Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Administrar un KMS

Colaboradores
PDF

La gestión de un servidor de gestión de claves (KMS) implica ver y editar detalles, gestionar certificados, ver nodos cifrados y eliminar un KMS cuando ya no es necesario.

Antes de empezar

Ver detalles de KMS

Es posible ver información sobre cada servidor de gestión de claves (KMS) en el sistema StorageGRID, incluidos los detalles de claves y el estado actual de los certificados de servidor y de cliente.

Pasos

  1. Seleccione CONFIGURACIÓN > Seguridad > servidor de administración de claves.

    Aparecerá la página Servidor de gestión de claves con la siguiente información:

    • En la pestaña Detalles de configuración, se enumeran los servidores de gestión de claves configurados.

    • El separador Nodos Cifrados muestra todos los nodos que tienen el cifrado de nodos activado.

  2. Para ver los detalles de un KMS específico y realizar operaciones en ese KMS, seleccione el nombre del KMS. La página de detalles del KMS muestra la siguiente información:

    Campo Descripción

    Administra claves para

    El sitio StorageGRID asociado con el KMS.

    Este campo muestra el nombre de un sitio StorageGRID específico o Sitios no administrados por otro KMS (KMS predeterminado).

    Nombre del hostl

    El nombre de dominio completo o la dirección IP del KMS.

    Si existe un clúster de dos servidores de gestión de claves, se muestran el nombre de dominio completo o la dirección IP de ambos servidores. Si hay más de dos servidores de gestión de claves en un clúster, el nombre de dominio completo o la dirección IP del primer KMS se enumeran junto con la cantidad de servidores de gestión de claves adicionales en el clúster.

    Por ejemplo: 10.10.10.10 and 10.10.10.11 o. 10.10.10.10 and 2 others.

    Para ver todos los nombres de host de un clúster, seleccione un KMS y seleccione Editar o Acciones > Editar.

  3. Seleccione una pestaña en la página de detalles de KMS para ver la siguiente información:

    Pestaña Campo Descripción

    Detalles clave

    Nombre de clave

    El alias clave del cliente StorageGRID en el KMS.

    UID de clave

    Identificador único de la última versión de la clave.

    Última modificación

    La fecha y la hora de la última versión de la clave.

    Certificado de servidor

    Metadatos

    Los metadatos del certificado, como el número de serie, la fecha y la hora de caducidad y el certificado PEM.

    Certificado PEM

    El contenido del archivo PEM (correo de privacidad mejorada) para el certificado.

    Certificado de cliente

    Metadatos

    Los metadatos del certificado, como el número de serie, la fecha y la hora de caducidad y el certificado PEM.

  4. Con la frecuencia requerida por las prácticas de seguridad de su organización, seleccione Rotar clave o utilice el software KMS para crear una nueva versión de la clave.

    Cuando la rotación de claves es correcta, se actualizan los campos UID Clave y Última Modificación.

    Precaución

    Si gira la clave de cifrado con el software KMS, gírela de la última versión utilizada de la clave a una nueva versión de la misma clave. No gire a una clave completamente diferente.

    Nunca intente girar una clave cambiando el nombre de clave (alias) del KMS. StorageGRID requiere que se pueda acceder a todas las versiones de claves usadas anteriormente (así como a las futuras) desde el KMS con el mismo alias de clave. Si cambia el alias de clave para un KMS configurado, es posible que StorageGRID no pueda descifrar los datos.

Gestionar certificados

Resuelva con prontitud cualquier problema de servidor o certificado de cliente. Si es posible, sustituya los certificados antes de que caduquen.

Precaución Debe solucionar cualquier problema con los certificados Lo antes posible. para mantener el acceso a los datos.
Pasos

  1. Seleccione CONFIGURACIÓN > Seguridad > servidor de administración de claves.

  2. En la tabla, observe el valor de Caducidad de certificado para cada KMS.

  3. Si se desconoce la caducidad del certificado para cualquier KMS, espere hasta 30 minutos y, a continuación, actualice el explorador web.

  4. Si la columna Caducidad del certificado indica que un certificado ha caducado o está a punto de caducar, seleccione el KMS para ir a la página de detalles del KMS.

    1. Seleccione Certificado de servidor y verifique el valor del campo “Expires on”.

    2. Para reemplazar el certificado, seleccione Editar certificado para cargar un nuevo certificado.

    3. Repita estos subpasos y seleccione Certificado de cliente en lugar de Certificado de servidor.

  5. Cuando se activan las alertas KMS CA CERTIFICATION, KMS client certificate expiration y KMS server certificate expiration, anote la descripción de cada alerta y realice las acciones recomendadas.

    Nota StorageGRID puede tardar hasta 30 minutos en obtener actualizaciones para la expiración del certificado. Actualice el explorador web para ver los valores actuales.

Vea los nodos cifrados

Puede ver información acerca de los nodos del dispositivo en el sistema StorageGRID que tienen activada la configuración * cifrado de nodos*.

Pasos

  1. Seleccione CONFIGURACIÓN > Seguridad > servidor de administración de claves.

    Se muestra la página servidor de gestión de claves. En la pestaña Configuration Details, se muestra todos los servidores de gestión de claves que se configuraron.

  2. En la parte superior de la página, seleccione la pestaña Nodos encriptados.

    La pestaña Nodos cifrados muestra los nodos del dispositivo en su sistema StorageGRID que tienen habilitada la configuración Encriptación de nodos.

  3. Revise la información de la tabla de cada nodo del dispositivo.

    Columna Descripción

    Nombre del nodo

    El nombre del nodo del dispositivo.

    Tipo de nodo

    El tipo de nodo: Almacenamiento, administrador o puerta de enlace.

    Sitio

    El nombre del sitio StorageGRID donde se instala el nodo.

    Nombre de KM

    Nombre descriptivo del KMS utilizado para el nodo.

    Si no aparece ningún KMS, seleccione la pestaña Detalles de configuración para agregar un KMS.

    "Añadir un servidor de gestión de claves (KMS)"

    UID de clave

    El ID único de la clave de cifrado utilizada para cifrar y descifrar datos en el nodo del dispositivo. Para ver un UID de clave completo, seleccione el texto.

    Un guión (--) indica que el UID de la clave es desconocido, posiblemente debido a un problema de conexión entre el nodo del dispositivo y el KMS.

    Estado

    El estado de la conexión entre el KMS y el nodo del dispositivo. Si el nodo está conectado, la Marca de tiempo se actualiza cada 30 minutos. El estado de la conexión puede tardar varios minutos en actualizarse después de que cambie la configuración de KMS.

    Nota: Actualiza tu navegador web para ver los nuevos valores.

  4. Si la columna Estado indica un problema de KMS, resuelva el problema inmediatamente.

    Durante las operaciones normales de KMS, el estado será conectado a KMS. Si un nodo está desconectado de la cuadrícula, se muestra el estado de conexión del nodo (administrativamente abajo o Desconocido).

    Otros mensajes de estado corresponden a las alertas StorageGRID con los mismos nombres:

    • No se ha podido cargar la configuración DE KMS

    • Error de conectividad DE KMS

    • No se ha encontrado el nombre de la clave de cifrado DE KMS

    • Error en la rotación de la clave de cifrado DE KMS

    • LA clave KMS no pudo descifrar el volumen de un dispositivo

    • KMS no está configurado

    Realice las acciones recomendadas para estas alertas.

Precaución Debe solucionar cualquier problema inmediatamente para garantizar que los datos están totalmente protegidos.

Editar un KMS

Es posible que deba editar la configuración de un servidor de gestión de claves, por ejemplo, si un certificado está a punto de expirar.

Antes de empezar
Pasos

  1. Seleccione CONFIGURACIÓN > Seguridad > servidor de administración de claves.

    Se muestra la página Servidor de gestión de claves donde se muestran todos los servidores de gestión de claves que se configuraron.

  2. Selecciona el KMS que deseas editar y selecciona Acciones > Editar.

    También puede editar un KMS seleccionando el nombre del KMS en la tabla y seleccionando Editar en la página de detalles del KMS.

  3. Opcionalmente, actualice los detalles en Paso 1 (detalles de KMS) del asistente Editar un servidor de administración de claves.

    Campo Descripción

    Nombre de KM

    Un nombre descriptivo que le ayudará a identificar este KMS. Debe tener entre 1 y 64 caracteres.

    Nombre de clave

    El alias de clave exacto del cliente StorageGRID en el KMS. Debe tener entre 1 y 255 caracteres.

    Solo es necesario editar el nombre de la clave en casos excepcionales. Por ejemplo, debe editar el nombre de clave si se cambia el nombre del alias en el KMS o si se han copiado todas las versiones de la clave anterior al historial de versiones del nuevo alias.

    Administra claves para

    Si está editando un KMS específico del sitio y aún no tiene un KMS predeterminado, seleccione opcionalmente Sitios no gestionados por otro KMS (KMS predeterminado). Esta selección convierte un KMS específico del sitio al KMS predeterminado, que se aplicará a todos los sitios que no tienen un KMS dedicado y a cualquier sitio agregado en una expansión.

    Nota: Si está editando un KMS específico del sitio, no puede seleccionar otro sitio. Si está editando el KMS predeterminado, no puede seleccionar un sitio específico.

    Puerto

    El puerto que el servidor KMS utiliza para las comunicaciones mediante el protocolo de interoperabilidad de gestión de claves (KMIP). De forma predeterminada es 5696, que es el puerto estándar KMIP.

    Nombre del hostl

    El nombre de dominio completo o la dirección IP del KMS.

    Nota: El campo Nombre Alternativo del Asunto (SAN) del certificado del servidor debe incluir el FQDN o la dirección IP que introduzca aquí. De lo contrario, StorageGRID no podrá conectarse al KMS ni a todos los servidores de un clúster KMS.

  4. Si está configurando un clúster KMS, seleccione Agregar otro nombre de host para agregar un nombre de host para cada servidor del clúster.

  5. Seleccione continuar.

    Paso 2 (Cargar certificado de servidor) del asistente Editar un servidor de gestión de claves.

  6. Si necesita sustituir el certificado del servidor, seleccione examinar y cargue el nuevo archivo.

  7. Seleccione continuar.

    El paso 3 (Cargar certificados de cliente) del asistente Editar un servidor de gestión de claves aparece.

  8. Si necesita sustituir el certificado de cliente y la clave privada del certificado de cliente, seleccione examinar y cargue los nuevos archivos.

  9. Selecciona Probar y guardar.

    Se prueban las conexiones entre el servidor de gestión de claves y todos los nodos de dispositivos cifrados por nodo en los sitios afectados. Si todas las conexiones de nodos son válidas y se encuentra la clave correcta en el KMS, el servidor de gestión de claves se agrega a la tabla de la página servidor de gestión de claves.

  10. Si aparece un mensaje de error, revise los detalles del mensaje y seleccione Aceptar.

    Por ejemplo, puede recibir un error 422: Entidad no procesable si el sitio seleccionado para este KMS ya está administrado por otro KMS o si se produjo un error en una prueba de conexión.

  11. Si necesita guardar la configuración actual antes de resolver los errores de conexión, seleccione Forzar guardar.

    Precaución Al seleccionar Force save se guarda la configuración de KMS, pero no se prueba la conexión externa de cada dispositivo a ese KMS. Si hay un problema con la configuración, es posible que no pueda reiniciar los nodos de los dispositivos que tienen habilitado el cifrado de nodos en el sitio afectado. Es posible que pierda acceso a los datos hasta que se resuelvan los problemas.

    Se guarda la configuración de KMS.

  12. Revise la advertencia de confirmación y seleccione Aceptar si está seguro de que desea forzar el guardado de la configuración.

    La configuración del KMS se guarda, pero la conexión al KMS no se prueba.

Quitar un servidor de gestión de claves (KMS)

En algunos casos, es posible quitar un servidor de gestión de claves. Por ejemplo, puede que desee quitar un KMS específico de un sitio si ha retirado del servicio el sitio.

Antes de empezar
Acerca de esta tarea

Puede eliminar un KMS en los siguientes casos:

  • Puede eliminar un KMS específico de un sitio si se ha dado de baja o si el sitio incluye ningún nodo de dispositivo con cifrado de nodo activado.

  • Puede eliminar el KMS predeterminado si ya existe un KMS específico del sitio para cada sitio que tiene nodos de dispositivo con cifrado de nodo activado.

Pasos

  1. Seleccione CONFIGURACIÓN > Seguridad > servidor de administración de claves.

    Se muestra la página Servidor de gestión de claves donde se muestran todos los servidores de gestión de claves que se configuraron.

  2. Selecciona el KMS que deseas eliminar y selecciona Acciones > Eliminar.

    También puede eliminar un KMS seleccionando el nombre del KMS en la tabla y seleccionando Eliminar en la página de detalles del KMS.

  3. Confirme que lo siguiente es verdadero:

    • Está eliminando un KMS específico del sitio para un sitio que no tiene ningún nodo de dispositivo con cifrado de nodo activado.

    • Está eliminando el KMS predeterminado, pero ya existe un KMS específico para cada sitio con cifrado de nodo.

  4. Seleccione .

    La configuración de KMS se elimina.