Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurare StorageGRID come client nel KMS

È necessario configurare StorageGRID come client per ciascun server di gestione delle chiavi esterno o cluster KMS prima di poter aggiungere il KMS a StorageGRID.

Nota Queste istruzioni si applicano a Thales CipherTrust Manager e Hashicorp Vault. Per un elenco dei prodotti e delle versioni supportati, utilizzare "Strumento matrice di interoperabilità NetApp (IMT)" .
Passi
  1. Dal software KMS, crea un client StorageGRID per ogni KMS o cluster KMS che intendi utilizzare.

    Ogni KMS gestisce una singola chiave di crittografia per i nodi degli appliance StorageGRID in un singolo sito o in un gruppo di siti.

  2. Crea una chiave utilizzando uno dei due metodi seguenti:

    • Utilizzare la pagina di gestione delle chiavi del prodotto KMS. Creare una chiave di crittografia AES per ogni KMS o cluster KMS.

      La chiave di crittografia deve essere pari o superiore a 2.048 bit e deve essere esportabile.

    • Chiedi a StorageGRID di creare la chiave. Ti verrà chiesto quando esegui il test e salvi dopo"caricamento dei certificati client" .

  3. Registrare le seguenti informazioni per ciascun KMS o cluster KMS.

    Quando aggiungi il KMS a StorageGRID, hai bisogno di queste informazioni:

    • Nome host o indirizzo IP per ciascun server.

    • Porta KMIP utilizzata dal KMS.

    • Alias della chiave per la chiave di crittografia nel KMS.

  4. Per ogni KMS o cluster KMS, ottenere un certificato server firmato da un'autorità di certificazione (CA) o un bundle di certificati che contenga ciascuno dei file di certificato CA codificati in PEM, concatenati nell'ordine della catena di certificati.

    Il certificato del server consente al KMS esterno di autenticarsi su StorageGRID.

    • Il certificato deve utilizzare il formato X.509 codificato Base-64 Privacy Enhanced Mail (PEM).

    • Il campo Subject Alternative Name (SAN) in ciascun certificato del server deve includere il nome di dominio completo (FQDN) o l'indirizzo IP a cui StorageGRID si connetterà.

      Nota Quando si configura il KMS in StorageGRID, è necessario immettere gli stessi FQDN o indirizzi IP nel campo Nome host.
    • Il certificato del server deve corrispondere al certificato utilizzato dall'interfaccia KMIP del KMS, che in genere utilizza la porta 5696.

  5. Ottenere il certificato client pubblico rilasciato a StorageGRID dal KMS esterno e la chiave privata per il certificato client.

    Il certificato client consente a StorageGRID di autenticarsi al KMS.