Skip to main content
SANtricity software
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

SANtricity System Manager 存储驱动器安全常见问题解答

PDF

如果您只是在寻找问题的快速答案,此常见问题可以为您提供帮助。

在创建安全密钥之前,我需要知道什么?

安全密钥由存储阵列中的控制器和启用安全功能的驱动器共享。如果从存储阵列中删除了启用安全的驱动器,安全密钥将保护数据免受未经授权的访问。

您可以使用以下方法之一创建和管理安全密钥:

  • 控制器持久内存上的内部密钥管理。

  • 外部密钥管理服务器上的外部密钥管理。

内部密钥管理

内部密钥得到维护,并"隐藏"在控制器永久内存上的不可访问位置。在创建内部安全密钥之前,您必须执行以下操作:

  1. 在存储阵列中安装具有安全功能的驱动器。这些驱动器可以是全磁盘加密 (FDE) 驱动器或联邦信息处理标准 (FIPS) 驱动器。

  2. 确保已启用 Drive Security 功能。如有必要,请联系您的存储供应商,以获取有关启用 Drive Security 功能的说明。

然后,您可以创建内部安全密钥,其中包括定义标识符和密码短语。标识符是与安全密钥关联的字符串,存储在控制器和与密钥关联的所有驱动器上。密码短语用于加密安全密钥以进行备份。完成后,安全密钥将存储在控制器上不可访问的位置。然后,您可以创建启用安全的卷组或池,也可以在现有卷组和池上启用安全性。

外部密钥管理

外部密钥使用密钥管理互操作性协议 (KMIP) 维护在单独的密钥管理服务器上。在创建外部安全密钥之前,必须执行以下操作:

  1. 在存储阵列中安装具有安全功能的驱动器。这些驱动器可以是全磁盘加密 (FDE) 驱动器或联邦信息处理标准 (FIPS) 驱动器。

  2. 确保已启用 Drive Security 功能。如有必要,请联系您的存储供应商,以获取有关启用 Drive Security 功能的说明。

  3. 获取已签名的客户端证书文件。客户端证书验证存储阵列的控制器,以便密钥管理服务器可以信任其 KMIP 请求。

    1. 首先,完成并下载客户端证书签名请求 (CSR)。进入菜单:Settings[Certificates > Key Management > Complete CSR]。

    2. 接下来,向受密钥管理服务器信任的 CA 请求签名的客户端证书。(您还可以使用下载的 CSR 文件从密钥管理服务器创建和下载客户端证书。)

    3. 获得客户端证书文件后,将该文件复制到访问 System Manager 的主机。

  4. 从密钥管理服务器检索证书文件,然后将该文件复制到您正在访问 System Manager 的主机。密钥管理服务器证书验证密钥管理服务器,因此存储阵列可以信任其 IP 地址。您可以为密钥管理服务器使用根证书、中间证书或服务器证书。

然后,您可以创建一个外部密钥,其中包括定义密钥管理服务器的 IP 地址和用于 KMIP 通信的端口号。在此过程中,您还可以加载证书文件。完成后,系统将使用您输入的凭据连接到密钥管理服务器。然后,您可以创建启用安全的卷组或池,也可以在现有卷组和池上启用安全性。

为什么需要定义密码短语?

密码短语用于对存储在本地管理客户端上的安全密钥文件进行加密和解密。如果没有密码短语,安全密钥将无法解密,并且在重新安装到另一个存储阵列中时无法用于从启用安全的驱动器解锁数据。

为什么记录安全密钥信息很重要?

如果丢失安全密钥信息且没有备份,则可能会在重新定位启用安全的驱动器或升级控制器时丢失数据。您需要安全密钥才能解锁驱动器上的数据。

请务必记录安全密钥标识符、关联的密码短语以及保存安全密钥文件的本地主机上的位置。

在备份安全密钥之前,我需要知道什么?

如果您的原始安全密钥已损坏,并且您没有备份,则如果驱动器从一个存储阵列迁移到另一个存储阵列,您将失去对驱动器上数据的访问权限。

在备份安全密钥之前,请记住以下准则:

  • 请确保您知道原始密钥文件的安全密钥标识符和密码。

    备注

    仅内部密钥使用标识符。创建标识符时,会自动生成附加字符并将其附加到标识符字符串的两端。生成的字符确保标识符是唯一的。

  • 您为备份创建新的密码短语。此密码短语不需要与创建或上次更改原始密钥时使用的密码短语相匹配。密码短语仅适用于您要创建的备份。

    备注

    不应将驱动器安全的密码短语与存储阵列的管理员密码混淆。驱动器安全的密码短语保护安全密钥的备份。管理员密码可保护整个存储阵列免受未经授权的访问。

  • 备份安全密钥文件将下载到您的管理客户端。下载文件的路径可能取决于浏览器的默认下载位置。请务必记录安全密钥信息的存储位置。

解锁安全驱动器之前,我需要了解哪些信息?

要从启用安全的驱动器解锁数据,您必须导入其安全密钥。

在解锁启用安全功能的驱动器之前,请记住以下准则:

  • 存储阵列必须已具有安全密钥。迁移的驱动器将重新键入到目标存储阵列。

  • 对于要迁移的驱动器,您必须知道安全密钥标识符和对应于安全密钥文件的密码短语。

  • 安全密钥文件必须在管理客户端(具有用于访问 System Manager 的浏览器的系统)上可用。

  • 如果要重置锁定的 NVMe 驱动器,则必须输入驱动器的安全 ID。要查找安全 ID,您必须以物理方式移除驱动器,并在驱动器标签上找到 PSID 字符串(最多 32 个字符)。在开始操作之前,请确保已重新安装驱动器。

什么是读/写可访问性?

Drive Settings 窗口包含有关 Drive Security 属性的信息。"Read/Write Accessible"是驱动器数据已锁定时显示的属性之一。

要查看驱动器安全属性,请转到硬件页面。选择驱动器,单击*查看设置*,然后单击*显示更多设置*。在页面底部,驱动器解锁时,Read/Write Accessible 属性值为 Yes。驱动器锁定时,Read/Write Accessible 属性值为 No, invalid security key。您可以通过导入安全密钥来解锁安全驱动器(转到菜单:Settings[System > Unlock Secure Drives])。

关于验证安全密钥,我需要了解哪些信息?

创建安全密钥后,应验证密钥文件,以确保其未损坏。

如果验证失败,请执行以下操作:

  • 如果安全密钥标识符与控制器上的标识符不匹配,请找到正确的安全密钥文件,然后重试验证。

  • 如果控制器无法解密安全密钥进行验证,则可能是输入了错误的密码短语。请仔细检查密码短语,如有必要请重新输入,然后重试验证。如果错误消息再次出现,请选择密钥文件的备份(如果可用)并重试验证。

  • 如果仍然无法验证安全密钥,则原始文件可能已损坏。创建密钥的新备份并验证该副本。

内部安全密钥和外部安全密钥管理有什么区别?

当您实施 Drive Security 功能时,可以使用内部安全密钥或外部安全密钥在从存储阵列中移除启用安全的驱动器时锁定数据。

安全密钥是一串字符,在存储阵列中启用安全的驱动器和控制器之间共享。内部密钥保留在控制器的永久内存中。外部密钥使用密钥管理互操作性协议 (KMIP) 维护在单独的密钥管理服务器上。