Edición de un servidor de gestión de claves (KMS)
Es posible que deba editar la configuración de un servidor de gestión de claves, por ejemplo, si un certificado está a punto de expirar.
-
Debe haber revisado el "consideraciones y requisitos para usar un servidor de gestión de claves".
-
Si planea actualizar el sitio seleccionado para un KMS, debe haber revisado el "Consideraciones para cambiar el KMS de un sitio".
-
Debe tener el permiso acceso raíz.
-
Debe iniciar sesión en Grid Manager mediante un explorador compatible.
-
Seleccione Configuración > Configuración del sistema > servidor de administración de claves.
Aparece la página servidor de gestión de claves para mostrar todos los servidores de gestión de claves configurados.
-
Seleccione el KMS que desea editar y seleccione Editar.
-
Opcionalmente, actualice los detalles en Paso 1 (introducir detalles de KMS) del asistente Editar un servidor de administración de claves.
Campo Descripción Nombre de visualización DE KMS
Un nombre descriptivo que le ayudará a identificar este KMS. Debe tener entre 1 y 64 caracteres.
Nombre de la clave
El alias de clave exacto del cliente StorageGRID en el KMS. Debe tener entre 1 y 255 caracteres.
Solo es necesario editar el nombre de la clave en casos excepcionales. Por ejemplo, debe editar el nombre de clave si se cambia el nombre del alias en el KMS o si se han copiado todas las versiones de la clave anterior al historial de versiones del nuevo alias.
Nunca intente girar una clave cambiando el nombre de clave (alias) del KMS. En su lugar, gire la clave actualizando la versión de la clave en el software KMS. StorageGRID requiere que se pueda acceder a todas las versiones de claves usadas anteriormente (así como a las futuras) desde el KMS con el mismo alias de clave. Si cambia el alias de clave para un KMS configurado, es posible que StorageGRID no pueda descifrar los datos.
Administra claves para
Si va a editar un KMS específico del sitio y aún no tiene un KMS predeterminado, seleccione Sitios no administrados por otro KMS (KMS predeterminado). Esta selección convierte un KMS específico del sitio al KMS predeterminado, que se aplicará a todos los sitios que no tienen un KMS dedicado y a cualquier sitio agregado en una expansión.
Nota: Si está editando un KMS específico del sitio, no puede seleccionar otro sitio. Si va a editar el KMS predeterminado, no puede seleccionar un sitio específico.
Puerto
El puerto que el servidor KMS utiliza para las comunicaciones mediante el protocolo de interoperabilidad de gestión de claves (KMIP). De forma predeterminada es 5696, que es el puerto estándar KMIP.
Nombre del hostl
El nombre de dominio completo o la dirección IP del KMS.
Nota: el campo SAN del certificado de servidor debe incluir el FQDN o la dirección IP que introduzca aquí. De lo contrario, StorageGRID no podrá conectarse al KMS ni a todos los servidores de un clúster KMS.
-
Si va a configurar un clúster KMS, seleccione el signo más para agregar un nombre de host para cada servidor del clúster.
-
Seleccione Siguiente.
Aparece el paso 2 (cargar certificado de servidor) del asistente Editar un servidor de administración de claves.
-
Si necesita sustituir el certificado del servidor, seleccione examinar y cargue el nuevo archivo.
-
Seleccione Siguiente.
Aparece el paso 3 (cargar certificados de cliente) del asistente Editar un servidor de gestión de claves.
-
Si necesita sustituir el certificado de cliente y la clave privada del certificado de cliente, seleccione examinar y cargue los nuevos archivos.
-
Seleccione Guardar.
Se prueban las conexiones entre el servidor de gestión de claves y todos los nodos de dispositivos cifrados por nodo en los sitios afectados. Si todas las conexiones de nodos son válidas y se encuentra la clave correcta en el KMS, el servidor de gestión de claves se agrega a la tabla de la página servidor de gestión de claves.
-
Si aparece un mensaje de error, revise los detalles del mensaje y seleccione Aceptar.
Por ejemplo, puede recibir un error 422: Entidad no procesable si el sitio seleccionado para este KMS ya está administrado por otro KMS o si se produjo un error en una prueba de conexión.
-
Si necesita guardar la configuración actual antes de resolver los errores de conexión, seleccione Forzar ahorro.
Al seleccionar Force Save, se guarda la configuración de KMS, pero no se prueba la conexión externa de cada dispositivo a ese KMS. Si hay un problema con la configuración, es posible que no pueda reiniciar los nodos de los dispositivos que tienen habilitado el cifrado de nodos en el sitio afectado. Es posible que pierda acceso a los datos hasta que se resuelvan los problemas. Se guarda la configuración de KMS.
-
Revise la advertencia de confirmación y seleccione Aceptar si está seguro de que desea forzar el guardado de la configuración.
La configuración de KMS se guarda pero la conexión con el KMS no se prueba.