Modifica di un server di gestione delle chiavi (KMS)
Potrebbe essere necessario modificare la configurazione di un server di gestione delle chiavi, ad esempio, se un certificato sta per scadere.
-
È necessario aver esaminato "considerazioni e requisiti per l'utilizzo di un server di gestione delle chiavi".
-
Se si prevede di aggiornare il sito selezionato per un KMS, è necessario esaminare "Considerazioni per la modifica del KMS per un sito".
-
È necessario disporre dell'autorizzazione di accesso root.
-
È necessario accedere a Grid Manager utilizzando un browser supportato.
-
Selezionare Configuration System Settings Key Management Server.
Viene visualizzata la pagina Key Management Server (Server di gestione delle chiavi) che mostra tutti i server di gestione delle chiavi configurati.
-
Selezionare il KMS che si desidera modificare e selezionare Edit (Modifica).
-
Se si desidera, aggiornare i dettagli nel Passo 1 (Immetti dettagli KMS) della procedura guidata Modifica un server di gestione delle chiavi.
Campo Descrizione Nome visualizzato DI KMS
Un nome descrittivo per aiutarti a identificare questo KMS. Deve essere compreso tra 1 e 64 caratteri.
Key Name (Nome chiave)
L'alias esatto della chiave per il client StorageGRID nel KMS. Deve essere compreso tra 1 e 255 caratteri.
È sufficiente modificare il nome della chiave solo in rari casi. Ad esempio, è necessario modificare il nome della chiave se l'alias viene rinominato in KMS o se tutte le versioni della chiave precedente sono state copiate nella cronologia delle versioni del nuovo alias.
Non tentare mai di ruotare una chiave cambiando il nome della chiave (alias) per il KMS. Al contrario, ruotare la chiave aggiornando la versione della chiave nel software KMS. StorageGRID richiede che tutte le versioni delle chiavi utilizzate in precedenza (così come quelle future) siano accessibili dal KMS con lo stesso alias della chiave. Se si modifica l'alias della chiave per un KMS configurato, StorageGRID potrebbe non essere in grado di decrittare i dati.
Gestisce le chiavi per
Se si sta modificando un KMS specifico del sito e non si dispone già di un KMS predefinito, selezionare Sites Not Managed by another KMS (default KMS) (Siti non gestiti da un altro KMS (default KMS)*). Questa selezione converte un KMS specifico del sito nel KMS predefinito, che verrà applicato a tutti i siti che non dispongono di un KMS dedicato e a tutti i siti aggiunti in un'espansione.
Nota: se si modifica un KMS specifico del sito, non è possibile selezionare un altro sito. Se si sta modificando il KMS predefinito, non è possibile selezionare un sito specifico.
Porta
La porta utilizzata dal server KMS per le comunicazioni KMIP (Key Management Interoperability Protocol). Il valore predefinito è 5696, ovvero la porta standard KMIP.
Nome host
Il nome di dominio completo o l'indirizzo IP del KMS.
Nota: il campo SAN del certificato del server deve includere l'FQDN o l'indirizzo IP immesso qui. In caso contrario, StorageGRID non sarà in grado di connettersi al KMS o a tutti i server di un cluster KMS.
-
Se si sta configurando un cluster KMS, selezionare il segno più per aggiungere un nome host per ciascun server nel cluster.
-
Selezionare Avanti.
Viene visualizzata la fase 2 (carica certificato server) della procedura guidata Modifica un server di gestione delle chiavi.
-
Se è necessario sostituire il certificato del server, selezionare Sfoglia e caricare il nuovo file.
-
Selezionare Avanti.
Viene visualizzata la fase 3 (carica certificati client) della procedura guidata Modifica un server di gestione delle chiavi.
-
Se è necessario sostituire il certificato client e la chiave privata del certificato client, selezionare Browse (Sfoglia) e caricare i nuovi file.
-
Selezionare Salva.
Vengono testate le connessioni tra il server di gestione delle chiavi e tutti i nodi di appliance con crittografia a nodo nei siti interessati. Se tutte le connessioni dei nodi sono valide e la chiave corretta viene trovata nel KMS, il server di gestione delle chiavi viene aggiunto alla tabella nella pagina Server di gestione delle chiavi.
-
Se viene visualizzato un messaggio di errore, esaminare i dettagli del messaggio e selezionare OK.
Ad esempio, se il sito selezionato per questo KMS è già gestito da un altro KMS o se un test di connessione non ha avuto esito positivo, potrebbe essere visualizzato un errore 422: Unprocessable Entity.
-
Se è necessario salvare la configurazione corrente prima di risolvere gli errori di connessione, selezionare forza salvataggio.
Selezionando forza salvataggio viene salvata la configurazione KMS, ma non viene eseguita una verifica della connessione esterna da ciascuna appliance a quel KMS. In caso di problemi con la configurazione, potrebbe non essere possibile riavviare i nodi dell'appliance che hanno attivato la crittografia dei nodi nel sito interessato. È possibile che l'accesso ai dati venga perso fino a quando i problemi non vengono risolti. La configurazione KMS viene salvata.
-
Controllare l'avviso di conferma e selezionare OK se si desidera forzare il salvataggio della configurazione.
La configurazione KMS viene salvata ma la connessione al KMS non viene verificata.