Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Gestire un KMS

PDF

La gestione di un server di gestione delle chiavi (KMS) implica la visualizzazione o la modifica dei dettagli, la gestione dei certificati, la visualizzazione dei nodi crittografati e la rimozione di un KMS quando non è più necessario.

Prima di iniziare

Visualizza i dettagli KMS

È possibile visualizzare informazioni su ciascun server di gestione delle chiavi (KMS) nel sistema StorageGRID , inclusi i dettagli delle chiavi e lo stato corrente dei certificati del server e del client.

Passi

  1. Selezionare CONFIGURAZIONE > Sicurezza > Server di gestione delle chiavi.

    Viene visualizzata la pagina del server di gestione delle chiavi, che mostra le seguenti informazioni:

    • Nella scheda Dettagli configurazione sono elencati tutti i server di gestione delle chiavi configurati.

    • Nella scheda Nodi crittografati sono elencati tutti i nodi in cui è abilitata la crittografia dei nodi.

  2. Per visualizzare i dettagli di un KMS specifico ed eseguire operazioni su tale KMS, selezionare il nome del KMS. Nella pagina dei dettagli del KMS sono elencate le seguenti informazioni:

    Campo Descrizione

    Gestisce le chiavi per

    Il sito StorageGRID associato al KMS.

    Questo campo visualizza il nome di un sito StorageGRID specifico o Siti non gestiti da un altro KMS (KMS predefinito).

    Nome host

    Il nome di dominio completo o l'indirizzo IP del KMS.

    Se è presente un cluster di due server di gestione delle chiavi, vengono elencati il nome di dominio completo o l'indirizzo IP di entrambi i server. Se in un cluster sono presenti più di due server di gestione delle chiavi, viene elencato il nome di dominio completo o l'indirizzo IP del primo KMS, insieme al numero di server di gestione delle chiavi aggiuntivi nel cluster.

    Per esempio: 10.10.10.10 and 10.10.10.11 O 10.10.10.10 and 2 others .

    Per visualizzare tutti i nomi host in un cluster, selezionare un KMS e selezionare Modifica o Azioni > Modifica.

  3. Selezionare una scheda nella pagina dei dettagli KMS per visualizzare le seguenti informazioni:

    Scheda Campo Descrizione

    Dettagli chiave

    Nome chiave

    L'alias chiave per il client StorageGRID nel KMS.

    UID chiave

    L'identificatore univoco dell'ultima versione della chiave.

    Ultima modifica

    Data e ora dell'ultima versione della chiave.

    Certificato del server

    Metadati

    I metadati del certificato, come il numero di serie, la data e l'ora di scadenza e il PEM del certificato.

    Certificato PEM

    Il contenuto del file PEM (privacy enhanced mail) per il certificato.

    Certificato cliente

    Metadati

    I metadati del certificato, come il numero di serie, la data e l'ora di scadenza e il PEM del certificato.

  4. Seleziona Ruota chiave o utilizza il software KMS ogni volta che le pratiche di sicurezza della tua organizzazione lo richiedono, per creare una nuova versione della chiave.

    Quando la rotazione della chiave ha esito positivo, i campi UID chiave e Ultima modifica vengono aggiornati.

    Avvertenza

    Se si ruota la chiave di crittografia utilizzando il software KMS, ruotarla dall'ultima versione utilizzata della chiave a una nuova versione della stessa chiave. Non ruotare su una tonalità completamente diversa.

    Non tentare mai di ruotare una chiave modificando il nome della chiave (alias) per il KMS. StorageGRID richiede che tutte le versioni delle chiavi utilizzate in precedenza (così come quelle future) siano accessibili dal KMS con lo stesso alias della chiave. Se modifichi l'alias della chiave per un KMS configurato, StorageGRID potrebbe non essere in grado di decrittografare i dati.

Gestisci i certificati

Risolvere tempestivamente eventuali problemi relativi ai certificati del server o del client. Se possibile, sostituire i certificati prima che scadano.

Avvertenza Per mantenere l'accesso ai dati, è necessario risolvere il prima possibile eventuali problemi relativi ai certificati.
Passi

  1. Selezionare CONFIGURAZIONE > Sicurezza > Server di gestione delle chiavi.

  2. Nella tabella, osserva il valore della Scadenza del certificato per ciascun KMS.

  3. Se la scadenza del certificato per un KMS è sconosciuta, attendere fino a 30 minuti e quindi aggiornare il browser Web.

  4. Se la colonna Scadenza certificato indica che un certificato è scaduto o sta per scadere, selezionare il KMS per andare alla pagina dei dettagli del KMS.

    1. Selezionare Certificato server e verificare il valore per il campo "Scade il".

    2. Per sostituire il certificato, seleziona Modifica certificato per caricare un nuovo certificato.

    3. Ripetere questi sotto-passaggi e selezionare Certificato client anziché Certificato server.

  5. Quando vengono attivati gli avvisi Scadenza certificato CA KMS, Scadenza certificato client KMS e Scadenza certificato server KMS, annotare la descrizione di ciascun avviso ed eseguire le azioni consigliate.

    Potrebbero volerci fino a 30 minuti prima che StorageGRID riceva gli aggiornamenti sulla scadenza del certificato. Aggiorna il browser web per visualizzare i valori correnti.

Nota Se viene visualizzato lo stato Lo stato del certificato del server è sconosciuto, accertarsi che il KMS consenta di ottenere un certificato del server senza richiedere un certificato del client.

Visualizza i nodi crittografati

È possibile visualizzare informazioni sui nodi dell'appliance nel sistema StorageGRID in cui è abilitata l'impostazione Crittografia nodi.

Passi

  1. Selezionare CONFIGURAZIONE > Sicurezza > Server di gestione delle chiavi.

    Viene visualizzata la pagina Key Management Server. La scheda Dettagli configurazione mostra tutti i server di gestione delle chiavi che sono stati configurati.

  2. Nella parte superiore della pagina, seleziona la scheda Nodi crittografati.

    Nella scheda Nodi crittografati sono elencati i nodi dell'appliance nel sistema StorageGRID in cui è abilitata l'impostazione Crittografia nodi.

  3. Esaminare le informazioni nella tabella per ciascun nodo dell'appliance.

    Colonna Descrizione

    Nome del nodo

    Il nome del nodo dell'appliance.

    Tipo di nodo

    Tipo di nodo: Storage, Admin o Gateway.

    Sito

    Nome del sito StorageGRID in cui è installato il nodo.

    Nome KMS

    Nome descrittivo del KMS utilizzato per il nodo.

    Se non è elencato alcun KMS, selezionare la scheda Dettagli configurazione per aggiungerne uno.

    "Aggiungere un server di gestione delle chiavi (KMS)"

    UID chiave

    ID univoco della chiave di crittografia utilizzata per crittografare e decrittografare i dati sul nodo dell'appliance. Per visualizzare l'intero UID della chiave, selezionare il testo.

    Un trattino (--) indica che l'UID della chiave è sconosciuto, probabilmente a causa di un problema di connessione tra il nodo dell'appliance e il KMS.

    Stato

    Lo stato della connessione tra il KMS e il nodo dell'appliance. Se il nodo è connesso, il timestamp viene aggiornato ogni 30 minuti. Dopo le modifiche alla configurazione KMS, potrebbero essere necessari diversi minuti prima che lo stato della connessione venga aggiornato.

    Nota: aggiorna il browser web per visualizzare i nuovi valori.

  4. Se la colonna Stato indica un problema KMS, risolverlo immediatamente.

    Durante le normali operazioni KMS, lo stato sarà Connesso a KMS. Se un nodo è disconnesso dalla rete, viene visualizzato lo stato di connessione del nodo (Amministrativamente inattivo o Sconosciuto).

    Altri messaggi di stato corrispondono agli avvisi StorageGRID con gli stessi nomi:

    • Impossibile caricare la configurazione KMS

    • Errore di connettività KMS

    • Nome della chiave di crittografia KMS non trovato

    • Rotazione della chiave di crittografia KMS non riuscita

    • La chiave KMS non è riuscita a decrittografare un volume dell'appliance

    • KMS non è configurato

    Eseguire le azioni consigliate per questi avvisi.

Avvertenza È necessario risolvere immediatamente qualsiasi problema per garantire la completa protezione dei dati.

Modifica un KMS

Potrebbe essere necessario modificare la configurazione di un server di gestione delle chiavi, ad esempio se un certificato sta per scadere.

Prima di iniziare
Passi

  1. Selezionare CONFIGURAZIONE > Sicurezza > Server di gestione delle chiavi.

    Viene visualizzata la pagina Server di gestione delle chiavi, che mostra tutti i server di gestione delle chiavi configurati.

  2. Seleziona il KMS che vuoi modificare e seleziona Azioni > Modifica.

    È anche possibile modificare un KMS selezionando il nome del KMS nella tabella e selezionando Modifica nella pagina dei dettagli del KMS.

  3. Facoltativamente, aggiornare i dettagli nel Passaggio 1 (Dettagli KMS) della procedura guidata Modifica un server di gestione delle chiavi.

    Campo Descrizione

    Nome KMS

    Un nome descrittivo che ti aiuti a identificare questo KMS. Deve contenere tra 1 e 64 caratteri.

    Nome chiave

    L'alias chiave esatto per il client StorageGRID nel KMS. Deve contenere tra 1 e 255 caratteri.

    Solo in rari casi è necessario modificare il nome della chiave. Ad esempio, è necessario modificare il nome della chiave se l'alias è stato rinominato nel KMS o se tutte le versioni della chiave precedente sono state copiate nella cronologia delle versioni del nuovo alias.

    Gestisce le chiavi per

    Se stai modificando un KMS specifico del sito e non hai ancora un KMS predefinito, seleziona facoltativamente Siti non gestiti da un altro KMS (KMS predefinito). Questa selezione converte un KMS specifico del sito nel KMS predefinito, che verrà applicato a tutti i siti che non dispongono di un KMS dedicato e a tutti i siti aggiunti in un'espansione.

    Nota: se stai modificando un KMS specifico di un sito, non puoi selezionare un altro sito. Se stai modificando il KMS predefinito, non puoi selezionare un sito specifico.

    Porta

    La porta utilizzata dal server KMS per le comunicazioni KMIP (Key Management Interoperability Protocol). Il valore predefinito è 5696, che è la porta standard KMIP.

    Nome host

    Il nome di dominio completo o l'indirizzo IP per il KMS.

    Nota: il campo Subject Alternative Name (SAN) del certificato del server deve includere l'FQDN o l'indirizzo IP immesso qui. In caso contrario, StorageGRID non sarà in grado di connettersi al KMS o a tutti i server in un cluster KMS.

  4. Se si sta configurando un cluster KMS, selezionare Aggiungi un altro nome host per aggiungere un nome host per ciascun server nel cluster.

  5. Selezionare Continua.

    Viene visualizzato il passaggio 2 (Carica certificato server) della procedura guidata Modifica un server di gestione delle chiavi.

  6. Se è necessario sostituire il certificato del server, selezionare Sfoglia e caricare il nuovo file.

  7. Selezionare Continua.

    Viene visualizzato il passaggio 3 (Caricamento dei certificati client) della procedura guidata Modifica un server di gestione delle chiavi.

  8. Se è necessario sostituire il certificato client e la chiave privata del certificato client, selezionare Sfoglia e caricare i nuovi file.

  9. Seleziona Test e salva.

    Vengono testate le connessioni tra il server di gestione delle chiavi e tutti i nodi dell'appliance crittografati tramite nodo nei siti interessati. Se tutte le connessioni dei nodi sono valide e la chiave corretta viene trovata sul KMS, il server di gestione delle chiavi viene aggiunto alla tabella nella pagina Server di gestione delle chiavi.

  10. Se viene visualizzato un messaggio di errore, rivedere i dettagli del messaggio e selezionare OK.

    Ad esempio, potresti ricevere un errore 422: Entità non elaborabile se il sito selezionato per questo KMS è già gestito da un altro KMS o se un test di connessione non è riuscito.

  11. Se è necessario salvare la configurazione corrente prima di risolvere gli errori di connessione, selezionare Forza salvataggio.

    Avvertenza Selezionando Forza salvataggio la configurazione KMS viene salvata, ma non viene testata la connessione esterna da ciascun dispositivo a quel KMS. Se si verifica un problema con la configurazione, potrebbe non essere possibile riavviare i nodi dell'appliance in cui è abilitata la crittografia dei nodi nel sito interessato. Potresti perdere l'accesso ai tuoi dati finché i problemi non saranno risolti.

    La configurazione KMS è stata salvata.

  12. Rivedi l'avviso di conferma e seleziona OK se sei sicuro di voler forzare il salvataggio della configurazione.

    La configurazione KMS viene salvata, ma la connessione al KMS non viene testata.

Rimuovere un server di gestione delle chiavi (KMS)

In alcuni casi potrebbe essere necessario rimuovere un server di gestione delle chiavi. Ad esempio, potresti voler rimuovere un KMS specifico di un sito se hai dismesso il sito.

Prima di iniziare
Informazioni su questo compito

È possibile rimuovere un KMS nei seguenti casi:

  • È possibile rimuovere un KMS specifico del sito se il sito è stato dismesso o se non include nodi appliance con crittografia dei nodi abilitata.

  • È possibile rimuovere il KMS predefinito se per ogni sito che dispone di nodi appliance con crittografia dei nodi abilitata esiste già un KMS specifico.

Passi

  1. Selezionare CONFIGURAZIONE > Sicurezza > Server di gestione delle chiavi.

    Viene visualizzata la pagina Server di gestione delle chiavi, che mostra tutti i server di gestione delle chiavi configurati.

  2. Seleziona il KMS che vuoi rimuovere e seleziona Azioni > Rimuovi.

    È anche possibile rimuovere un KMS selezionando il nome del KMS nella tabella e selezionando Rimuovi dalla pagina dei dettagli del KMS.

  3. Conferma che quanto segue è vero:

    • Si sta rimuovendo un KMS specifico del sito per un sito che non dispone di alcun nodo appliance con crittografia del nodo abilitata.

    • Stai rimuovendo il KMS predefinito, ma per ogni sito esiste già un KMS specifico con crittografia dei nodi.

  4. Selezionare .

    La configurazione KMS è stata rimossa.