Konfigurieren Sie StorageGRID als Client im KMS
Sie müssen StorageGRID als Client für jeden externen Verschlüsselungsmanagement-Server oder KMS-Cluster konfigurieren, bevor Sie den KMS StorageGRID hinzufügen können.
Diese Anweisungen gelten für Thales CipherTrust Manager k170v, Versionen 2.0, 2.1 und 2.2. Wenn Sie Fragen zur Verwendung eines anderen Verschlüsselungsmanagementservers mit StorageGRID haben, wenden Sie sich an den technischen Support.
-
Erstellen Sie von der KMS-Software einen StorageGRID-Client für jeden KMS- oder KMS-Cluster, den Sie verwenden möchten.
Jeder KMS managt einen einzelnen Verschlüsselungsschlüssel für die Nodes der StorageGRID Appliances an einem einzelnen Standort oder einer Gruppe von Standorten.
-
Erstellen Sie von der KMS-Software einen AES-Verschlüsselungsschlüssel für jedes KMS- oder KMS-Cluster.
Die Verschlüsselung muss exportierbar sein.
-
Notieren Sie die folgenden Informationen für jeden KMS- oder KMS-Cluster.
Diese Informationen benötigen Sie, wenn Sie den KMS StorageGRID hinzufügen.
-
Host-Name oder IP-Adresse für jeden Server.
-
Der vom KMS verwendete KMIP-Port.
-
Schlüsselalias für den Verschlüsselungsschlüssel im KMS.
Der Verschlüsselungsschlüssel muss bereits im KMS vorhanden sein. StorageGRID erstellt oder managt keine KMS-Schlüssel.
-
-
Beziehen Sie für jeden KMS- oder KMS-Cluster ein Serverzertifikat, das von einer Zertifizierungsstelle (CA) signiert wurde, oder ein Zertifikatbündel, das jede der PEM-kodierten CA-Zertifikatdateien enthält, die in der Reihenfolge der Zertifikatskette verkettet sind.
Das Serverzertifikat ermöglicht es dem externen KMS, sich bei StorageGRID zu authentifizieren.
-
Das Zertifikat muss das mit Privacy Enhanced Mail (PEM) Base-64 codierte X.509-Format verwenden.
-
Das Feld für alternativen Servernamen (SAN) in jedem Serverzertifikat muss den vollständig qualifizierten Domänennamen (FQDN) oder die IP-Adresse enthalten, mit der StorageGRID eine Verbindung herstellt.
Wenn Sie den KMS in StorageGRID konfigurieren, müssen Sie dieselben FQDNs oder IP-Adressen im Feld Hostname eingeben. -
Das Serverzertifikat muss mit dem Zertifikat übereinstimmen, das von der KMIP-Schnittstelle des KMS verwendet wird. In der Regel wird Port 5696 verwendet.
-
-
Holen Sie sich das öffentliche Clientzertifikat, das vom externen KMS an StorageGRID ausgestellt wurde, und den privaten Schlüssel für das Clientzertifikat.
Das Client-Zertifikat ermöglicht StorageGRID, sich am KMS zu authentifizieren.