Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Configurar o StorageGRID como um cliente no KMS

Você deve configurar o StorageGRID como um cliente para cada servidor de gerenciamento de chaves externo ou cluster KMS antes de poder adicionar o KMS ao StorageGRID.

Observação Estas instruções se aplicam ao Thales CipherTrust Manager e ao Hashicorp Vault. Para obter uma lista de produtos e versões suportados, use o "Ferramenta de Matriz de Interoperabilidade NetApp (IMT)" .
Passos
  1. No software KMS, crie um cliente StorageGRID para cada KMS ou cluster KMS que você planeja usar.

    Cada KMS gerencia uma única chave de criptografia para os nós dos dispositivos StorageGRID em um único site ou em um grupo de sites.

  2. Crie uma chave usando um dos dois métodos a seguir:

    • Use a página de gerenciamento de chaves do seu produto KMS. Crie uma chave de criptografia AES para cada KMS ou cluster KMS.

      A chave de criptografia deve ter 2.048 bits ou mais e deve ser exportável.

    • Faça com que o StorageGRID crie a chave. Você será avisado quando testar e salvar depois"carregando certificados de cliente" .

  3. Registre as seguintes informações para cada KMS ou cluster KMS.

    Você precisa dessas informações ao adicionar o KMS ao StorageGRID:

    • Nome do host ou endereço IP para cada servidor.

    • Porta KMIP usada pelo KMS.

    • Alias de chave para a chave de criptografia no KMS.

  4. Para cada KMS ou cluster KMS, obtenha um certificado de servidor assinado por uma autoridade de certificação (CA) ou um pacote de certificados que contenha cada um dos arquivos de certificado de CA codificados em PEM, concatenados na ordem da cadeia de certificados.

    O certificado do servidor permite que o KMS externo se autentique no StorageGRID.

    • O certificado deve usar o formato X.509 codificado em Base 64 do Privacy Enhanced Mail (PEM).

    • O campo Nome Alternativo do Assunto (SAN) em cada certificado de servidor deve incluir o nome de domínio totalmente qualificado (FQDN) ou endereço IP ao qual o StorageGRID se conectará.

      Observação Ao configurar o KMS no StorageGRID, você deve inserir os mesmos FQDNs ou endereços IP no campo Nome do host.
    • O certificado do servidor deve corresponder ao certificado usado pela interface KMIP do KMS, que normalmente usa a porta 5696.

  5. Obtenha o certificado de cliente público emitido para o StorageGRID pelo KMS externo e a chave privada para o certificado de cliente.

    O certificado do cliente permite que o StorageGRID se autentique no KMS.