Skip to main content
Une version plus récente de ce produit est disponible.
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Modification d'un serveur de gestion des clés (KMS)

Contributeurs

Vous devrez peut-être modifier la configuration d'un serveur de gestion des clés, par exemple si un certificat est sur le point d'expirer.

Avant de commencer
Étapes
  1. Sélectionnez CONFIGURATION > sécurité > serveur de gestion des clés.

    La page serveur de gestion des clés s'affiche et affiche tous les serveurs de gestion des clés qui ont été configurés.

  2. Sélectionnez le KMS à modifier, puis sélectionnez actions > Modifier.

    Vous pouvez également modifier un KMS en sélectionnant le nom KMS dans la table et en sélectionnant Modifier sur la page de détails KMS.

  3. Vous pouvez également mettre à jour les détails dans Etape 1 (détails KMS) de l'assistant Modifier un serveur de gestion des clés.

    Champ Description

    Nom KM

    Un nom descriptif pour vous aider à identifier ce KMS. Doit comporter entre 1 et 64 caractères.

    Nom de la clé

    Alias de clé exact pour le client StorageGRID dans le KMS. Doit comporter entre 1 et 255 caractères.

    Il vous suffit de modifier le nom de la clé dans de rares cas. Par exemple, vous devez modifier le nom de la clé si l'alias est renommé dans le KMS ou si toutes les versions de la clé précédente ont été copiées dans l'historique des versions du nouvel alias.

    Avertissement

    Ne tentez jamais de faire pivoter une clé en modifiant le nom de clé (alias) du KMS. Faites plutôt pivoter la clé en mettant à jour la version de clé dans le logiciel KMS. StorageGRID nécessite que toutes les versions de clés déjà utilisées (ainsi que toutes les versions à venir) soient accessibles depuis le KMS avec le même alias de clé. Si vous modifiez l'alias de clé pour un KMS configuré, StorageGRID risque de ne pas être en mesure de décrypter vos données.

    Gère les clés pour

    Si vous modifiez un KMS spécifique à un site et que vous ne disposez pas déjà d'un KMS par défaut, sélectionnez éventuellement sites non gérés par un autre KMS (KMS par défaut). Cette sélection convertit un KMS spécifique au site en KMS par défaut, qui s'appliquera à tous les sites qui n'ont pas de KMS dédié et à tous les sites ajoutés dans une extension.

    Remarque : si vous modifiez un KMS spécifique à un site, vous ne pouvez pas sélectionner un autre site. Si vous modifiez le KMS par défaut, vous ne pouvez pas sélectionner un site spécifique.

    Port

    Le port utilisé par le serveur KMS pour les communications KMIP (Key Management Interoperability Protocol). La valeur par défaut est 5696, qui est le port standard KMIP.

    Nom d'hôte

    Le nom de domaine complet ou l'adresse IP du KMS.

    Remarque : le champ Subject alternative Name (SAN) du certificat de serveur doit inclure le nom de domaine complet ou l'adresse IP que vous entrez ici. Dans le cas contraire, StorageGRID ne pourra pas se connecter au KMS ou à tous les serveurs d'un cluster KMS.

  4. Si vous configurez un cluster KMS, sélectionnez Ajouter un autre nom d'hôte pour ajouter un nom d'hôte pour chaque serveur du cluster.

  5. Sélectionnez Continuer.

    L'étape 2 (Télécharger le certificat de serveur) de l'assistant Modifier un serveur de gestion des clés s'affiche.

  6. Si vous devez remplacer le certificat de serveur, sélectionnez Parcourir et téléchargez le nouveau fichier.

  7. Sélectionnez Continuer.

    L'étape 3 (Téléchargement de certificats client) de l'assistant Modifier un serveur de gestion des clés s'affiche.

  8. Si vous devez remplacer le certificat client et la clé privée du certificat client, sélectionnez Parcourir et téléchargez les nouveaux fichiers.

  9. Sélectionnez Tester et enregistrer.

    Les connexions entre le serveur de gestion des clés et tous les nœuds d'appliance chiffrés sur les sites affectés sont testées. Si toutes les connexions de nœud sont valides et que la clé correcte est trouvée sur le KMS, le serveur de gestion des clés est ajouté à la table de la page Key Management Server.

  10. Si un message d'erreur s'affiche, vérifiez les détails du message et sélectionnez OK.

    Par exemple, vous pouvez recevoir une erreur 422 : entité impossible à traiter si le site que vous avez sélectionné pour ce KMS est déjà géré par un autre KMS, ou si un test de connexion a échoué.

  11. Si vous devez enregistrer la configuration actuelle avant de résoudre les erreurs de connexion, sélectionnez forcer l'enregistrement.

    Avertissement La sélection de forcer l'enregistrement enregistre la configuration KMS, mais elle ne teste pas la connexion externe de chaque appliance à ce KMS. En cas de problème avec la configuration, vous ne pouvez pas redémarrer les nœuds d'appliance pour lesquels le chiffrement de nœud est activé sur le site affecté. L'accès à vos données risque d'être perdu jusqu'à la résolution des problèmes.

    La configuration KMS est enregistrée.

  12. Vérifiez l'avertissement de confirmation et sélectionnez OK si vous êtes sûr de vouloir forcer l'enregistrement de la configuration.

    La configuration KMS est enregistrée mais la connexion au KMS n'est pas testée.