Skip to main content
Uma versão mais recente deste produto está disponível.
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Adicionar um servidor de gerenciamento de chaves (KMS)

Colaboradores

Você usa o assistente do servidor de gerenciamento de chaves do StorageGRID para adicionar cada cluster KMS ou KMS.

O que você vai precisar
Sobre esta tarefa

Se possível, configure qualquer servidor de gerenciamento de chaves específico do site antes de configurar um KMS padrão que se aplique a todos os sites não gerenciados por outro KMS. Se você criar o KMS padrão primeiro, todos os dispositivos criptografados por nó na grade serão criptografados pelo KMS padrão. Se você quiser criar um KMS específico do site mais tarde, primeiro copie a versão atual da chave de criptografia do KMS padrão para o novo KMS. Considerações para alterar o KMS para um siteConsulte para obter detalhes.

Passo 1: Insira os detalhes do KMS

Na Etapa 1 (Inserir detalhes do KMS) do assistente Adicionar um servidor de gerenciamento de chaves, você fornece detalhes sobre o cluster KMS ou KMS.

Passos
  1. Selecione CONFIGURATION > Security > Key Management Server.

    A página Key Management Server (servidor de gerenciamento de chaves) é exibida com a guia Configuration Details (Detalhes da configuração) selecionada.

    Detalhes Configuração KMS no KMS
  2. Selecione criar.

    O passo 1 (Digite os detalhes do KMS) do assistente Adicionar um servidor de gerenciamento de chaves é exibido.

    Kms passo 1 Digite os detalhes do KMS
  3. Insira as seguintes informações para o KMS e o cliente StorageGRID que você configurou nesse KMS.

    Campo Descrição

    Nome de exibição de KMS

    Um nome descritivo para ajudá-lo a identificar este KMS. Deve ter entre 1 e 64 carateres.

    Nome da chave

    O alias exato da chave para o cliente StorageGRID no KMS. Deve ter entre 1 e 255 carateres.

    Gere as chaves para

    O site StorageGRID que será associado a este KMS. Se possível, você deve configurar qualquer servidor de gerenciamento de chaves específico do site antes de configurar um KMS padrão que se aplica a todos os sites não gerenciados por outro KMS.

    • Selecione um site se este KMS gerenciará chaves de criptografia para os nós do dispositivo em um local específico.

    • Selecione Sites não gerenciados por outro KMS (KMS padrão) para configurar um KMS padrão que se aplicará a quaisquer sites que não tenham um KMS dedicado e a quaisquer sites que você adicionar em expansões subsequentes.

      Nota: Um erro de validação ocorrerá quando você salvar a configuração do KMS se você selecionar um site que foi criptografado anteriormente pelo KMS padrão, mas você não forneceu a versão atual da chave de criptografia original para o novo KMS.

    Porta

    A porta que o servidor KMS usa para comunicações KMIP (Key Management Interoperability Protocol). O padrão é 5696, que é a porta padrão KMIP.

    Nome do anfitrião

    O nome de domínio ou endereço IP totalmente qualificado para o KMS.

    Observação: o campo SAN do certificado do servidor deve incluir o FQDN ou o endereço IP que você inserir aqui. Caso contrário, o StorageGRID não poderá se conetar ao KMS ou a todos os servidores em um cluster KMS.

  4. Se você estiver usando um cluster KMS, selecione o sinal de mais Sinal Icon Pluspara adicionar um nome de host para cada servidor no cluster.

  5. Selecione seguinte.

Passo 2: Carregar certificado de servidor

Na Etapa 2 (carregar certificado do servidor) do assistente Adicionar um servidor de gerenciamento de chaves, você carrega o certificado do servidor (ou pacote de certificados) para o KMS. O certificado do servidor permite que o KMS externo se autentique no StorageGRID.

Passos
  1. A partir de passo 2 (carregar certificado do servidor), navegue até a localização do certificado ou pacote de certificados do servidor guardado.

    KMS passo 2 carregar certificado de servidor
  2. Carregue o ficheiro de certificado.

    Os metadados do certificado do servidor são exibidos.

    metadados do certificado do servidor passo 2 kms
    Observação Se você carregou um pacote de certificados, os metadados de cada certificado serão exibidos em sua própria guia.
  3. Selecione seguinte.

Passo 3: Faça o upload de certificados de cliente

Na Etapa 3 (carregar certificados de cliente) do assistente Adicionar um servidor de gerenciamento de chaves, você carrega o certificado de cliente e a chave privada do certificado de cliente. O certificado de cliente permite que o StorageGRID se autentique no KMS.

Passos
  1. A partir do passo 3 (carregar certificados de cliente), navegue até a localização do certificado de cliente.

    Kms passo 3 carregar certificado de cliente
  2. Carregue o ficheiro de certificado do cliente.

    Os metadados do certificado do cliente são exibidos.

  3. Navegue até a localização da chave privada para o certificado do cliente.

  4. Carregue o ficheiro de chave privada.

    Os metadados do certificado de cliente e da chave privada do certificado de cliente são exibidos.

    Kms passo 3 metadados do certificado do cliente
  5. Selecione Guardar.

    As conexões entre o servidor de gerenciamento de chaves e os nós do dispositivo são testadas. Se todas as conexões forem válidas e a chave correta for encontrada no KMS, o novo servidor de gerenciamento de chaves será adicionado à tabela na página servidor de gerenciamento de chaves.

    Observação Imediatamente após adicionar um KMS, o status do certificado na página Key Management Server (servidor de gerenciamento de chaves) aparece como desconhecido. Pode demorar StorageGRID até 30 minutos para obter o status real de cada certificado. Você deve atualizar o navegador da Web para ver o status atual.
  6. Se uma mensagem de erro for exibida quando você selecionar Salvar, revise os detalhes da mensagem e selecione OK.

    Por exemplo, você pode receber um erro de entidade 422: Não processável se um teste de conexão falhar.

  7. Se você precisar salvar a configuração atual sem testar a conexão externa, selecione Force Save.

    Kms Force Save
    Importante Selecionar Force Save salva a configuração do KMS, mas não testa a conexão externa de cada dispositivo para esse KMS. Se houver um problema com a configuração, talvez você não consiga reinicializar os nós de dispositivo que têm a criptografia de nó ativada no site afetado. Você pode perder o acesso aos seus dados até que os problemas sejam resolvidos.
  8. Reveja o aviso de confirmação e selecione OK se tiver a certeza de que pretende forçar a gravação da configuração.

    Aviso de salvamento de força de KMS

    A configuração do KMS é salva, mas a conexão com o KMS não é testada.