使用System Manager管理外部密钥管理器
建议更改
PDF
从ONTAP 9.7开始、您可以使用板载密钥管理器存储和管理身份验证和加密密钥。从ONTAP 9.131开始、您还可以使用外部密钥管理器来存储和管理这些密钥。
板载密钥管理器将密钥存储在集群内部的安全数据库中并对其进行管理。其范围为集群。外部密钥管理器可在集群外部存储和管理密钥。其范围可以是集群或Storage VM。可以使用一个或多个外部密钥管理器。需满足以下条件:
-
如果启用了板载密钥管理器、则无法在集群级别启用外部密钥管理器、但可以在Storage VM级别启用外部密钥管理器。
-
如果在集群级别启用了外部密钥管理器、则无法启用板载密钥管理器。
使用外部密钥管理器时、每个Storage VM和集群最多可以注册四个主密钥服务器。每个主密钥服务器最多可与三个二级密钥服务器组成集群。
配置外部密钥管理器
要为Storage VM添加外部密钥管理器、您应在为Storage VM配置网络接口时添加可选网关。如果创建的Storage VM没有网络路由、则必须为外部密钥管理器明确创建路由。请参见 "创建LIF (网络接口)"。
您可以从System Manager中的不同位置开始配置外部密钥管理器。
-
要配置外部密钥管理器、请执行以下开始步骤之一。
工作流
导航
开始步骤
配置密钥管理器
集群>*设置*
滚动到*Security*部分。在*加密*下,选择
。选择*外部密钥管理器*。添加本地层
存储>*层*
选择*+添加本地层*。选中标有"配置密钥管理器"的复选框。选择*外部密钥管理器*。
准备存储
信息板
在*容量*部分中,选择*准备存储*。 然后、选择"配置密钥管理器"。选择*外部密钥管理器*。
配置加密(仅限Storage VM范围的密钥管理器)
存储>*存储VM*
选择 Storage VM 。选择*Settings*选项卡。在*Security*下的*Encryption部分中,选择
。 -
要添加主密钥服务器,请选择
,然后填写*IP地址或主机名*和*Port*字段。 -
已安装的现有证书列在*KMIP服务器CA证书*和*KMIP客户端证书*字段中。 您可以执行以下任一操作:
-
选择以选择
要映射到密钥管理器的已安装证书。(可以选择多个服务CA证书、但只能选择一个客户端证书。) -
选择*添加新证书*以添加尚未安装的证书并将其映射到外部密钥管理器。
-
选择
证书名称旁边的以删除不希望映射到外部密钥管理器的已安装证书。
-
-
要添加辅助密钥服务器,请在*辅助密钥服务器*列中选择*Add*,并提供其详细信息。
-
选择*保存*以完成配置。
编辑现有外部密钥管理器
如果您已配置外部密钥管理器、则可以修改其设置。
-
要编辑外部密钥管理器的配置、请执行以下开始步骤之一。
范围
导航
开始步骤
集群范围外部密钥管理器
集群>*设置*
滚动到*Security*部分。在*加密*下,选择,然后选择
编辑外部密钥管理器。Storage VM范围外部密钥管理器
存储>*存储VM*
选择 Storage VM 。选择*Settings*选项卡。在*Security*下的*Encryption部分中,选择,然后选择
Edit External Key Manager。 -
现有密钥服务器列在*密钥服务器*表中。您可以执行以下操作:
-
通过选择添加新密钥服务器
。 -
通过在包含密钥服务器名称的表单元格末尾选择来删除
密钥服务器。与该主密钥服务器关联的辅助密钥服务器也会从配置中删除。
-
删除外部密钥管理器
如果卷未加密、则可以删除外部密钥管理器。
-
要删除外部密钥管理器、请执行以下步骤之一。
范围
导航
开始步骤
集群范围外部密钥管理器
集群>*设置*
滚动到*Security*部分。在*加密*下,选择
,然后选择*删除外部密钥管理器*。Storage VM范围外部密钥管理器
存储>*存储VM*
选择 Storage VM 。选择*Settings*选项卡。在*Security*下的*Encryption部分中,选择,然后选择
Delete External Key Manager。