Configurar StorageGRID como cliente en el KMS
Debe configurar StorageGRID como cliente para cada servidor de administración de claves externo o clúster KMS antes de poder agregar el KMS a StorageGRID.
|
Estas instrucciones se aplican a Thales CipherTrust Manager y Hashicorp Vault. Para obtener una lista de productos y versiones compatibles, utilice el "Herramienta de matriz de interoperabilidad de NetApp (IMT)" . |
-
Desde el software KMS, cree un cliente StorageGRID para cada KMS o clúster KMS que planee utilizar.
Cada KMS administra una única clave de cifrado para los nodos de dispositivos StorageGRID en un solo sitio o en un grupo de sitios.
-
Cree una clave utilizando uno de los dos métodos siguientes:
-
Utilice la página de administración de claves de su producto KMS. Cree una clave de cifrado AES para cada KMS o clúster KMS.
La clave de cifrado debe tener 2048 bits o más y debe ser exportable.
-
Haga que StorageGRID cree la clave. Se le avisará cuando realice la prueba y guarde después"cargando certificados de cliente" .
-
-
Registre la siguiente información para cada KMS o clúster KMS.
Necesita esta información cuando agrega el KMS a StorageGRID:
-
Nombre de host o dirección IP para cada servidor.
-
Puerto KMIP utilizado por el KMS.
-
Alias de clave para la clave de cifrado en el KMS.
-
-
Para cada KMS o clúster KMS, obtenga un certificado de servidor firmado por una autoridad de certificación (CA) o un paquete de certificados que contenga cada uno de los archivos de certificado de CA codificados en PEM, concatenados en el orden de la cadena de certificados.
El certificado del servidor permite que el KMS externo se autentique en StorageGRID.
-
El certificado debe utilizar el formato X.509 codificado en Base-64 de correo de privacidad mejorada (PEM).
-
El campo Nombre alternativo del sujeto (SAN) en cada certificado de servidor debe incluir el nombre de dominio completo (FQDN) o la dirección IP a la que se conectará StorageGRID .
Al configurar el KMS en StorageGRID, debe ingresar los mismos FQDN o direcciones IP en el campo Nombre de host. -
El certificado del servidor debe coincidir con el certificado utilizado por la interfaz KMIP del KMS, que normalmente utiliza el puerto 5696.
-
-
Obtenga el certificado de cliente público emitido a StorageGRID por el KMS externo y la clave privada para el certificado de cliente.
El certificado de cliente permite que StorageGRID se autentique ante el KMS.