设置外部密钥管理
建议更改
PDF
您可以按照这些步骤,并使用列出的 Element API 方法来设置您的外部密钥管理功能。
-
如果您正在设置外部密钥管理并结合静态软件加密,则您已使用以下方式启用静态软件加密:"CreateCluster"在不包含卷的新集群上执行此方法。
-
与外部密钥服务器(EKS)建立信任关系。
-
为 Element 集群创建公钥/私钥对,通过调用以下 API 方法与密钥服务器建立信任关系:"创建公钥/私钥对"
-
获取证书颁发机构需要签署的证书签名请求(CSR)。 CSR 使密钥服务器能够验证将要访问密钥的 Element 集群是否已通过 Element 集群的身份验证。调用以下 API 方法:"获取客户端证书签名请求"
-
使用 EKS/证书颁发机构对检索到的 CSR 进行签名。更多信息请参阅第三方文档。
-
-
在集群上创建服务器和提供程序,以便与 EKS 通信。密钥提供者定义密钥的获取地点,服务器定义要与之通信的 EKS 的具体属性。
-
通过调用以下 API 方法创建密钥提供程序,密钥服务器详细信息将存放于此:"创建密钥提供程序Kmip"
-
通过调用以下 API 方法,创建提供证书颁发机构的签名证书和公钥证书的密钥服务器:"创建密钥服务器Kmip" "测试密钥服务器Kmip"
如果测试失败,请检查服务器连接和配置。然后重复测试。
-
通过调用以下 API 方法将密钥服务器添加到密钥提供程序容器中:"AddKeyServerToProviderKmip" "测试密钥提供程序Kmip"
如果测试失败,请检查服务器连接和配置。然后重复测试。
-
-
接下来,请执行以下操作之一,以实现静态数据加密:
-
(用于静态数据硬件加密)启用"静态硬件加密"通过调用以下方法提供包含用于存储密钥的密钥服务器的密钥提供程序的 ID:"启用静态加密" API 方法。
您必须通过以下方式启用静态加密:"API" 。使用现有的 Element UI 按钮启用静态加密将导致该功能恢复为使用内部生成的密钥。 -
(针对静态软件加密)为了"静态软件加密"要使用新创建的密钥提供程序,请将密钥提供程序 ID 传递给"重新密钥软件静态加密主密钥"API 方法。
-