname und Port aus. -
Vorhandene installierte Zertifikate sind in den Feldern KMIP Server CA Certificates und KMIP Client Certificate aufgeführt. Sie können eine der folgenden Aktionen durchführen:
-
Wählen Sie diese Option
aus, um installierte Zertifikate auszuwählen, die dem Schlüsselmanager zugeordnet werden sollen. (Es können mehrere Service-CA-Zertifikate ausgewählt werden, es kann jedoch nur ein Client-Zertifikat ausgewählt werden.) -
Wählen Sie Neues Zertifikat hinzufügen, um ein Zertifikat hinzuzufügen, das noch nicht installiert wurde, und ordnen Sie es dem externen Schlüsselmanager zu.
-
Wählen Sie neben dem Zertifikatnamen aus
, um installierte Zertifikate zu löschen, die Sie nicht dem externen Schlüsselmanager zuordnen möchten.
-
-
Um einen sekundären Schlüsselserver hinzuzufügen, wählen Sie Add in der Spalte Secondary Key Server aus und geben Sie seine Details an.
-
Wählen Sie Speichern, um die Konfiguration abzuschließen.
Bearbeiten Sie einen vorhandenen externen Schlüsselmanager
Wenn Sie bereits einen externen Schlüsselmanager konfiguriert haben, können Sie dessen Einstellungen ändern.
-
Führen Sie einen der folgenden Startschritte durch, um die Konfiguration eines externen Schlüsselmanagers zu bearbeiten.
Umfang
Navigation
Startschritt
Externer Schlüsselmanager für den Clusterbereich
Cluster > Einstellungen
Blättern Sie zum Abschnitt Sicherheit. Wählen Sie unter Verschlüsselung
, und wählen Sie dann External Key Manager bearbeiten.Externer Schlüsselmanager für Storage VM
Storage > Storage VMs
Wählen Sie die Storage-VM aus. Wählen Sie die Registerkarte Einstellungen. Wählen Sie im Abschnitt Verschlüsselung unter Sicherheit
, und wählen Sie dann External Key Manager bearbeiten. -
Vorhandene Schlüsselserver sind in der Tabelle Schlüsselserver aufgeführt. Sie können folgende Vorgänge durchführen:
-
Fügen Sie einen neuen Schlüsselserver hinzu, indem
Sie . -
Löschen Sie einen Schlüsselserver, indem Sie am Ende der Tabellenzelle auswählen
, die den Namen des Schlüsselservers enthält. Die sekundären Schlüsselserver, die dem primären Schlüsselserver zugeordnet sind, werden ebenfalls aus der Konfiguration entfernt.
-
Löschen Sie einen externen Schlüsselmanager
Ein externer Schlüsselmanager kann gelöscht werden, wenn die Volumes unverschlüsselt sind.
-
Führen Sie einen der folgenden Schritte aus, um einen externen Schlüsselmanager zu löschen.
Umfang
Navigation
Startschritt
Externer Schlüsselmanager für den Clusterbereich
Cluster > Einstellungen
Blättern Sie zum Abschnitt Sicherheit. Wählen Sie unter Verschlüsselung die Option
, und wählen Sie dann External Key Manager löschen.Externer Schlüsselmanager für Storage VM
Storage > Storage VMs
Wählen Sie die Storage-VM aus. Wählen Sie die Registerkarte Einstellungen. Wählen Sie im Abschnitt Verschlüsselung unter Sicherheit
, und wählen Sie dann External Key Manager löschen.