Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

管理 KMS

PDF

管理密钥管理服务器 (KMS) 包括查看或编辑详细信息、管理证书、查看加密节点以及在不再需要时删除 KMS。

开始之前

查看 KMS 详细信息

您可以查看有关StorageGRID系统中每个密钥管理服务器 (KMS) 的信息,包括密钥详细信息以及服务器和客户端证书的当前状态。

步骤

  1. 选择 配置 > 安全 > 密钥管理服务器

    出现密钥管理服务器页面并显示以下信息:

    • 配置详细信息选项卡列出了已配置的所有密钥管理服务器。

    • 加密节点选项卡列出了所有启用了节点加密的节点。

  2. 要查看特定 KMS 的详细信息并对该 KMS 执行操作,请选择该 KMS 的名称。 KMS 的详细信息页面列出了以下信息:

    字段 描述

    管理密钥

    与 KMS 关联的StorageGRID站点。

    此字段显示特定StorageGRID站点或*未由其他 KMS 管理的站点(默认 KMS)*的名称。

    主机名称

    KMS 的完全限定域名或 IP 地址。

    如果有两个密钥管理服务器的集群,则会列出两个服务器的完全限定域名或 IP 地址。如果集群中有两个以上的密钥管理服务器,则会列出第一个 KMS 的完全限定域名或 IP 地址以及集群中其他密钥管理服务器的数量。

    例如: 10.10.10.10 and 10.10.10.11`或者 `10.10.10.10 and 2 others

    要查看集群中的所有主机名,请选择一个 KMS 并选择 编辑操作 > 编辑

  3. 选择 KMS 详细信息页面上的选项卡以查看以下信息:

    选项卡 字段 描述

    关键细节

    键名称

    KMS 中StorageGRID客户端的密钥别名。

    密钥 UID

    密钥最新版本的唯一标识符。

    上次修改时间

    密钥最新版本的日期和时间。

    服务器证书

    元数据

    证书的元数据,例如序列号、到期日期和时间以及证书 PEM。

    证书 PEM

    证书的 PEM(隐私增强邮件)文件的内容。

    客户端证书

    元数据

    证书的元数据,例如序列号、到期日期和时间以及证书 PEM。

  4. 根据组织的安全实践要求,选择*轮换密钥*,或使用 KMS 软件来创建密钥的新版本。

    当密钥轮换成功时,密钥 UID 和上次修改字段将被更新。

    注意

    如果您使用 KMS 软件轮换加密密钥,请将其从密钥的最后使用的版本轮换为同一密钥的新版本。不要旋转到完全不同的键。

    切勿尝试通过更改 KMS 的密钥名称(别名)来轮换密钥。 StorageGRID要求所有以前使用的密钥版本(以及任何未来的版本)都可以使用相同的密钥别名从 KMS 访问。如果您更改已配置的 KMS 的密钥别名, StorageGRID可能无法解密您的数据。

管理证书

及时解决任何服务器或客户端证书问题。如果可能,请在证书过期之前更换证书。

注意 您必须尽快解决任何证书问题以维持数据访问。
步骤

  1. 选择 配置 > 安全 > 密钥管理服务器

  2. 在表中,查看每个 KMS 的证书到期值。

  3. 如果任何 KMS 的证书到期日期未知,请等待最多 30 分钟,然后刷新您的 Web 浏览器。

  4. 如果证书过期列指示证书已过期或即将过期,请选择 KMS 转到 KMS 详细信息页面。

    1. 选择*服务器证书*并验证“到期日期”字段的值。

    2. 要替换证书,请选择*编辑证书*上传新证书。

    3. 重复这些子步骤并选择*客户端证书*而不是服务器证书。

  5. 当触发*KMS CA 证书过期*、*KMS 客户端证书过期*和*KMS 服务器证书过期*警报时,请注意每个警报的描述并执行建议的操作。

    StorageGRID可能需要长达 30 分钟才能获取证书过期更新。刷新您的网络浏览器以查看当前值。

备注 如果您获得的状态为*服务器证书状态未知*,请确保您的 KMS 允许获取服务器证书而无需客户端证书。

查看加密节点

您可以查看有关StorageGRID系统中启用了 节点加密 设置的设备节点的信息。

步骤

  1. 选择 配置 > 安全 > 密钥管理服务器

    出现密钥管理服务器页面。配置详细信息选项卡显示已配置的任何密钥管理服务器。

  2. 从页面顶部,选择“加密节点”选项卡。

    “加密节点”选项卡列出了StorageGRID系统中启用了“节点加密”设置的设备节点。

  3. 查看表中每个设备节点的信息。

    描述

    节点名称

    设备节点的名称。

    节点类型

    节点类型:存储、管理或网关。

    站点

    安装节点的StorageGRID站点的名称。

    KMS 名称

    用于节点的 KMS 的描述性名称。

    如果没有列出 KMS,请选择配置详细信息选项卡来添加 KMS。

    "添加密钥管理服务器 (KMS)"

    密钥 UID

    用于加密和解密设备节点上数据的加密密钥的唯一 ID。要查看整个密钥 UID,请选择文本。

    破折号 (--) 表示密钥 UID 未知,可能是由于设备节点和 KMS 之间的连接问题。

    状态

    KMS 和设备节点之间的连接状态。如果节点已连接,则时间戳每 30 分钟更新一次。 KMS 配置更改后,连接状态可能需要几分钟才能更新。

    *注意:*刷新您的网络浏览器以查看新值。

  4. 如果状态列指示 KMS 问题,请立即解决该问题。

    在正常的 KMS 操作期间,状态将为 已连接到 KMS。如果节点与电网断开连接,则会显示节点连接状态(管理关闭或未知)。

    其他状态消息对应于具有相同名称的StorageGRID警报:

    • KMS 配置加载失败

    • KMS 连接错误

    • 未找到 KMS 加密密钥名称

    • KMS 加密密钥轮换失败

    • KMS 密钥解密设备卷失败

    • 未配置 KMS

    针对这些警报执行建议的操作。

注意 您必须立即解决任何问题,以确保您的数据受到充分保护。

编辑 KMS

例如,如果证书即将过期,您可能需要编辑密钥管理服务器的配置。

开始之前
步骤

  1. 选择 配置 > 安全 > 密钥管理服务器

    出现密钥管理服务器页面,其中显示所有已配置的密钥管理服务器。

  2. 选择要编辑的 KMS,然后选择*操作* > 编辑

    您还可以通过选择表中的 KMS 名称并在 KMS 详细信息页面上选择 编辑 来编辑 KMS。

  3. 或者,更新编辑密钥管理服务器向导的*步骤 1(KMS 详细信息)*中的详细信息。

    字段 描述

    KMS 名称

    帮助您识别此 KMS 的描述性名称。必须介于 1 到 64 个字符之间。

    键名称

    KMS 中StorageGRID客户端的精确密钥别名。必须介于 1 到 255 个字符之间。

    您只需在极少数情况下编辑密钥名称。例如,如果别名在 KMS 中被重命名,或者先前密钥的所有版本都已复制到新别名的版本历史记录中,则必须编辑密钥名称。

    管理密钥

    如果您正在编辑特定于站点的 KMS,并且还没有默认 KMS,则可以选择 未由其他 KMS 管理的站点(默认 KMS)。此选择将站点特定的 KMS 转换为默认 KMS,这将适用于所有没有专用 KMS 的站点以及扩展中添加的任何站点。

    *注意:*如果您正在编辑特定于站点的 KMS,则不能选择其他站点。如果您正在编辑默认 KMS,则无法选择特定站点。

    端口

    KMS 服务器用于密钥管理互操作协议 (KMIP) 通信的端口。默认为 5696,这是 KMIP 标准端口。

    主机名称

    KMS 的完全限定域名或 IP 地址。

    *注意:*服务器证书的主题备用名称 (SAN) 字段必须包含您在此处输入的 FQDN 或 IP 地址。否则, StorageGRID将无法连接到 KMS 或 KMS 集群中的所有服务器。

  4. 如果您正在配置 KMS 集群,请选择“添加另一个主机名”为集群中的每个服务器添加一个主机名。

  5. 选择*继续*。

    出现编辑密钥管理服务器向导的第 2 步(上传服务器证书)。

  6. 如果需要更换服务器证书,请选择*浏览*并上传新文件。

  7. 选择*继续*。

    出现编辑密钥管理服务器向导的步骤 3(上传客户端证书)。

  8. 如果需要更换客户端证书和客户端证书私钥,请选择*浏览*并上传新文件。

  9. 选择*测试并保存*。

    测试密钥管理服务器和受影响站点的所有节点加密设备节点之间的连接。如果所有节点连接均有效,并且在 KMS 上找到了正确的密钥,则密钥管理服务器将添加到密钥管理服务器页面的表中。

  10. 如果出现错误消息,请查看消息详细信息,然后选择“确定”。

    例如,如果您为此 KMS 选择的站点已由另一个 KMS 管理,或者连接测试失败,您可能会收到 422:无法处理的实体错误。

  11. 如果您需要在解决连接错误之前保存当前配置,请选择*强制保存*。

    注意 选择“强制保存”将保存 KMS 配置,但不会测试从每个设备到该 KMS 的外部连接。如果配置有问题,您可能无法重新启动在受影响站点上启用了节点加密的设备节点。在问题解决之前,您可能会无法访问您的数据。

    KMS 配置已保存。

  12. 查看确认警告,如果确定要强制保存配置,请选择“确定”。

    KMS 配置已保存,但未测试与 KMS 的连接。

删除密钥管理服务器 (KMS)

在某些情况下,您可能想要删除密钥管理服务器。例如,如果您已退役该站点,则可能想要删除特定于站点的 KMS。

开始之前
关于此任务

您可以在以下情况下删除 KMS:

  • 如果站点已退役或站点不包含启用了节点加密的设备节点,则可以删除站点特定的 KMS。

  • 如果每个启用了节点加密的设备节点的站点都已存在站点特定的 KMS,则可以删除默认 KMS。

步骤

  1. 选择 配置 > 安全 > 密钥管理服务器

    出现密钥管理服务器页面,其中显示所有已配置的密钥管理服务器。

  2. 选择要删除的 KMS,然后选择*操作* > 删除

    您还可以通过选择表中的 KMS 名称并从 KMS 详细信息页面中选择 删除 来删除 KMS。

  3. 确认以下内容属实:

    • 您正在删除没有启用节点加密的设备节点的站点特定 KMS。

    • 您正在删除默认的 KMS,但每个具有节点加密的站点已经存在站点特定的 KMS。

  4. 选择“是”。

    KMS 配置已被删除。