Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Adicionar um servidor de gerenciamento de chaves (KMS)

PDFs

Use o assistente do StorageGRID Key Management Server para adicionar cada KMS ou cluster KMS.

Antes de começar
Sobre esta tarefa

Se possível, configure quaisquer servidores de gerenciamento de chaves específicos do site antes de configurar um KMS padrão que se aplique a todos os sites não gerenciados por outro KMS. Se você criar o KMS padrão primeiro, todos os dispositivos criptografados por nó na grade serão criptografados pelo KMS padrão. Se você quiser criar um KMS específico do site mais tarde, primeiro deverá copiar a versão atual da chave de criptografia do KMS padrão para o novo KMS. Ver"Considerações para alterar o KMS de um site" para mais detalhes.

Etapa 1: detalhes do KMS

Na Etapa 1 (Detalhes do KMS) do assistente Adicionar um Servidor de Gerenciamento de Chaves, você fornece detalhes sobre o KMS ou cluster KMS.

Passos

  1. Selecione CONFIGURAÇÃO > Segurança > Servidor de gerenciamento de chaves.

    A página do servidor de gerenciamento de chaves é exibida com a guia Detalhes da configuração selecionada.

  2. Selecione Criar.

    A etapa 1 (detalhes do KMS) do assistente Adicionar um servidor de gerenciamento de chaves é exibida.

  3. Insira as seguintes informações para o KMS e o cliente StorageGRID que você configurou nesse KMS.

    Campo Descrição

    Nome da KMS

    Um nome descritivo para ajudar você a identificar este KMS. Deve ter entre 1 e 64 caracteres.

    Nome da chave

    O alias de chave exato para o cliente StorageGRID no KMS. Deve ter entre 1 e 255 caracteres.

    Observação: se você não criou uma chave usando seu produto KMS, será solicitado que o StorageGRID crie a chave.

    Gerencia chaves para

    O site StorageGRID que será associado a este KMS. Se possível, você deve configurar quaisquer servidores de gerenciamento de chaves específicos do site antes de configurar um KMS padrão que se aplique a todos os sites não gerenciados por outro KMS.

    • Selecione um site se este KMS gerenciará chaves de criptografia para os nós do dispositivo em um site específico.

    • Selecione Sites não gerenciados por outro KMS (KMS padrão) para configurar um KMS padrão que será aplicado a todos os sites que não tenham um KMS dedicado e a todos os sites que você adicionar em expansões subsequentes.

      Observação: Um erro de validação ocorrerá quando você salvar a configuração do KMS se você selecionar um site que foi criptografado anteriormente pelo KMS padrão, mas não tiver fornecido a versão atual da chave de criptografia original para o novo KMS.

    Porta

    A porta que o servidor KMS usa para comunicações do Protocolo de Interoperabilidade de Gerenciamento de Chaves (KMIP). O padrão é 5696, que é a porta padrão do KMIP.

    Nome do host

    O nome de domínio totalmente qualificado ou endereço IP para o KMS.

    Observação: O campo Nome Alternativo do Assunto (SAN) do certificado do servidor deve incluir o FQDN ou endereço IP que você inserir aqui. Caso contrário, o StorageGRID não conseguirá se conectar ao KMS ou a todos os servidores em um cluster KMS.

  4. Se você estiver configurando um cluster KMS, selecione Adicionar outro nome de host para adicionar um nome de host para cada servidor no cluster.

  5. Selecione Continuar.

Etapa 2: Carregar certificado do servidor

Na Etapa 2 (Carregar certificado do servidor) do assistente Adicionar um servidor de gerenciamento de chaves, você carrega o certificado do servidor (ou pacote de certificados) para o KMS. O certificado do servidor permite que o KMS externo se autentique no StorageGRID.

Passos

  1. Na Etapa 2 (Carregar certificado do servidor), navegue até o local do certificado do servidor ou pacote de certificados salvo.

  2. Carregue o arquivo do certificado.

    Os metadados do certificado do servidor são exibidos.

    Observação Se você carregou um pacote de certificados, os metadados de cada certificado aparecem em sua própria guia.

  3. Selecione Continuar.

Etapa 3: Carregar certificados de cliente

Na Etapa 3 (Carregar certificados de cliente) do assistente Adicionar um servidor de gerenciamento de chaves, você carrega o certificado de cliente e a chave privada do certificado de cliente. O certificado do cliente permite que o StorageGRID se autentique no KMS.

Passos

  1. Na Etapa 3 (Carregar certificados do cliente), navegue até o local do certificado do cliente.

  2. Carregue o arquivo de certificado do cliente.

    Os metadados do certificado do cliente são exibidos.

  3. Navegue até o local da chave privada do certificado do cliente.

  4. Carregue o arquivo da chave privada.

  5. Selecione Testar e salvar.

    Se uma chave não existir, você será solicitado a solicitar que o StorageGRID crie uma.

    As conexões entre o servidor de gerenciamento de chaves e os nós do dispositivo são testadas. Se todas as conexões forem válidas e a chave correta for encontrada no KMS, o novo servidor de gerenciamento de chaves será adicionado à tabela na página Servidor de gerenciamento de chaves.

    Observação Imediatamente após adicionar um KMS, o status do certificado na página Servidor de Gerenciamento de Chaves aparece como Desconhecido. O StorageGRID pode levar até 30 minutos para obter o status real de cada certificado. Você deve atualizar seu navegador para ver o status atual.

  6. Se uma mensagem de erro aparecer quando você selecionar Testar e salvar, revise os detalhes da mensagem e selecione OK.

    Por exemplo, você pode receber um erro 422: Entidade não processável se um teste de conexão falhar.

  7. Se precisar salvar a configuração atual sem testar a conexão externa, selecione Forçar salvamento.

    Cuidado Selecionar Forçar salvamento salva a configuração do KMS, mas não testa a conexão externa de cada dispositivo com esse KMS. Se houver um problema com a configuração, talvez você não consiga reinicializar os nós do dispositivo que tenham a criptografia de nó ativada no site afetado. Você pode perder o acesso aos seus dados até que os problemas sejam resolvidos.

  8. Revise o aviso de confirmação e selecione OK se tiver certeza de que deseja forçar o salvamento da configuração.

    A configuração do KMS é salva, mas a conexão com o KMS não é testada.