Skip to main content
Hay disponible una nueva versión de este producto.
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Añadir un servidor de gestión de claves (KMS)

Colaboradores

Utilice el asistente del servidor de gestión de claves de StorageGRID para agregar cada clúster KMS o KMS.

Antes de empezar
Acerca de esta tarea

Si es posible, configure cualquier servidor de administración de claves específico del sitio antes de configurar un KMS predeterminado que se aplica a todos los sitios no administrados por otro KMS. Si crea el KMS predeterminado primero, todos los dispositivos cifrados por nodo de la cuadrícula se cifrarán con el KMS predeterminado. Si desea crear más tarde un KMS específico del sitio, primero debe copiar la versión actual de la clave de cifrado del KMS predeterminado al nuevo KMS. Consulte "Consideraciones para cambiar el KMS de un sitio" para obtener más detalles.

Paso 1: Detalles de KM

En el Paso 1 (detalles de KMS) del Asistente para agregar un servidor de gestión de claves, proporciona detalles sobre el clúster de KMS o KMS.

Pasos
  1. Seleccione CONFIGURACIÓN > Seguridad > servidor de administración de claves.

    Aparece la página del servidor de gestión de claves con la pestaña Detalles de configuración seleccionada.

    Detalles de configuración DE KMS sin KMS
  2. Seleccione Crear.

    Paso 1 (detalles de KMS) del asistente Add a Key Management Server.

    KMS Paso 1 Introduzca los detalles de KMS
  3. Introduzca la siguiente información para el KMS y el cliente StorageGRID que configuró en ese KMS.

    Campo Descripción

    Nombre de KM

    Un nombre descriptivo que le ayudará a identificar este KMS. Debe tener entre 1 y 64 caracteres.

    Nombre de clave

    El alias de clave exacto del cliente StorageGRID en el KMS. Debe tener entre 1 y 255 caracteres.

    Administra claves para

    El sitio StorageGRID que se asociará a este KMS. Si es posible, debe configurar cualquier servidor de administración de claves específico del sitio antes de configurar un KMS predeterminado que se aplica a todos los sitios no administrados por otro KMS.

    • Seleccione un sitio si este KMS gestionará las claves de cifrado de los nodos de los dispositivos en un sitio específico.

    • Seleccione Sitios no gestionados por otro KMS (por defecto KMS) para configurar un KMS predeterminado que se aplicará a cualquier sitio que no tenga un KMS dedicado y a cualquier sitio que agregue en expansiones posteriores.

      Nota: se producirá Un error de validación al guardar la configuración de KMS si selecciona un sitio que anteriormente estaba cifrado por el KMS predeterminado pero no proporciona la versión actual de la clave de cifrado original al nuevo KMS.

    Puerto

    El puerto que el servidor KMS utiliza para las comunicaciones mediante el protocolo de interoperabilidad de gestión de claves (KMIP). De forma predeterminada es 5696, que es el puerto estándar KMIP.

    Nombre del hostl

    El nombre de dominio completo o la dirección IP del KMS.

    Nota: El campo Nombre Alternativo del Asunto (SAN) del certificado del servidor debe incluir el FQDN o la dirección IP que introduzca aquí. De lo contrario, StorageGRID no podrá conectarse al KMS ni a todos los servidores de un clúster KMS.

  4. Si está configurando un clúster KMS, seleccione Agregar otro nombre de host para agregar un nombre de host para cada servidor del clúster.

  5. Seleccione continuar.

Paso 2: Cargar certificado de servidor

En el paso 2 (Cargar certificado de servidor) del asistente Agregar un servidor de gestión de claves, cargue el certificado de servidor (o paquete de certificados) para el KMS. El certificado de servidor permite que el KMS externo se autentique en StorageGRID.

Pasos
  1. Desde Paso 2 (Cargar certificado de servidor), busque la ubicación del certificado de servidor guardado o el paquete de certificados.

    KMS Paso 2 Cargar certificado de servidor
  2. Cargue el archivo de certificado.

    Se muestran los metadatos del certificado del servidor.

    Metadatos de certificado del servidor de KM
    Nota Si cargó un paquete de certificados, los metadatos de cada certificado aparecen en la pestaña correspondiente.
  3. Seleccione continuar.

Paso 3: Cargar certificados de cliente

En el paso 3 (Cargar certificados de cliente) del asistente para agregar un servidor de gestión de claves, cargue el certificado de cliente y la clave privada de certificado de cliente. El certificado de cliente permite que StorageGRID se autentique en el KMS.

Pasos
  1. Desde Paso 3 (Cargar certificados de cliente), busque la ubicación del certificado de cliente.

    KM Paso 3 Cargar certificado de cliente
  2. Cargue el archivo de certificado de cliente.

    Aparecen los metadatos del certificado de cliente.

  3. Busque la ubicación de la clave privada del certificado de cliente.

  4. Cargue el archivo de clave privada.

    Metadatos de certificado de cliente de paso 3 de KM
  5. Selecciona Probar y guardar.

    Se prueban las conexiones entre el servidor de gestión de claves y los nodos del dispositivo. Si todas las conexiones son válidas y se encuentra la clave correcta en el KMS, el servidor de gestión de claves nuevo se añade a la tabla de la página del servidor de gestión de claves.

    Nota Inmediatamente después de añadir un KMS, el estado del certificado en la página servidor de gestión de claves aparece como Desconocido. StorageGRID puede tardar hasta 30 minutos en obtener el estado real de cada certificado. Debe actualizar el navegador web para ver el estado actual.
  6. Si aparece un mensaje de error al seleccionar Probar y guardar, revise los detalles del mensaje y luego seleccione Aceptar.

    Por ejemplo, puede recibir un error 422: Entidad no procesable si se produjo un error en una prueba de conexión.

  7. Si necesita guardar la configuración actual sin probar la conexión externa, seleccione Forzar guardar.

    Advertencia Al seleccionar Force save se guarda la configuración de KMS, pero no se prueba la conexión externa de cada dispositivo a ese KMS. Si hay un problema con la configuración, es posible que no pueda reiniciar los nodos de los dispositivos que tienen habilitado el cifrado de nodos en el sitio afectado. Es posible que pierda acceso a los datos hasta que se resuelvan los problemas.
  8. Revise la advertencia de confirmación y seleccione Aceptar si está seguro de que desea forzar el guardado de la configuración.

    La configuración de KMS se guarda pero la conexión con el KMS no se prueba.