设置外部密钥管理

您可以通过 Element API 执行这些基本步骤来设置外部密钥管理功能。有关每种 API 方法的详细信息,请参见《Element API 参考指南》。

步骤

  1. 与外部密钥服务器 (External Key Server, EKS) 建立信任关系。
    1. 通过调用以下 API 方法为 Element 集群创建一个公共/专用密钥对,用于与密钥服务器建立信任关系:CreatePublicPrivateKeyPair
    2. 获取需要由证书颁发机构签名的证书签名请求 (Certificate Sign Request, CSR)。此密钥服务器可通过此 CSR 确认要访问这些密钥的 Element 集群是否已通过 Element 集群身份的验证。调用以下 API 方法:GetClientCertificateSignRequest
    3. 使用 EKS/证书颁发机构对检索到的 CSR 进行签名。有关详细信息,请参见第三方文档。
  2. 在此集群上创建一个服务器和提供程序以与 EKS 进行通信。密钥提供程序用于定义应从何处获取密钥,而服务器则用于定义要与之通信的 EKS 的特定属性。
    1. 通过调用以下 API 方法创建用于存放密钥服务器详细信息的密钥提供程序:CreateKeyProviderKmip
    2. 通过调用以下 API 方法创建用于提供证书颁发机构签名证书和公共密钥的密钥服务器:CreateKeyServerKmip TestKeyServerKmip

      如果测试失败,请验证服务器连接和配置。然后,重新执行此测试。

    3. 通过调用以下 API 方法将此密钥服务器添加到此密钥提供程序容器中:AddKeyServerToProviderKmip TestKeyProviderKmip

      如果测试失败,请验证服务器连接和配置。然后,重新执行此测试。

  3. 启用空闲加密
    1. 通过调用以下 API 方法并提供用于存储密钥的密钥服务器所在密钥提供程序的 ID 来启用空闲加密:EnableEncryptionAtRest
    注:要使用外部密钥管理配置启用空闲加密,必须通过此 API 启用空闲加密。如果使用现有 Element UI 按钮启用,则会恢复为使用内部生成的密钥。