使用CA签名的证书通过密钥管理服务器进行身份验证
要在密钥管理服务器和存储阵列控制器之间实现安全通信、您必须配置相应的证书集。
您必须使用包含安全管理员权限的用户配置文件登录。否则、不会显示证书功能。
在控制器和密钥管理服务器之间进行身份验证是一个两步操作步骤。
第1步:完成并提交CSR、以便使用密钥管理服务器进行身份验证
您必须先生成证书签名请求(CSR)文件、然后使用CSR从密钥管理服务器信任的证书颁发机构(CA)请求签名客户端证书。您还可以使用下载的CSR文件从密钥管理服务器创建和下载客户端证书。客户端证书可验证存储阵列的控制器、以便密钥管理服务器可以信任其密钥管理互操作性协议(Key Management Interoperability Protocol、KMIP)请求。
通过私钥和公共密钥对在外部生成的CSR文件可以通过"Create External Security Key"(创建外部安全密钥)对话框导入。有关导入外部生成的CSR文件的详细信息,请参阅 "第2步:导入密钥管理服务器的证书"。 |
-
选择菜单:设置[证书]。
-
从密钥管理选项卡中、选择*完成CSR*。
-
输入以下信息:
-
公用名--用于标识客户机的名称。常见做法是、将公用名中的内容与KMS服务器对客户端证书命名约定的要求进行匹配。公用名通常有助于KMS在握手期间提供客户端证书时识别该证书。
-
组织—贵公司或组织的法定全名。包括后缀、例如Inc.或Corp.
-
组织单位(可选)—组织中负责处理证书的部门。
-
城市/位置-组织所在的城市或位置。
-
省/自治区/直辖市(可选)—组织所在的省/自治区/直辖市。
-
国家/地区ISO代码—贵组织所在的两位数ISO (国际标准化组织)代码、例如美国。
-
-
单击 * 下载 * 。
此时、CSR文件将保存到本地系统。
-
从密钥管理服务器信任的CA请求签名客户端证书。
密钥管理服务器通常具有直接生成签名证书的工具、因为它充当自己的CA。 -
拥有客户端证书后、请转到 [第2步:导入密钥管理服务器的证书]。
第2步:导入密钥管理服务器的证书
下一步是、在存储阵列和密钥管理服务器之间导入用于身份验证的证书。证书有两种类型:客户端证书用于验证存储阵列的控制器、而密钥管理服务器证书用于验证服务器。您必须加载控制器的客户端证书文件和密钥管理服务器的服务器证书文件。
-
您有一个签名的客户端证书文件(请参见 第1步:完成并提交CSR、以便使用密钥管理服务器进行身份验证)、并且您已将该文件复制到要访问System Manager的主机。客户端证书可验证存储阵列的控制器、以便密钥管理服务器可以信任其密钥管理互操作性协议(Key Management Interoperability Protocol、KMIP)请求。
-
您必须从密钥管理服务器检索证书文件、然后将该文件复制到要访问System Manager的主机。密钥管理服务器证书用于验证密钥管理服务器、以便存储阵列可以信任其IP地址。您可以对密钥管理服务器使用根证书、中间证书或服务器证书。
有关服务器证书的详细信息、请参见密钥管理服务器的文档。
-
选择菜单:设置[证书]。
-
从密钥管理选项卡中、选择*导入*。
此时将打开一个对话框、用于导入证书文件。
-
在*选择客户端证书*旁边、单击*浏览*按钮为存储阵列的控制器选择客户端证书文件。
此时、文件名将显示在对话框中。
-
如果使用私钥和公钥对在外部生成了证书文件,请单击*Select private key file*旁边的*Browse*按钮,为存储阵列的控制器选择证书文件。
此时、文件名将显示在对话框中。
-
在*选择密钥管理服务器的服务器证书*旁边、单击*浏览*按钮为密钥管理服务器选择服务器证书文件。您可以为密钥管理服务器选择根证书、中间证书或服务器证书。
此时、文件名将显示在对话框中。
-
单击 * 导入 * 。
这些文件将上传并进行验证。