Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

添加密钥管理服务器 (KMS)

PDF

您可以使用StorageGRID密钥管理服务器向导添加每个 KMS 或 KMS 集群。

开始之前
关于此任务

如果可能,请在配置适用于所有未由其他 KMS 管理的站点的默认 KMS 之前配置任何特定于站点的密钥管理服务器。如果您首先创建默认 KMS,则网格中的所有节点加密设备都将由默认 KMS 加密。如果您以后想要创建特定于站点的 KMS,则必须首先将当前版本的加密密钥从默认 KMS 复制到新的 KMS。看"更改站点 KMS 的注意事项"了解详情。

步骤 1:KMS 详细信息

在添加密钥管理服务器向导的步骤 1(KMS 详细信息)中,您需要提供有关 KMS 或 KMS 集群的详细信息。

步骤

  1. 选择 配置 > 安全 > 密钥管理服务器

    出现密钥管理服务器页面,其中已选中配置详细信息选项卡。

  2. 选择“创建”。

    出现添加密钥管理服务器向导的第 1 步(KMS 详细信息)。

  3. 为 KMS 和在该 KMS 中配置的StorageGRID客户端输入以下信息。

    字段 描述

    KMS 名称

    帮助您识别此 KMS 的描述性名称。必须介于 1 到 64 个字符之间。

    键名称

    KMS 中StorageGRID客户端的精确密钥别名。必须介于 1 到 255 个字符之间。

    注意:如果您尚未使用 KMS 产品创建密钥,系统将提示您让StorageGRID创建密钥。

    管理密钥

    将与此 KMS 关联的StorageGRID站点。如果可能,您应该在配置适用于所有未由其他 KMS 管理的站点的默认 KMS 之前配置任何特定于站点的密钥管理服务器。

    • 如果此 KMS 将管理特定站点的设备节点的加密密钥,请选择一个站点。

    • 选择*未由其他 KMS 管理的站点(默认 KMS)*来配置一个默认 KMS,该默认 KMS 将应用于任何没有专用 KMS 的站点以及您在后续扩展中添加的任何站点。

      *注意:*如果您选择之前由默认 KMS 加密的站点但未向新 KMS 提供当前版本的原始加密密钥,则在保存 KMS 配置时将发生验证错误。

    端口

    KMS 服务器用于密钥管理互操作协议 (KMIP) 通信的端口。默认为 5696,这是 KMIP 标准端口。

    主机名称

    KMS 的完全限定域名或 IP 地址。

    *注意:*服务器证书的主题备用名称 (SAN) 字段必须包含您在此处输入的 FQDN 或 IP 地址。否则, StorageGRID将无法连接到 KMS 或 KMS 集群中的所有服务器。

  4. 如果您正在配置 KMS 集群,请选择“添加另一个主机名”为集群中的每个服务器添加一个主机名。

  5. 选择*继续*。

步骤2:上传服务器证书

在添加密钥管理服务器向导的第 2 步(上传服务器证书)中,您可以上传 KMS 的服务器证书(或证书包)。服务器证书允许外部 KMS 向StorageGRID进行身份验证。

步骤

  1. 从*步骤 2(上传服务器证书)*开始,浏览到保存的服务器证书或证书包的位置。

  2. 上传证书文件。

    出现服务器证书元数据。

    备注 如果您上传了证书包,则每个证书的元数据都会显示在其自己的选项卡上。

  3. 选择*继续*。

步骤 3:上传客户端证书

在添加密钥管理服务器向导的步骤 3(上传客户端证书)中,上传客户端证书和客户端证书私钥。客户端证书允许StorageGRID向 KMS 验证自身身份。

步骤

  1. 从*步骤 3(上传客户端证书)*开始,浏览到客户端证书的位置。

  2. 上传客户端证书文件。

    出现客户端证书元数据。

  3. 浏览到客户端证书的私钥的位置。

  4. 上传私钥文件。

  5. 选择*测试并保存*。

    如果密钥不存在,系统会提示您让StorageGRID创建一个。

    测试密钥管理服务器和设备节点之间的连接。如果所有连接均有效,并且在 KMS 上找到了正确的密钥,则新的密钥管理服务器将添加到密钥管理服务器页面的表中。

    备注 添加 KMS 后,密钥管理服务器页面上的证书状态立即显示为未知。 StorageGRID可能需要长达 30 分钟才能获取每个证书的实际状态。您必须刷新 Web 浏览器才能查看当前状态。

  6. 如果在选择“测试并保存”时出现错误消息,请查看消息详细信息,然后选择“确定”。

    例如,如果连接测试失败,您可能会收到 422:无法处理的实体错误。

  7. 如果需要保存当前配置而不测试外部连接,请选择*强制保存*。

    注意 选择“强制保存”将保存 KMS 配置,但不会测试从每个设备到该 KMS 的外部连接。如果配置有问题,您可能无法重新启动在受影响站点上启用了节点加密的设备节点。在问题解决之前,您可能会无法访问您的数据。

  8. 查看确认警告,如果确定要强制保存配置,请选择“确定”。

    KMS 配置已保存,但未测试与 KMS 的连接。