添加密钥管理服务器( KMS )
您可以使用 StorageGRID 密钥管理服务器向导添加每个 KMS 或 KMS 集群。
-
您已查看"使用密钥管理服务器的注意事项和要求"。
-
您拥有"已在 KMS 中将 StorageGRID 配置为客户端",并且您拥有每个KMS或KMS群集所需的信息。
-
您已使用登录到网格管理器"支持的 Web 浏览器"。
-
您拥有"root访问权限"。
如果可能,请先配置任何站点特定的密钥管理服务器,然后再配置一个默认 KMS ,以便对所有不受另一个 KMS 管理的站点进行适用场景 。如果首先创建默认 KMS ,则网格中所有节点加密的设备都将使用默认 KMS 进行加密。如果要稍后创建站点专用的 KMS ,则必须先将当前版本的加密密钥从默认 KMS 复制到新的 KMS 。有关详细信息、请参见。 "更改站点的 KMS 的注意事项"
第1步:公里详细信息
在添加密钥管理服务器向导的步骤1 (KMS详细信息)中、您可以提供有关KMS或KMS集群的详细信息。
-
选择 * 配置 * > * 安全性 * > * 密钥管理服务器 * 。
此时将显示密钥管理服务器页面、并选中配置详细信息选项卡。
-
选择 * 创建 * 。
此时将显示"Add a Key Management Server"(添加密钥管理服务器)向导的第1步(KMS详细信息)。
-
为 KMS 和您在该 KMS 中配置的 StorageGRID 客户端输入以下信息。
字段 说明 Kms名称
一个描述性名称,可帮助您标识此 KMS 。必须介于 1 到 64 个字符之间。
密钥名称
StorageGRID 客户端在 KMS 中的确切密钥别名。必须介于 1 到 255 个字符之间。
注意:如果您尚未使用KMS产品创建密钥,系统将提示您让StorageGRID创建密钥。
管理的密钥
将与此 KMS 关联的 StorageGRID 站点。如果可能,您应先配置任何站点特定的密钥管理服务器,然后再配置一个默认 KMS ,以便对不受另一个 KMS 管理的所有站点进行适用场景 。
-
如果此 KMS 将管理特定站点上设备节点的加密密钥,请选择一个站点。
-
选择*不由其他KMS管理的站点(默认KMS)*以配置默认KMS,该KMS将应用于任何没有专用KMS的站点以及您在后续扩展中添加的任何站点。
-
注意: * 如果您选择的站点先前已被默认 KMS 加密,但未向新 KMS 提供当前版本的原始加密密钥,则保存 KMS 配置时将发生验证错误。
-
端口
KMS 服务器用于密钥管理互操作性协议( Key Management Interoperability Protocol , KMIP )通信的端口。默认为 5696 ,即 KMIP 标准端口。
主机名
KMS 的完全限定域名或 IP 地址。
*注意:*服务器证书的使用者替代名称(SAN)字段必须包含您在此处输入的FQDN或IP地址。否则, StorageGRID 将无法连接到 KMS 或 KMS 集群中的所有服务器。
-
-
如果要配置KMS群集,请选择*添加另一主机名*为群集中的每台服务器添加主机名。
-
选择 * 继续 * 。
第2步:上传服务器证书
在添加密钥管理服务器向导的步骤2 (上传服务器证书)中、您可以上传KMS的服务器证书(或证书包)。通过服务器证书,外部 KMS 可以向 StorageGRID 进行身份验证。
-
从*步骤2 (上载服务器证书)*中,浏览到保存的服务器证书或证书包所在的位置。
-
上传证书文件。
此时将显示服务器证书元数据。
如果您上传的是证书捆绑包,则每个证书的元数据将显示在其自己的选项卡上。 -
选择 * 继续 * 。
第3步:上传客户端证书
在添加密钥管理服务器向导的步骤3 (上传客户端证书)中、您可以上传客户端证书和客户端证书专用密钥。客户端证书允许 StorageGRID 向 KMS 进行身份验证。
-
从*步骤3 (上传客户端证书)*中,浏览到客户端证书的位置。
-
上传客户端证书文件。
此时将显示客户端证书元数据。
-
浏览到客户端证书的专用密钥位置。
-
上传私钥文件。
-
选择*测试并保存*。
如果密钥不存在、系统将提示您创建一个StorageGRID密钥。
测试密钥管理服务器与设备节点之间的连接。如果所有连接均有效,并且在 KMS 上找到正确的密钥,则新的密钥管理服务器将添加到密钥管理服务器页面上的表中。
添加 KMS 后,密钥管理服务器页面上的证书状态将立即显示为未知。StorageGRID 可能需要长达 30 分钟才能获取每个证书的实际状态。您必须刷新 Web 浏览器才能查看当前状态。 -
如果在选择*测试并保存*时出现错误信息,请查看消息详细信息,然后选择*OK*。
例如,如果连接测试失败,您可能会收到 422 : Unprocessable Entity 错误。
-
如果需要在不测试外部连接的情况下保存当前配置,请选择*Force save*。
选择*强制保存*可保存KMS配置,但不会测试从每个设备到该KMS的外部连接。如果具有此配置的问题描述 ,则可能无法重新启动受影响站点上已启用节点加密的设备节点。在问题解决之前,您可能无法访问数据。 -
查看确认警告,如果确实要强制保存配置,请选择 * 确定 * 。
已保存 KMS 配置,但未测试与 KMS 的连接。