设置外部密钥管理
建议更改
PDF
您可以按照以下步骤操作,并使用列出的 Element API 方法设置外部密钥管理功能。
-
如果要将外部密钥管理与空闲软件加密结合使用,则已使用启用空闲软件加密 "CreateCluster" 方法。
-
与外部密钥服务器( EKS )建立信任关系。
-
通过调用以下 API 方法,为 Element 集群创建一个公共 / 专用密钥对,用于与密钥服务器建立信任关系: "CreatePublicPrivateKeyPair"
-
获取证书颁发机构需要签名的证书签名请求( CSR )。通过 CSR ,密钥服务器可以验证要访问密钥的 Element 集群是否已作为 Element 集群进行身份验证。调用以下 API 方法: "GetClientCertificateSignRequest"
-
使用 EKS/ 证书颁发机构对检索到的 CSR 进行签名。有关详细信息,请参见第三方文档。
-
-
在集群上创建服务器和提供程序以与 EKS 进行通信。密钥提供程序用于定义应从何处获取密钥,服务器用于定义要与之通信的 EKS 的特定属性。
-
通过调用以下 API 方法创建密钥服务器详细信息所在的密钥提供程序: "CreateKeyProviderKmip"
-
通过调用以下 API 方法,创建一个提供证书颁发机构的签名证书和公有密钥证书的密钥服务器: "CreateKeyServerKmip" "TestKeyServerKmip"
如果测试失败,请验证您的服务器连接和配置。然后重复测试。
-
通过调用以下 API 方法将密钥服务器添加到密钥提供程序容器中:"AddKeyServerToProviderKmip" "TestKeyProviderKmip"
如果测试失败,请验证您的服务器连接和配置。然后重复测试。
-
-
执行以下操作之一作为空闲加密的下一步:
-
(用于空闲硬件加密)启用 "空闲硬件加密" 通过调用来提供用于存储密钥的密钥服务器所在的密钥提供程序的 ID "EnableEncryptionAtRest" API 方法。
您必须通过启用空闲加密 "API"。使用现有 Element UI 按钮启用空闲加密将使用内部生成的密钥对功能进行发生原因还原。 -
(用于空闲软件加密) "空闲软件加密" 要使用新创建的密钥提供程序,请将密钥提供程序 ID 传递到 "RekeySoftwareEncryptionAtRestMasterKey" API 方法。
-