外部セキュリティキーを作成します
キー管理サーバでドライブセキュリティ機能を使用するには、キー管理サーバとストレージアレイのセキュリティ対応ドライブで共有する外部キーを作成する必要があります。
-
アレイにセキュリティ対応ドライブが搭載されている必要があります。対応するドライブには、Full Disk Encryption(FDE)ドライブと連邦情報処理標準(FIPS)ドライブがあります。
ストレージアレイにFDEドライブとFIPSドライブの両方が搭載されている場合、すべてのドライブで同じセキュリティキーが共有されます。
-
ドライブセキュリティ機能を有効にする必要があります。それ以外の場合は、このタスクの実行中に[セキュリティキーを作成できません*]ダイアログボックスが開きます。ドライブセキュリティ機能を有効にする手順については、必要に応じてストレージベンダーに問い合わせてください。
-
ストレージアレイとキー管理サーバが相互に認証できるように、クライアント証明書とサーバ証明書をローカルホストに用意します。クライアント証明書はコントローラを、サーバ証明書はキー管理サーバを検証します。
このタスクでは、キー管理サーバのIPアドレスと使用するポート番号を定義し、外部キー管理に使用する証明書をロードします。
-
メニューを選択します。[設定][システム]。
-
セキュリティキー管理*で、*外部キーの作成*を選択します。
内部キー管理が現在設定されている場合は、外部キー管理に切り替えるかどうかの確認を求めるダイアログボックスが表示されます。
[外部セキュリティキーの作成*]ダイアログボックスが開きます。
-
[キーサーバへの接続]で、次のフィールドに情報を入力します。
-
キー管理サーバのアドレス-キー管理に使用するサーバの完全修飾ドメイン名またはIPアドレス(IPv4またはIPv6)を入力します。
-
キー管理ポート番号-- Key Management Interoperability Protocol (KMIP )通信に使用するポート番号を入力しますキー管理サーバの通信に使用される最も一般的なポート番号は5696です。
-
クライアント証明書の選択—最初の参照ボタンをクリックして'ストレージアレイのコントローラの証明書ファイルを選択します
-
キー管理サーバのサーバ証明書を選択します-- 2番目の参照ボタンをクリックして'キー管理サーバの証明書ファイルを選択します
-
-
「 * 次へ * 」をクリックします。
-
[Create/Backup Key](キーの作成/バックアップ)*で、次のフィールドに情報を入力します。
-
パスフレーズを定義/パスフレーズを再入力—パスフレーズを入力して確認します8~32文字で指定し、以下の文字をそれぞれ1文字以上含める必要があります。
-
大文字のアルファベット(1文字以上)。パスフレーズでは大文字と小文字が区別されることに注意してください。
-
数字(1文字以上)。
-
英数字以外の、!、*、@などの文字(1文字以上)。
-
あとで使用できるように、エントリを記録しておいてください。セキュリティ有効ドライブをストレージアレイから移動する必要がある場合、ドライブデータのロックを解除するためにパスフレーズが必要になります。
-
-
[ 完了 ] をクリックします。
入力したクレデンシャルを使用して、システムがキー管理サーバに接続されます。その後、セキュリティキーのコピーがローカルシステムに格納されます。
ダウンロードファイルのパスは、ブラウザのデフォルトのダウンロード先によって異なる場合があります。
-
パスフレーズとダウンロードしたキーファイルの場所を記録し、*閉じる*をクリックします。
次のメッセージと外部キー管理へのリンクが表示されます。
現在のキー管理方法:外部
-
「* Test Communication *」を選択して、ストレージアレイとキー管理サーバの間の接続をテストします。
テスト結果がダイアログボックスに表示されます。
外部キー管理を有効にすると、セキュリティ有効のボリュームグループまたはプールを作成したり、既存のボリュームグループまたはプールでセキュリティを有効にしたりできます。
ドライブの電源をオフにしてオンにするたびに、すべてのセキュリティ有効ドライブがセキュリティロック状態になります。この状態のドライブのデータには、ドライブの初期化時にコントローラによって正しいセキュリティキーが適用されるまでアクセスできません。第三者がロックされたドライブを物理的に取り外して別のシステムに取り付けた場合でも、データへの不正アクセスを防止することができます。 |
-
セキュリティキーを検証して、キーファイルが破損していないことを確認します。