编辑密钥管理服务器( KMS )
建议更改
PDF
例如,如果证书即将到期,您可能需要编辑密钥管理服务器的配置。
-
您已查看 "使用密钥管理服务器的注意事项和要求"。
-
如果您计划更新为 KMS 选择的站点,则已查看 "更改站点的 KMS 的注意事项"。
-
您将使用登录到网格管理器 "支持的 Web 浏览器"。
-
您具有 root 访问权限。
-
选择 * 配置 * > * 安全性 * > * 密钥管理服务器 * 。
此时将显示密钥管理服务器页面、并显示已配置的所有密钥管理服务器。
-
选择要编辑的KMS,然后选择*Actions*>*Edit*。
您也可以通过在表中选择KMS名称并在KMS详细信息页面上选择*Edit*来编辑KMS。
-
(可选)更新编辑密钥管理服务器向导的*步骤1 (KMS详细信息)*中的详细信息。
字段 Description Kms名称
一个描述性名称,可帮助您标识此 KMS 。必须介于 1 到 64 个字符之间。
密钥名称
StorageGRID 客户端在 KMS 中的确切密钥别名。必须介于 1 到 255 个字符之间。
在极少数情况下,您只需要编辑密钥名称。例如,如果在 KMS 中重命名了别名,或者先前密钥的所有版本都已复制到新别名的版本历史记录中,则必须编辑密钥名称。
切勿尝试通过更改 KMS 的密钥名称(别名)来旋转密钥。而是通过更新 KMS 软件中的密钥版本来轮换密钥。StorageGRID 要求使用相同密钥别名从 KMS 访问以前使用的所有密钥版本(以及将来的任何密钥版本)。如果更改已配置 KMS 的密钥别名,则 StorageGRID 可能无法对数据进行解密。
管理的密钥
如果您正在编辑特定于站点的KMS,并且还没有默认的KMS,则可以选择*不由另一个KMS管理的站点(默认KMS)*。此选择会将特定于站点的KMS转换为默认KMS、这将应用于没有专用KMS的所有站点以及扩展中添加的任何站点。
*注:*如果您正在编辑特定于站点的KMS,则不能选择其他站点。如果您正在编辑默认KMS、则无法选择特定站点。
Port
KMS 服务器用于密钥管理互操作性协议( Key Management Interoperability Protocol , KMIP )通信的端口。默认为 5696 ,即 KMIP 标准端口。
主机名
KMS 的完全限定域名或 IP 地址。
*注意:*服务器证书的使用者替代名称(SAN)字段必须包含您在此处输入的FQDN或IP地址。否则, StorageGRID 将无法连接到 KMS 或 KMS 集群中的所有服务器。
-
如果要配置KMS群集,请选择*添加另一主机名*为群集中的每台服务器添加主机名。
-
选择 * 继续 * 。
此时将显示编辑密钥管理服务器向导的第2步(上传服务器证书)。
-
如果需要替换服务器证书,请选择 * 浏览 * 并上传新文件。
-
选择 * 继续 * 。
此时将显示编辑密钥管理服务器向导的第3步(上传客户端证书)。
-
如果需要替换客户端证书和客户端证书专用密钥,请选择 * 浏览 * 并上传新文件。
-
选择*测试并保存*。
测试密钥管理服务器与受影响站点上的所有节点加密设备节点之间的连接。如果所有节点连接均有效,并且在 KMS 上找到正确的密钥,则密钥管理服务器将添加到密钥管理服务器页面上的表中。
-
如果显示错误消息,请查看消息详细信息,然后选择 * 确定 * 。
例如,如果为此 KMS 选择的站点已由另一个 KMS 管理,或者连接测试失败,则可能会收到 422 : Unprocessable Entity 错误。
-
如果需要在解决连接错误之前保存当前配置,请选择*Force save*。
选择*强制保存*可保存KMS配置,但不会测试从每个设备到该KMS的外部连接。如果具有此配置的问题描述 ,则可能无法重新启动受影响站点上已启用节点加密的设备节点。在问题解决之前,您可能无法访问数据。 此时将保存 KMS 配置。
-
查看确认警告,如果确实要强制保存配置,请选择 * 确定 * 。
已保存 KMS 配置,但未测试与 KMS 的连接。