Skip to main content
SANtricity software
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

在 SANtricity System Manager 中创建外部安全密钥

PDF

要将 Drive Security 功能与密钥管理服务器一起使用,必须创建由密钥管理服务器和存储阵列中具有安全功能的驱动器共享的外部密钥。

开始之前

  • 必须在阵列中安装具有安全功能的驱动器。这些驱动器可以是全磁盘加密 (FDE) 驱动器或联邦信息处理标准 (FIPS) 驱动器。

    备注

    如果 FDE 和 FIPS 驱动器都安装在存储阵列中,则它们都共享相同的安全密钥。

  • 必须启用驱动器安全功能。否则,在此任务期间将打开"无法创建安全密钥"对话框。如有必要,请联系您的存储供应商以获取有关启用驱动器安全功能的说明。

  • 您拥有存储阵列控制器的签名客户端证书文件,并且已将该文件复制到访问 System Manager 的主机。客户端证书验证存储阵列的控制器,以便密钥管理服务器可以信任其 Key Management Interoperability Protocol (KMIP) 请求。

  • 您必须从密钥管理服务器检索证书文件,然后将该文件复制到您正在访问 System Manager 的主机。密钥管理服务器证书验证密钥管理服务器,因此存储阵列可以信任其 IP 地址。您可以为密钥管理服务器使用根证书、中间证书或服务器证书。

    备注

    有关服务器证书的详细信息,请参阅密钥管理服务器的文档。
关于此任务

在此任务中,您需要定义密钥管理服务器的 IP 地址及其使用的端口号,然后加载用于外部密钥管理的证书。

步骤

  1. 选择菜单:Settings[System]。

  2. Security key management 下,选择 Create External Key

    备注

    如果当前配置了内部密钥管理,则会打开一个对话框,要求您确认是否要切换到外部密钥管理。

    此时将打开创建外部安全密钥对话框。

  3. Connect to Key Server 下,在以下字段中输入信息。

    • 密钥管理服务器地址 — 输入用于密钥管理的服务器的完全限定域名或 IP 地址(IPv4 或 IPv6)。

    • 密钥管理端口号 — 输入用于 KMIP 通信的端口号。用于密钥管理服务器通信的最常见端口号是 5696。

      可选: 如果要配置备份密钥服务器,请单击 添加密钥服务器,然后输入该服务器的信息。如果无法访问主密钥服务器,将使用第二个密钥服务器。确保每个密钥服务器都可以访问相同的密钥数据库;否则,数组将发布错误,无法使用备份服务器。

    备注 一次仅使用一个密钥服务器。如果存储阵列无法到达主密钥服务器,则阵列将联系备份密钥服务器。请注意,必须保持两台服务器之间的奇偶校验;否则可能会导致错误。

    • 选择客户端证书 — 单击第一个 浏览 按钮,为存储阵列的控制器选择证书文件。

    • 选择专用密钥文件 — 如果需要,单击第二个 浏览 按钮为存储阵列的控制器选择专用密钥文件。

    • 选择密钥管理服务器的服务器证书 — 单击第三个 浏览 按钮为密钥管理服务器选择证书文件。您可以为密钥管理服务器选择根证书、中间证书或服务器证书。

  4. 单击 Next

  5. Create/Backup Key 下,您可以出于安全目的创建备份密钥。

    • (推荐)要创建备份密钥,请选中复选框,然后输入并确认密码短语。该值可以包含 8 到 32 个字符,并且必须包含以下每个字符:

      • 大写字母(一个或多个)。请注意,密码短语区分大小写。

      • 一个数字(一个或多个)。

      • 非字母数字字符,例如 !、*、@(一个或多个)。

    注意

    请务必记录您的输入以供以后使用。如果需要从存储阵列中移动启用安全的驱动器,则必须知道密码短语才能解锁驱动器数据。

    +

    • 如果不想创建备份密钥,请取消选中该复选框。

      注意

      请注意,如果您失去了对外部密钥服务器的访问权限,并且您没有备份密钥,则如果它们迁移到其他存储阵列,您将失去对驱动器上数据的访问权限。此选项是在 System Manager 中创建备份密钥的唯一方法。

  6. 单击 Finish

    系统使用您输入的凭据连接到密钥管理服务器。然后,安全密钥的副本将存储在您的本地系统上。

    备注

    下载文件的路径可能取决于浏览器的默认下载位置。

  7. 记录您的密码短语和下载的密钥文件的位置,然后单击 关闭

    页面将显示以下消息以及用于外部密钥管理的其他链接:

    Current key management method: External

  8. 通过选择 测试通信 来测试存储阵列和密钥管理服务器之间的连接。

    测试结果显示在对话框中。

结果

启用外部密钥管理后,可以创建启用安全的卷组或池,也可以启用现有卷组和池的安全性。

备注

每当驱动器的电源关闭然后再次打开时,所有启用安全的驱动器都会变为安全锁定状态。在此状态下,在控制器在驱动器初始化期间应用正确的安全密钥之前,数据不可访问。如果有人物理移除锁定的驱动器并将其安装在另一个系统中,安全锁定状态可防止对其数据进行未经授权的访问。
完成后

您应该验证安全密钥,以确保密钥文件未损坏。