重新设置 REST 主密钥的软件加密密钥
建议更改
PDF
您可以使用 Element API 重新设置现有密钥的密钥。此过程将为外部密钥管理服务器创建一个新的替换主密钥。主密钥始终会替换为新的主密钥,并且不会复制或覆盖。
您可能需要在以下过程之一中重新设置密钥:
-
在从内部密钥管理到外部密钥管理的变更过程中创建新密钥。
-
创建一个新密钥,作为对安全相关事件的响应或保护。
|
此过程是异步的,在重新设置密钥操作完成之前返回响应。您可以使用"GetAsyncResult"方法轮询系统以查看进程何时完成。 |
-
您已在不包含卷且没有I/O的新集群上使用方法启用空闲软件加密"CreateCluster"使用
GetSoftwareEncryptionatRestInfo确认状态是否为, `enabled`然后再继续。 -
SolidFire集群与外部密钥服务器(External Key Server、EKS)之间存在"建立信任关系"。运行"TestKeyProviderKmip"方法以验证是否已与密钥提供程序建立连接。
-
运行"ListKeyProvidersKmip"命令并复制密钥提供程序ID(
keyProviderID)。 -
运行、并将 `keyManagementType`参数设置为 `external`和 `keyProviderID`作为上一步中密钥提供程序的"RekeySoftwareEncryptionAtRestMasterKey"ID号:
{ "method": "rekeysoftwareencryptionatrestmasterkey", "params": { "keyManagementType": "external", "keyProviderID": "<ID number>" } } -
复制
asyncHandle`命令响应中的值 `RekeySoftwareEncryptionAtRestMasterKey。 -
使用上一步中的值运行"GetAsyncResult"命令 `asyncHandle`以确认配置更改。在命令响应中,您应看到旧主密钥配置已使用新密钥信息进行更新。复制新密钥提供程序 ID ,以供稍后使用。
{ "id": null, "result": { "createTime": "2021-01-01T22:29:18Z", "lastUpdateTime": "2021-01-01T22:45:51Z", "result": { "keyToDecommission": { "keyID": "<value>", "keyManagementType": "internal" }, "newKey": { "keyID": "<value>", "keyManagementType": "external", "keyProviderID": <value> }, "operation": "Rekeying Master Key. Master Key management being transferred from Internal Key Management to External Key Management with keyProviderID=<value>", "state": "Ready" }, "resultType": "RekeySoftwareEncryptionAtRestMasterKey", "status": "complete" } -
运行 `GetSoftwareEncryptionatRestInfo`命令以确认新密钥详细信息(包括) `keyProviderID`已更新。
{ "id": null, "result": { "masterKeyInfo": { "keyCreatedTime": "2021-01-01T22:29:18Z", "keyID": "<updated value>", "keyManagementType": "external", "keyProviderID": <value> }, "rekeyMasterKeyAsyncResultID": <value> "status": "enabled", "version": 1 }, }