Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Hinzufügen eines Verschlüsselungsmanagement-Servers (KMS)

Beitragende
PDFs

Mithilfe des Assistenten für den StorageGRID-Verschlüsselungsmanagement-Server können Sie jeden KMS- oder KMS-Cluster hinzufügen.

Was Sie benötigen
Über diese Aufgabe

Konfigurieren Sie, falls möglich, Site-spezifische Verschlüsselungsmanagement-Server, bevor Sie einen Standard-KMS konfigurieren, der für alle Standorte gilt, die nicht von einem anderen KMS gemanagt werden. Wenn Sie zuerst den Standard-KMS erstellen, werden alle Node-verschlüsselten Appliances im Grid durch den Standard-KMS verschlüsselt. Wenn Sie später einen Site-spezifischen KMS erstellen möchten, müssen Sie zuerst die aktuelle Version des Verschlüsselungsschlüssels vom Standard-KMS auf den neuen KMS kopieren. Siehe Überlegungen für das Ändern des KMS für einen Standort Entsprechende Details.

Schritt 1: Geben Sie KMS-Details ein

In Schritt 1 (KMS-Details eingeben) des Assistenten zum Hinzufügen eines Schlüsselverwaltungsservers geben Sie Details zum KMS- oder KMS-Cluster an.

Schritte

  1. Wählen Sie KONFIGURATION Sicherheit Schlüsselverwaltungsserver.

    Die Seite Key Management Server wird angezeigt, wobei die Registerkarte Konfigurationsdetails ausgewählt ist.

    KMS-Konfigurationsdetails kein KMS

  2. Wählen Sie Erstellen.

    Schritt 1 (KMS-Details eingeben) des Assistenten zum Hinzufügen eines Schlüsselverwaltungsservers wird angezeigt.

    KMS Schritt 1 Geben Sie KMS-Details ein

  3. Geben Sie die folgenden Informationen für den KMS und den StorageGRID-Client ein, den Sie in diesem KMS konfiguriert haben.

    Feld Beschreibung

    KMS-Anzeigename

    Einen beschreibenden Namen, der Ihnen bei der Identifizierung dieses KMS hilft. Muss zwischen 1 und 64 Zeichen liegen.

    Schlüsselname

    Der exakte Schlüssel-Alias für den StorageGRID-Client im KMS. Muss zwischen 1 und 255 Zeichen liegen.

    Verwaltet Schlüssel für

    Der StorageGRID-Site, die diesem KMS zugeordnet wird. Wenn möglich, sollten Sie alle standortspezifischen Verschlüsselungsmanagement-Server konfigurieren, bevor Sie einen Standard-KMS konfigurieren, der für alle Standorte gilt, die nicht von einem anderen KMS verwaltet werden.

    • Wählen Sie einen Standort aus, wenn dieser KMS Verschlüsselungen für die Appliance-Nodes an einem bestimmten Standort managt.

    • Wählen Sie Sites, die nicht von einem anderen KMS (Standard KMS) verwaltet werden, um einen Standard-KMS zu konfigurieren, der für alle Sites gilt, die keinen dedizierten KMS haben, und für alle Sites, die Sie in nachfolgenden Erweiterungen hinzufügen.

      Hinweis: beim Speichern der KMS-Konfiguration Tritt Ein Validierungsfehler auf, wenn Sie eine Site auswählen, die zuvor durch den Standard-KMS verschlüsselt wurde, aber Sie haben die aktuelle Version des ursprünglichen Verschlüsselungsschlüssels nicht dem neuen KMS zur Verfügung gestellt.

    Port

    Der Port, den der KMS-Server für die KMIP-Kommunikation (Key Management Interoperability Protocol) verwendet. Die Standardeinstellung ist 5696, d. h. der KMIP-Standardport.

    Hostname

    Der vollständig qualifizierte Domänenname oder die IP-Adresse für den KMS.

    Hinweis: das SAN-Feld des Serverzertifikats muss den FQDN oder die IP-Adresse enthalten, die Sie hier eingeben. Andernfalls kann StorageGRID keine Verbindung zum KMS oder zu allen Servern eines KMS-Clusters herstellen.

  4. Wenn Sie einen KMS-Cluster verwenden, wählen Sie das Pluszeichen aus Symbol Plus Zeichen Um einen Hostnamen für jeden Server im Cluster hinzuzufügen.

  5. Wählen Sie Weiter.

Schritt: Serverzertifikat Hochladen

In Schritt 2 (Serverzertifikat hochladen) des Assistenten zum Hinzufügen eines Schlüsselverwaltungsservers laden Sie das Serverzertifikat (oder das Zertifikatspaket) für den KMS hoch. Das Serverzertifikat ermöglicht es dem externen KMS, sich bei StorageGRID zu authentifizieren.

Schritte

  1. Navigieren Sie ab Schritt 2 (Serverzertifikat hochladen) zum Speicherort des gespeicherten Serverzertifikats oder Zertifikatpakets.

    KMS Schritt 2 Serverzertifikat hochladen

  2. Laden Sie die Zertifikatdatei hoch.

    Die Metadaten des Serverzertifikats werden angezeigt.

    KMS Schritt 2 Server-Zertifikat-Metadaten
    Hinweis Wenn Sie ein Zertifikatbündel hochgeladen haben, werden die Metadaten für jedes Zertifikat auf der eigenen Registerkarte angezeigt.

  3. Wählen Sie Weiter.

Schritt 3: Laden Sie Client-Zertifikate Hoch

In Schritt 3 (Upload Client Certificates) des Assistenten Add a Key Management Server laden Sie das Clientzertifikat und den privaten Schlüssel des Clientzertifikats hoch. Das Client-Zertifikat ermöglicht StorageGRID, sich am KMS zu authentifizieren.

Schritte

  1. Ab Schritt 3 (Upload Client Certificates) navigieren Sie zum Speicherort des Clientzertifikats.

    KMS Schritt 3 Client-Zertifikat hochladen

  2. Laden Sie die Clientzertifikatdatei hoch.

    Die Metadaten des Client-Zertifikats werden angezeigt.

  3. Navigieren Sie zum Speicherort des privaten Schlüssels für das Clientzertifikat.

  4. Laden Sie die Datei mit dem privaten Schlüssel hoch.

    Die Metadaten für das Clientzertifikat und der private Schlüssel für das Clientzertifikat werden angezeigt.

    KMS Schritt 3 Client-Zertifikat-Metadaten

  5. Wählen Sie Speichern.

    Die Verbindungen zwischen dem Verschlüsselungsmanagement-Server und den Appliance-Nodes werden getestet. Wenn alle Verbindungen gültig sind und der korrekte Schlüssel auf dem KMS gefunden wird, wird der neue Schlüsselverwaltungsserver der Tabelle auf der Seite des Key Management Servers hinzugefügt.

    Hinweis Unmittelbar nach dem Hinzufügen eines KMS wird der Zertifikatsstatus auf der Seite Key Management Server als Unbekannt angezeigt. Es kann StorageGRID bis zu 30 Minuten dauern, bis der aktuelle Status eines jeden Zertifikats angezeigt wird. Sie müssen Ihren Webbrowser aktualisieren, um den aktuellen Status anzuzeigen.

  6. Wenn beim Auswählen von Speichern eine Fehlermeldung angezeigt wird, überprüfen Sie die Nachrichtendetails und wählen Sie dann OK aus.

    Beispiel: Wenn ein Verbindungstest fehlgeschlagen ist, können Sie einen Fehler bei unbearbeitbarer Einheit mit 422: Nicht verarbeitbarer Einheit erhalten.

  7. Wenn Sie die aktuelle Konfiguration speichern müssen, ohne die externe Verbindung zu testen, wählen Sie Erzwingen Sie Speichern.

    KMS Erzwingen Sie Speichern
    Wichtig Durch die Auswahl von Erzwingen speichern wird die KMS-Konfiguration gespeichert, die externe Verbindung von jedem Gerät zu diesem KMS wird jedoch nicht getestet. Wenn Probleme mit der Konfiguration bestehen, können Sie Appliance-Nodes, für die die Node-Verschlüsselung am betroffenen Standort aktiviert ist, möglicherweise nicht neu starten. Wenn der Zugriff auf Ihre Daten nicht mehr vollständig ist, können Sie diese Probleme beheben.

  8. Überprüfen Sie die Bestätigungswarnung, und wählen Sie OK, wenn Sie sicher sind, dass Sie das Speichern der Konfiguration erzwingen möchten.

    KMS Erzwingen Sie die Warnung zum Speichern

    Die KMS-Konfiguration wird gespeichert, die Verbindung zum KMS wird jedoch nicht getestet.