Skip to main content
Element Software
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Configurar o gerenciamento de chaves externas

Colaboradores
PDFs

Você pode seguir estas etapas e usar os métodos da API Element listados para configurar seu recurso de gerenciamento de chaves externas.

O que você vai precisar

  • Se você estiver configurando o gerenciamento de chaves externas em combinação com a criptografia de software em repouso, habilitou a criptografia de software em repouso usando o "CreateCluster" método em um novo cluster que não contém volumes.

Passos

  1. Estabeleça uma relação de confiança com o servidor de chave externa (EKS).

    1. Crie um par de chaves públicas/privadas para o cluster de elementos que é usado para estabelecer uma relação de confiança com o servidor de chaves chamando o seguinte método de API: "CreatePublicPrivateKeyPair"

    2. Obtenha o pedido de assinatura de certificado (CSR) que a Autoridade de Certificação precisa assinar. O CSR permite que o servidor de chaves verifique se o cluster do elemento que vai acessar as chaves é autenticado como o cluster do elemento. Chame o seguinte método API: "GetClientCertificateSignRequest"

    3. Utilize a EKS/Certificate Authority para assinar a CSR recuperada. Consulte a documentação de terceiros para obter mais informações.

  2. Crie um servidor e um provedor no cluster para se comunicar com o EKS. Um provedor de chaves define onde uma chave deve ser obtida, e um servidor define os atributos específicos do EKS que serão comunicados.

    1. Crie um provedor de chaves onde os detalhes do servidor de chaves residirão chamando o seguinte método de API: "CreateKeyProviderKmip"

    2. Crie um servidor de chaves fornecendo o certificado assinado e o certificado de chave pública da Autoridade de Certificação chamando os seguintes métodos de API: "CreateKeyServerKmip" "TestKeyServerKmip"

      Se o teste falhar, verifique a conetividade e a configuração do servidor. Em seguida, repita o teste.

    3. Adicione o servidor de chaves ao contentor do provedor de chaves chamando os seguintes métodos de API: "AddKeyServerToProviderKmip" "TestKeyProviderKmip"

      Se o teste falhar, verifique a conetividade e a configuração do servidor. Em seguida, repita o teste.

  3. Execute uma das seguintes ações como próxima etapa para criptografia em repouso:

    1. (Para criptografia de hardware em repouso) ative "criptografia de hardware em repouso"fornecendo a ID do provedor de chaves que contém o servidor de chaves usado para armazenar as chaves chamando o "EnableEncryptionAtRest"método API.

      Observação É necessário habilitar a criptografia em repouso por meio do "API". Ativar a criptografia em repouso usando o botão UI do elemento existente fará com que o recurso reverta para o uso de chaves geradas internamente.

    2. (Para criptografia de software em repouso) para "criptografia de software em repouso"utilizar o provedor de chaves recém-criado, passe o ID do provedor de chaves para o "RekeySoftwareEncryptionAtRestMasterKey"método API.

Encontre mais informações