Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Management von externen Schlüsselmanagern mit System Manager

Beitragende

Ab ONTAP 9.7 können Sie die Authentifizierung und Verschlüsselung mit dem Onboard Key Manager speichern und managen. Ab ONTAP 9.13.1 können Sie diese Schlüssel auch mit externen Schlüsselmanagern speichern und verwalten.

Der integrierte Schlüsselmanager speichert und managt Schlüssel in einer sicheren, Cluster-internen Datenbank. Sein Umfang ist das Cluster. Ein externer Schlüsselmanager speichert und managt Schlüssel außerhalb des Clusters. Sein Umfang kann das Cluster oder die Storage-VM sein. Es können ein oder mehrere externe Schlüsselmanager verwendet werden. Es gelten die folgenden Bedingungen:

  • Wenn der Onboard Key Manager aktiviert ist, kann ein externer Schlüsselmanager nicht auf Cluster-Ebene aktiviert werden, er kann jedoch auf Storage-VM-Ebene aktiviert werden.

  • Wenn ein externer Schlüsselmanager auf Cluster-Ebene aktiviert ist, kann der Onboard Key Manager nicht aktiviert werden.

Beim Einsatz von externen Schlüsselmanagern können Sie bis zu vier primäre Schlüsselserver pro Storage-VM und Cluster registrieren. Jeder primäre Schlüsselserver kann mit bis zu drei sekundären Schlüsselservern gruppiert werden.

Konfigurieren Sie einen externen Schlüsselmanager

Zum Hinzufügen eines externen Schlüsselmanagers für eine Storage-VM sollten Sie beim Konfigurieren der Netzwerkschnittstelle für die Storage-VM ein optionales Gateway hinzufügen. Wenn die Speicher-VM ohne den Netzwerk-Route erstellt wurde, müssen Sie die Route explizit für den externen Schlüsselmanager erstellen. Siehe "LIF erstellen (Netzwerkschnittstelle)".

Schritte

Sie können einen externen Schlüsselmanager von verschiedenen Standorten in System Manager aus konfigurieren.

  1. Führen Sie einen der folgenden Startschritte durch, um einen externen Schlüsselmanager zu konfigurieren.

    Workflow

    Navigation

    Startschritt

    Konfigurieren Sie Key Manager

    Cluster > Einstellungen

    Blättern Sie zum Abschnitt Sicherheit. Wählen Sie unter Verschlüsselung die Option aus Einstellungssymbol. Wählen Sie External Key Manager.

    Lokale Ebene hinzufügen

    Storage > Tiers

    Wählen Sie + Lokale Ebene Hinzufügen. Aktivieren Sie das Kontrollkästchen „Key Manager konfigurieren“. Wählen Sie External Key Manager.

    Storage vorbereiten

    Dashboard

    Wählen Sie im Abschnitt Kapazität die Option Speicher vorbereiten aus. Wählen Sie dann „Configure Key Manager“ aus. Wählen Sie External Key Manager.

    Konfiguration der Verschlüsselung (nur Schlüsselmanager im Umfang von Storage-VMs)

    Storage > Storage VMs

    Wählen Sie die Storage-VM aus. Wählen Sie die Registerkarte Einstellungen. Wählen Sie im Abschnitt Verschlüsselung unter Sicherheit die Option aus Einstellungssymbol.

  2. Um einen primären Schlüsselserver hinzuzufügen, wählen Sie aus +ZusatzUnd füllen Sie die Felder IP-Adresse oder Hostname und Port aus.

  3. Vorhandene installierte Zertifikate sind in den Feldern KMIP Server CA Certificates und KMIP Client Certificate aufgeführt. Sie können eine der folgenden Aktionen durchführen:

    • Wählen Sie Pull-down-Pfeil Zum Auswählen installierter Zertifikate, die dem Schlüsselmanager zugeordnet werden sollen. (Es können mehrere Service-CA-Zertifikate ausgewählt werden, es kann jedoch nur ein Client-Zertifikat ausgewählt werden.)

    • Wählen Sie Neues Zertifikat hinzufügen, um ein Zertifikat hinzuzufügen, das noch nicht installiert wurde, und ordnen Sie es dem externen Schlüsselmanager zu.

    • Wählen Sie X Neben dem Zertifikatnamen, um installierte Zertifikate zu löschen, die Sie nicht dem externen Schlüsselmanager zuordnen möchten.

  4. Um einen sekundären Schlüsselserver hinzuzufügen, wählen Sie Add in der Spalte Secondary Key Server aus und geben Sie seine Details an.

  5. Wählen Sie Speichern, um die Konfiguration abzuschließen.

Bearbeiten Sie einen vorhandenen externen Schlüsselmanager

Wenn Sie bereits einen externen Schlüsselmanager konfiguriert haben, können Sie dessen Einstellungen ändern.

Schritte
  1. Führen Sie einen der folgenden Startschritte durch, um die Konfiguration eines externen Schlüsselmanagers zu bearbeiten.

    Umfang

    Navigation

    Startschritt

    Externer Schlüsselmanager für den Clusterbereich

    Cluster > Einstellungen

    Blättern Sie zum Abschnitt Sicherheit. Wählen Sie unter Verschlüsselung die Option aus Kebab-SymbolWählen Sie dann External Key Manager bearbeiten.

    Externer Schlüsselmanager für Storage VM

    Storage > Storage VMs

    Wählen Sie die Storage-VM aus. Wählen Sie die Registerkarte Einstellungen. Wählen Sie im Abschnitt Verschlüsselung unter Sicherheit die Option aus Kebab-SymbolWählen Sie dann External Key Manager bearbeiten.

  2. Vorhandene Schlüsselserver sind in der Tabelle Schlüsselserver aufgeführt. Sie können folgende Vorgänge durchführen:

    • Fügen Sie einen neuen Schlüsselserver hinzu, indem Sie auswählen +Zusatz.

    • Löschen Sie einen Schlüsselserver, indem Sie auswählen Kebab-Symbol Am Ende der Tabellenzelle, die den Namen des Schlüsselservers enthält. Die sekundären Schlüsselserver, die dem primären Schlüsselserver zugeordnet sind, werden ebenfalls aus der Konfiguration entfernt.

Löschen Sie einen externen Schlüsselmanager

Ein externer Schlüsselmanager kann gelöscht werden, wenn die Volumes unverschlüsselt sind.

Schritte
  1. Führen Sie einen der folgenden Schritte aus, um einen externen Schlüsselmanager zu löschen.

    Umfang

    Navigation

    Startschritt

    Externer Schlüsselmanager für den Clusterbereich

    Cluster > Einstellungen

    Blättern Sie zum Abschnitt Sicherheit. Wählen Sie unter Verschlüsselung die Option SELECT aus Kebab-SymbolWählen Sie dann External Key Manager löschen.

    Externer Schlüsselmanager für Storage VM

    Storage > Storage VMs

    Wählen Sie die Storage-VM aus. Wählen Sie die Registerkarte Einstellungen. Wählen Sie im Abschnitt Verschlüsselung unter Sicherheit die Option aus Kebab-SymbolWählen Sie dann External Key Manager löschen.

Schlüssel zwischen Schlüsselmanagern migrieren

Wenn mehrere Schlüsselmanager auf einem Cluster aktiviert sind, müssen Schlüssel von einem Schlüsselmanager zu einem anderen migriert werden. Dieser Vorgang wird mit System Manager automatisch abgeschlossen.

  • Wenn der Onboard Key Manager oder ein externer Schlüsselmanager auf Cluster-Ebene aktiviert ist und einige Volumes verschlüsselt werden, Wenn Sie dann einen externen Schlüsselmanager auf Ebene der Storage-VM konfigurieren, müssen die Schlüssel vom Onboard Key Manager oder externen Schlüsselmanager auf Cluster-Ebene zum externen Schlüsselmanager auf Ebene der Storage-VM migriert werden. Dieser Prozess wird automatisch durch System Manager abgeschlossen.

  • Wenn Volumes ohne Verschlüsselung auf einer Storage-VM erstellt wurden, müssen Schlüssel nicht migriert werden.