设置外部密钥管理
您可以按照以下步骤操作,并使用列出的 Element API 方法设置外部密钥管理功能。
-
如果要将外部密钥管理与空闲软件加密结合使用、则已在不包含卷的新集群上使用方法启用空闲软件加密"CreateCluster"。
-
与外部密钥服务器( EKS )建立信任关系。
-
通过调用以下API方法、为Element集群创建一个公共/专用密钥对、用于与密钥服务器建立信任关系:"CreatePublicPrivateKeyPair"
-
获取证书颁发机构需要签名的证书签名请求( CSR )。通过 CSR ,密钥服务器可以验证要访问密钥的 Element 集群是否已作为 Element 集群进行身份验证。调用以下API方法:"GetClientCertificateSignRequest"
-
使用 EKS/ 证书颁发机构对检索到的 CSR 进行签名。有关详细信息,请参见第三方文档。
-
-
在集群上创建服务器和提供程序以与 EKS 进行通信。密钥提供程序用于定义应从何处获取密钥,服务器用于定义要与之通信的 EKS 的特定属性。
-
通过调用以下API方法创建密钥服务器详细信息所在的密钥提供程序:"CreateKeyProviderKmip"
-
通过调用以下API方法创建一个密钥服务器、用于提供证书颁发机构的签名证书和公共密钥证书:"CreateKeyServerKmip" "TestKeyServerKmip"
如果测试失败,请验证您的服务器连接和配置。然后重复测试。
-
通过调用以下API方法将密钥服务器添加到密钥提供程序容器中:"AddKeyServerToProviderKmip" "TestKeyProviderKmip"
如果测试失败,请验证您的服务器连接和配置。然后重复测试。
-
-
执行以下操作之一作为空闲加密的下一步:
-
(对于空闲硬件加密)通过调用API方法提供用于存储密钥的密钥服务器所在密钥提供程序的ID来"EnableEncryptionAtRest"启用"空闲硬件加密"。
您必须通过启用空闲加密"API"。使用现有 Element UI 按钮启用空闲加密将使用内部生成的密钥对功能进行发生原因还原。 -
(对于空闲软件加密)为了"空闲软件加密"使用新创建的密钥提供程序、请将密钥提供程序ID传递到"RekeySoftwareEncryptionAtRestMasterKey"API方法。
-