Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

外部セキュリティキーを作成します

共同作成者
PDF

キー管理サーバでドライブセキュリティ機能を使用するには、キー管理サーバとストレージアレイのセキュリティ対応ドライブで共有する外部キーを作成する必要があります。

作業を開始する前に

  • アレイにセキュリティ対応ドライブが搭載されている必要があります。対応するドライブには、Full Disk Encryption(FDE)ドライブと連邦情報処理標準(FIPS)ドライブがあります。

    メモ

    ストレージアレイにFDEドライブとFIPSドライブの両方が搭載されている場合、すべてのドライブで同じセキュリティキーが共有されます。

  • ドライブセキュリティ機能を有効にする必要があります。そうしないと、このタスクの実行中に[セキュリティキーを作成できません]ダイアログボックスが開きます。ドライブセキュリティ機能を有効にする手順については、必要に応じてストレージベンダーに問い合わせてください。

  • ストレージアレイのコントローラ用の署名済みクライアント証明書ファイルが必要です。このファイルをSystem Managerにアクセスするホストにコピーしておきます。クライアント証明書は、キー管理サーバが自身のKey Management Interoperability Protocol(KMIP)要求を信頼できるよう、ストレージアレイのコントローラを検証します。

  • キー管理サーバから証明書ファイルを取得し、そのファイルをSystem Managerにアクセスするホストにコピーする必要があります。キー管理サーバ証明書は、ストレージアレイがサーバのIPアドレスを信頼できるよう、キー管理サーバを検証します。キー管理サーバには、ルート証明書、中間証明書、またはサーバ証明書を使用できます。

    メモ

    サーバ証明書の詳細については、キー管理サーバのドキュメントを参照してください。
このタスクについて

このタスクでは、キー管理サーバのIPアドレスと使用するポート番号を定義し、外部キー管理に使用する証明書をロードします。

手順

  1. メニューを選択します。[設定][システム]。

  2. セキュリティキー管理*で、*外部キーの作成*を選択します。

    メモ

    内部キー管理が現在設定されている場合は、外部キー管理に切り替えるかどうかの確認を求めるダイアログボックスが表示されます。

    [外部セキュリティキーの作成]ダイアログボックスが開きます。

  3. [キーサーバへの接続]で、次のフィールドに情報を入力します。

    • キー管理サーバのアドレス-キー管理に使用するサーバの完全修飾ドメイン名またはIPアドレス(IPv4またはIPv6)を入力します。

    • キー管理ポート番号-- KMIP通信に使用するポート番号を入力しますキー管理サーバの通信に使用される最も一般的なポート番号は5696です。

      *オプション:*バックアップ・キー・サーバを構成する場合は、*キー・サーバの追加*をクリックし、そのサーバの情報を入力します。プライマリキーサーバに到達できない場合は、2番目のキーサーバが使用されます。各キーサーバが同じキーデータベースにアクセスできることを確認します。アクセスできないと、エラーが発生し、バックアップサーバを使用できなくなります。

    メモ 一度に使用されるキーサーバは1つだけです。ストレージアレイがプライマリキーサーバにアクセスできない場合、アレイはバックアップキーサーバに接続します。両方のサーバ間でパリティを維持する必要があることに注意してください。維持しないとエラーが発生することがあります。

    • クライアント証明書の選択--最初の*参照*ボタンをクリックして、ストレージアレイのコントローラの証明書ファイルを選択します。

    • キー管理サーバのサーバ証明書を選択-- 2番目の*参照*ボタンをクリックして、キー管理サーバの証明書ファイルを選択します。キー管理サーバのルート証明書、中間証明書、またはサーバ証明書を選択できます。

  4. 「 * 次へ * 」をクリックします。

  5. キーの作成/バックアップ」では、セキュリティ上の理由からバックアップ・キーを作成できます。

    • (推奨)バックアップキーを作成する場合は、チェックボックスを選択したまま、パスフレーズを入力して確認します。8~32文字で指定し、以下の文字をそれぞれ1文字以上含める必要があります。

      • 大文字のアルファベット(1文字以上)。パスフレーズでは大文字と小文字が区別されることに注意してください。

      • 数字(1文字以上)。

      • 英数字以外の、!、*、@などの文字(1文字以上)。

    注意

    後で使用するために、必ず入力を記録しておいてください。セキュリティ有効ドライブをストレージアレイから移動する必要がある場合、ドライブデータのロックを解除するためにパスフレーズが必要になります。

    +

    • バックアップキーを作成しない場合は、チェックボックスを選択解除します。

      注意

      外部キーサーバへのアクセスが失われてバックアップキーがない場合は、ドライブが別のストレージアレイに移行されると、ドライブ上のデータにアクセスできなくなることに注意してください。このオプションは、System Managerでバックアップキーを作成する唯一の方法です。

  6. [ 完了 ] をクリックします。

    入力したクレデンシャルを使用して、システムがキー管理サーバに接続されます。その後、セキュリティキーのコピーがローカルシステムに格納されます。

    メモ

    ダウンロードファイルのパスは、ブラウザのデフォルトのダウンロード先によって異なる場合があります。

  7. パスフレーズとダウンロードしたキーファイルの場所を記録し、*閉じる*をクリックします。

    次のメッセージと外部キー管理へのリンクが表示されます。

    現在のキー管理方法:外部

  8. 「* Test Communication *」を選択して、ストレージアレイとキー管理サーバの間の接続をテストします。

    テスト結果がダイアログボックスに表示されます。

結果

外部キー管理を有効にすると、セキュリティ有効のボリュームグループまたはプールを作成したり、既存のボリュームグループまたはプールでセキュリティを有効にしたりできます。

メモ

ドライブの電源をオフにしてオンにするたびに、すべてのセキュリティ有効ドライブがセキュリティロック状態になります。この状態のドライブのデータには、ドライブの初期化時にコントローラによって正しいセキュリティキーが適用されるまでアクセスできません。第三者がロックされたドライブを物理的に取り外して別のシステムに取り付けた場合でも、データへの不正アクセスを防止することができます。
完了後

セキュリティキーを検証して、キーファイルが破損していないことを確認します。