Skip to main content
SANtricity software
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

SANtricity System Manager 存储驱动器安全常见问题解答

PDF

如果您只是想快速了解问题解答,此常见问题解答会很有帮助。

在创建安全密钥之前、我需要了解哪些信息?

安全密钥由存储阵列中的控制器和启用了安全保护的驱动器共享。如果从存储阵列中删除了启用了安全保护的驱动器、则安全密钥可防止数据遭受未经授权的访问。

您可以使用以下方法之一创建和管理安全密钥:

  • 控制器永久性内存上的内部密钥管理。

  • 外部密钥管理服务器上的外部密钥管理。

内部密钥管理

在控制器永久性内存的不可访问位置维护内部密钥并"`hidden`"。在创建内部安全密钥之前、必须执行以下操作:

  1. 在存储阵列中安装支持安全保护的驱动器。这些驱动器可以是全磁盘加密(Full Disk Encryption、FDE)驱动器或联邦信息处理标准(Federal Information Processing Standard、FIPS)驱动器。

  2. 确保已启用驱动器安全功能。如有必要、请联系您的存储供应商、了解有关启用驱动器安全功能的说明。

然后、您可以创建内部安全密钥、其中包括定义标识符和密码短语。标识符是与安全密钥关联的字符串、存储在控制器以及与该密钥关联的所有驱动器上。密码短语用于对安全密钥进行加密、以用于备份。完成后、安全密钥将存储在控制器上不可访问的位置。然后、您可以创建启用了安全保护的卷组或池、也可以对现有卷组和池启用安全性。

外部密钥管理

外部密钥使用密钥管理互操作性协议(Key Management Interoperability Protocol、KMIP)在单独的密钥管理服务器上进行维护。在创建外部安全密钥之前、必须执行以下操作:

  1. 在存储阵列中安装支持安全保护的驱动器。这些驱动器可以是全磁盘加密(Full Disk Encryption、FDE)驱动器或联邦信息处理标准(Federal Information Processing Standard、FIPS)驱动器。

  2. 确保已启用驱动器安全功能。如有必要、请联系您的存储供应商、了解有关启用驱动器安全功能的说明。

  3. 获取签名的客户端证书文件。客户端证书用于验证存储阵列的控制器、以便密钥管理服务器可以信任其KMIP请求。

    1. 首先、您需要完成并下载客户端证书签名请求(CSR)。转到菜单:设置[证书>密钥管理>完成CSR]。

    2. 接下来、您需要从密钥管理服务器信任的CA请求签名客户端证书。(您也可以使用下载的CSR文件从密钥管理服务器创建和下载客户端证书。)

    3. 拥有客户端证书文件后、将该文件复制到要访问System Manager的主机。

  4. 从密钥管理服务器检索证书文件、然后将该文件复制到要访问System Manager的主机。密钥管理服务器证书用于验证密钥管理服务器、以便存储阵列可以信任其IP地址。您可以对密钥管理服务器使用根证书、中间证书或服务器证书。

然后、您可以创建外部密钥、其中包括定义密钥管理服务器的IP地址以及用于KMIP通信的端口号。在此过程中、您还可以加载证书文件。完成后、系统将使用您输入的凭据连接到密钥管理服务器。然后、您可以创建启用了安全保护的卷组或池、也可以对现有卷组和池启用安全性。

为什么需要定义密码短语?

密码短语用于对存储在本地管理客户端上的安全密钥文件进行加密和解密。如果没有密码短语、则无法对安全密钥进行解密、并使用此安全密钥从启用了安全功能的驱动器中解锁数据、如果此驱动器重新安装在另一个存储阵列中。

为什么记录安全密钥信息很重要?

如果丢失安全密钥信息并且没有备份、则在重新定位启用了安全保护的驱动器或升级控制器时可能会丢失数据。您需要使用安全密钥来解锁驱动器上的数据。

请务必记录安全密钥标识符、关联的密码短语以及安全密钥文件保存在本地主机上的位置。

备份安全密钥前需要了解哪些信息?

如果原始安全密钥损坏、并且您没有备份、则在驱动器从一个存储阵列迁移到另一个存储阵列时、您将无法访问这些驱动器上的数据。

备份安全密钥之前、请记住以下准则:

  • 确保您知道原始密钥文件的安全密钥标识符和密码短语。

    备注

    只有内部密钥使用标识符。创建标识符时、系统会自动生成其他字符并将其附加到标识符字符串的两端。生成的字符可确保标识符是唯一的。

  • 您可以为备份创建新的密码短语。此密码短语不需要与创建原始密钥或上次更改时使用的密码短语匹配。密码短语仅适用于您要创建的备份。

    备注

    驱动器安全密码短语不应与存储阵列的管理员密码相混淆。Drive Security的密码短语用于保护安全密钥的备份。管理员密码可保护整个存储阵列、防止未经授权的访问。

  • 备份安全密钥文件将下载到管理客户端。下载文件的路径可能取决于浏览器的默认下载位置。请务必记录安全密钥信息的存储位置。

在解除安全驱动器锁定之前、我需要了解哪些信息?

要从启用了安全的驱动器解锁数据、必须导入其安全密钥。

在解除锁定启用了安全保护的驱动器之前、请记住以下准则:

  • 存储阵列必须已具有安全密钥。迁移的驱动器将重新密钥设置到目标存储阵列。

  • 对于要迁移的驱动器、您必须知道安全密钥标识符以及与安全密钥文件对应的密码短语。

  • 管理客户端(具有用于访问System Manager的浏览器的系统)上必须具有安全密钥文件。

  • 如果要重置锁定的NVMe驱动器、必须输入驱动器的安全ID。要找到安全ID、您必须物理移除驱动器、并在驱动器标签上找到PSID字符串(最多32个字符)。在开始操作之前、请确保已重新安装驱动器。

什么是读/写可访问性?

驱动器设置窗口包含有关驱动器安全属性的信息。"读/写可访问"是驱动器数据已锁定时显示的属性之一。

要查看驱动器安全属性、请转到硬件页面。选择一个驱动器、单击*查看设置*、然后单击*显示更多设置*。如果驱动器已解锁、则页面底部的读/写可访问属性值为*是*。驱动器锁定时、读/写可访问属性值为*否、安全密钥无效*。您可以通过导入安全密钥来解锁安全驱动器(转到菜单:设置(系统>解锁安全驱动器)。

验证安全密钥时需要了解哪些信息?

创建安全密钥后、您应验证密钥文件以确保其未损坏。

如果验证失败、请执行以下操作:

  • 如果安全密钥标识符与控制器上的标识符不匹配、请找到正确的安全密钥文件、然后重试验证。

  • 如果控制器无法对安全密钥进行解密以进行验证、则您输入的密码短语可能不正确。仔细检查密码短语、必要时重新输入、然后重试验证。如果此错误消息再次出现、请选择密钥文件的备份(如果可用)、然后重试验证。

  • 如果仍然无法验证安全密钥、则原始文件可能已损坏。创建密钥的新备份并验证该副本。

内部安全密钥与外部安全密钥管理有何区别?

在实施驱动器安全功能时、当从存储阵列中删除启用了安全保护的驱动器时、您可以使用内部安全密钥或外部安全密钥锁定数据。

安全密钥是一个字符串、在存储阵列中启用了安全保护的驱动器和控制器之间共享。内部密钥会保留在控制器的永久性内存上。外部密钥使用密钥管理互操作性协议(Key Management Interoperability Protocol、KMIP)在单独的密钥管理服务器上进行维护。