编辑密钥管理服务器( KMS )
例如,如果证书即将到期,您可能需要编辑密钥管理服务器的配置。
-
您已查看 使用密钥管理服务器的注意事项和要求。
-
如果您计划更新为 KMS 选择的站点,则已查看 更改站点的 KMS 的注意事项。
-
您将使用登录到网格管理器 支持的 Web 浏览器。
-
您具有 root 访问权限。
-
选择 * 配置 * > * 安全性 * > * 密钥管理服务器 * 。
此时将显示密钥管理服务器页面,其中显示了已配置的所有密钥管理服务器。
-
选择要编辑的 KMS ,然后选择 * 编辑 * 。
-
或者,更新编辑密钥管理服务器向导的 * 步骤 1 (输入 KMS 详细信息) * 中的详细信息。
字段 Description Kms 显示名称
一个描述性名称,可帮助您标识此 KMS 。必须介于 1 到 64 个字符之间。
密钥名称
StorageGRID 客户端在 KMS 中的确切密钥别名。必须介于 1 到 255 个字符之间。
在极少数情况下,您只需要编辑密钥名称。例如,如果在 KMS 中重命名了别名,或者先前密钥的所有版本都已复制到新别名的版本历史记录中,则必须编辑密钥名称。
切勿尝试通过更改 KMS 的密钥名称(别名)来旋转密钥。而是通过更新 KMS 软件中的密钥版本来轮换密钥。StorageGRID 要求使用相同密钥别名从 KMS 访问以前使用的所有密钥版本(以及将来的任何密钥版本)。如果更改已配置 KMS 的密钥别名,则 StorageGRID 可能无法对数据进行解密。
管理的密钥
如果您正在编辑站点特定的 KMS ,并且尚未设置默认 KMS ,则也可以选择 * 不由其他 KMS 管理的站点(默认 KMS ) * 。此选项会将站点特定的 KMS 转换为默认 KMS ,该 KMS 将应用于没有专用 KMS 的所有站点以及在扩展中添加的任何站点。
-
注意: * 如果要编辑站点特定的 KMS ,则无法选择其他站点。如果要编辑默认 KMS ,则无法选择特定站点。
Port
KMS 服务器用于密钥管理互操作性协议( Key Management Interoperability Protocol , KMIP )通信的端口。默认为 5696 ,即 KMIP 标准端口。
主机名
KMS 的完全限定域名或 IP 地址。
-
注: * 服务器证书的 SAN 字段必须包含您在此处输入的 FQDN 或 IP 地址。否则, StorageGRID 将无法连接到 KMS 或 KMS 集群中的所有服务器。
-
-
如果要配置 KMS 集群,请选择加号 为集群中的每个服务器添加主机名。
-
选择 * 下一步 * 。
此时将显示编辑密钥管理服务器向导的第 2 步(上传服务器证书)。
-
如果需要替换服务器证书,请选择 * 浏览 * 并上传新文件。
-
选择 * 下一步 * 。
此时将显示编辑密钥管理服务器向导的第 3 步(上传客户端证书)。
-
如果需要替换客户端证书和客户端证书专用密钥,请选择 * 浏览 * 并上传新文件。
-
选择 * 保存 * 。
测试密钥管理服务器与受影响站点上的所有节点加密设备节点之间的连接。如果所有节点连接均有效,并且在 KMS 上找到正确的密钥,则密钥管理服务器将添加到密钥管理服务器页面上的表中。
-
如果显示错误消息,请查看消息详细信息,然后选择 * 确定 * 。
例如,如果为此 KMS 选择的站点已由另一个 KMS 管理,或者连接测试失败,则可能会收到 422 : Unprocessable Entity 错误。
-
如果在解决连接错误之前需要保存当前配置,请选择 * 强制保存 * 。
选择 * 强制保存 * 可保存 KMS 配置,但不会测试每个设备与该 KMS 的外部连接。如果具有此配置的问题描述 ,则可能无法重新启动受影响站点上已启用节点加密的设备节点。在问题解决之前,您可能无法访问数据。 此时将保存 KMS 配置。
-
查看确认警告,如果确实要强制保存配置,请选择 * 确定 * 。
已保存 KMS 配置,但未测试与 KMS 的连接。