Configure StorageGRID como cliente en KMS
Debe configurar StorageGRID como cliente para cada servidor de gestión de claves externo o clúster de KMS antes de poder añadir el KMS a StorageGRID.
Estas instrucciones se aplican a Thales CipherTrust Manager k170v, versiones 2.0, 2.1 y 2.2. Si tiene preguntas sobre el uso de un servidor de gestión de claves diferente con StorageGRID, póngase en contacto con el soporte técnico.
-
Desde el software KMS, cree un cliente StorageGRID para cada clúster KMS o KMS que vaya a utilizar.
Cada KMS gestiona una única clave de cifrado para los nodos de dispositivos StorageGRID en un único sitio o en un grupo de sitios.
-
Desde el software KMS, cree una clave de cifrado AES para cada clúster KMS o KMS.
La clave de cifrado debe ser exportable.
-
Registre la siguiente información de cada clúster KMS o KMS.
Necesitará esta información cuando agregue el KMS a StorageGRID.
-
Nombre de host o dirección IP para cada servidor.
-
Puerto KMIP utilizado por el KMS.
-
Alias de clave para la clave de cifrado del KMS.
La clave de cifrado ya debe existir en el KMS. StorageGRID no crea ni gestiona claves KMS.
-
-
Para cada clúster de KMS o KMS, obtenga un certificado de servidor firmado por una entidad de certificación (CA) o un paquete de certificado que contiene cada uno de los archivos de certificado de CA codificados con PEM, concatenado en el orden de la cadena de certificados.
El certificado de servidor permite que el KMS externo se autentique en StorageGRID.
-
El certificado debe utilizar el formato X.509 codificado con Privacy Enhanced Mail (PEM) base-64.
-
El campo Nombre alternativo del asunto (SAN) de cada certificado de servidor debe incluir el nombre de dominio completo (FQDN) o la dirección IP a la que se conectará StorageGRID.
Al configurar el KMS en StorageGRID, debe introducir las mismas FQDN o direcciones IP en el campo Nombre de host. -
El certificado de servidor debe coincidir con el certificado utilizado por la interfaz KMIP del KMS, que suele utilizar el puerto 5696.
-
-
Obtenga el certificado de cliente público emitido a StorageGRID por el KMS externo y la clave privada del certificado de cliente.
El certificado de cliente permite que StorageGRID se autentique en el KMS.