Configure la gestión de claves externas
Puede seguir estos pasos y usar los métodos API de Element que aparecen para configurar la función de gestión de claves externa.
-
Si va a configurar la gestión de claves externas en combinación con el cifrado de software en reposo, debe habilitar el cifrado de software en reposo con el "CreateCluster" método en un nuevo clúster que no contiene volúmenes.
-
Establecer una relación de confianza con el servidor de claves externo (EKS).
-
Cree un par de claves público/privado para el clúster de Element que se utilice para establecer una relación de confianza con el servidor de claves llamando al siguiente método de API: "CreatePublicPrivateKeyPair"
-
Obtenga la solicitud de firma de certificado (CSR) que la entidad de certificación debe firmar. La CSR permite que el servidor de claves verifique que el clúster de Element que tendrá acceso a las claves se autentique como clúster de Element. Llame al siguiente método API: "GetClientCertificateSignRequest"
-
Utilice la autoridad EKS/Certificate para firmar la CSR recuperada. Consulte la documentación de terceros para obtener más información.
-
-
Cree un servidor y un proveedor en el clúster para comunicarse con el EKS. Un proveedor de claves define dónde se debe obtener una clave y un servidor define los atributos específicos del EKS con los que se comunicará.
-
Cree un proveedor de claves en el que residirán los detalles del servidor de claves llamando al siguiente método de API: "CreateKeyProviderKmip"
-
Cree un servidor de claves que proporcione el certificado firmado y el certificado de clave pública de la entidad emisora de certificados llamando a los siguientes métodos API: "CreateKeyServerKmip" "TestKeyServerKmip"
Si la prueba falla, verifique la configuración y la conectividad del servidor. A continuación, repita la prueba.
-
Para agregar el servidor de claves al contenedor de proveedor de claves, llame a los siguientes métodos API:"AddKeyServerToProviderKmip" "TestKeyProviderKmip"
Si la prueba falla, verifique la configuración y la conectividad del servidor. A continuación, repita la prueba.
-
-
Realice una de las siguientes acciones como siguiente paso para el cifrado en reposo:
-
(Para el cifrado de hardware en reposo) Habilitar "cifrado de hardware en reposo" Mediante la identificación del proveedor de claves que contiene el servidor de claves utilizado para almacenar las claves, llame al "EnableEncryptionAtest" Método API.
Debe habilitar el cifrado en reposo a través del "API". Si se habilita el cifrado en reposo con el botón existente de interfaz de usuario de Element, la función volverá al uso de claves generadas internamente. -
(Para el cifrado de software en reposo) en orden de "cifrado de software en reposo" Para utilizar el proveedor de claves recién creado, pase el ID de proveedor de claves al "RekeySoftwareEncryptionAtRestMasterKey" Método API.
-