简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

在创建安全密钥之前、我需要了解哪些信息?

提供者

安全密钥由存储阵列中的控制器和启用了安全保护的驱动器共享。如果从存储阵列中删除了启用了安全保护的驱动器、则安全密钥可防止数据遭受未经授权的访问。

您可以使用以下方法之一创建和管理安全密钥:

  • 控制器永久性内存上的内部密钥管理。

  • 外部密钥管理服务器上的外部密钥管理。

内部密钥管理

内部密钥会在控制器永久性内存上的不可访问位置进行维护和"隐藏"。在创建内部安全密钥之前、必须执行以下操作:

  1. 在存储阵列中安装支持安全保护的驱动器。这些驱动器可以是全磁盘加密(Full Disk Encryption、FDE)驱动器或联邦信息处理标准(Federal Information Processing Standard、FIPS)驱动器。

  2. 确保已启用驱动器安全功能。如有必要、请联系您的存储供应商、了解有关启用驱动器安全功能的说明。

然后、您可以创建内部安全密钥、其中包括定义标识符和密码短语。标识符是与安全密钥关联的字符串、存储在控制器以及与该密钥关联的所有驱动器上。密码短语用于对安全密钥进行加密、以用于备份。完成后、安全密钥将存储在控制器上不可访问的位置。然后、您可以创建启用了安全保护的卷组或池、也可以对现有卷组和池启用安全性。

外部密钥管理

外部密钥使用密钥管理互操作性协议(Key Management Interoperability Protocol、KMIP)在单独的密钥管理服务器上进行维护。在创建外部安全密钥之前、必须执行以下操作:

  1. 在存储阵列中安装支持安全保护的驱动器。这些驱动器可以是全磁盘加密(Full Disk Encryption、FDE)驱动器或联邦信息处理标准(Federal Information Processing Standard、FIPS)驱动器。

  2. 确保已启用驱动器安全功能。如有必要、请联系您的存储供应商、了解有关启用驱动器安全功能的说明

  3. 获取签名的客户端证书文件。客户端证书用于验证存储阵列的控制器、以便密钥管理服务器可以信任其KMIP请求。

    1. 首先、您需要完成并下载客户端证书签名请求(CSR)。转到菜单:设置[证书>密钥管理>完成CSR]。

    2. 接下来、您需要从密钥管理服务器信任的CA请求签名客户端证书。(您也可以使用下载的CSR文件从密钥管理服务器创建和下载客户端证书。)

    3. 拥有客户端证书文件后、将该文件复制到要访问System Manager的主机。

  4. 从密钥管理服务器检索证书文件、然后将该文件复制到要访问System Manager的主机。密钥管理服务器证书用于验证密钥管理服务器、以便存储阵列可以信任其IP地址。您可以对密钥管理服务器使用根证书、中间证书或服务器证书。

然后、您可以创建外部密钥、其中包括定义密钥管理服务器的IP地址以及用于KMIP通信的端口号。在此过程中、您还可以加载证书文件。完成后、系统将使用您输入的凭据连接到密钥管理服务器。然后、您可以创建启用了安全保护的卷组或池、也可以对现有卷组和池启用安全性。