Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

添加密钥管理服务器( KMS )

贡献者

您可以使用 StorageGRID 密钥管理服务器向导添加每个 KMS 或 KMS 集群。

开始之前
关于此任务

如果可能,请先配置任何站点特定的密钥管理服务器,然后再配置一个默认 KMS ,以便对所有不受另一个 KMS 管理的站点进行适用场景 。如果首先创建默认 KMS ,则网格中所有节点加密的设备都将使用默认 KMS 进行加密。如果要稍后创建站点专用的 KMS ,则必须先将当前版本的加密密钥从默认 KMS 复制到新的 KMS 。有关详细信息、请参见。 "更改站点的 KMS 的注意事项"

第1步:公里详细信息

在添加密钥管理服务器向导的步骤1 (KMS详细信息)中、您可以提供有关KMS或KMS集群的详细信息。

步骤
  1. 选择 * 配置 * > * 安全性 * > * 密钥管理服务器 * 。

    此时将显示密钥管理服务器页面、并选中配置详细信息选项卡。

  2. 选择 * 创建 * 。

    此时将显示"Add a Key Management Server"(添加密钥管理服务器)向导的第1步(KMS详细信息)。

  3. 为 KMS 和您在该 KMS 中配置的 StorageGRID 客户端输入以下信息。

    字段 说明

    Kms名称

    一个描述性名称,可帮助您标识此 KMS 。必须介于 1 到 64 个字符之间。

    密钥名称

    StorageGRID 客户端在 KMS 中的确切密钥别名。必须介于 1 到 255 个字符之间。

    注意:如果您尚未使用KMS产品创建密钥,系统将提示您让StorageGRID创建密钥。

    管理的密钥

    将与此 KMS 关联的 StorageGRID 站点。如果可能,您应先配置任何站点特定的密钥管理服务器,然后再配置一个默认 KMS ,以便对不受另一个 KMS 管理的所有站点进行适用场景 。

    • 如果此 KMS 将管理特定站点上设备节点的加密密钥,请选择一个站点。

    • 选择*不由其他KMS管理的站点(默认KMS)*以配置默认KMS,该KMS将应用于任何没有专用KMS的站点以及您在后续扩展中添加的任何站点。

      • 注意: * 如果您选择的站点先前已被默认 KMS 加密,但未向新 KMS 提供当前版本的原始加密密钥,则保存 KMS 配置时将发生验证错误。

    端口

    KMS 服务器用于密钥管理互操作性协议( Key Management Interoperability Protocol , KMIP )通信的端口。默认为 5696 ,即 KMIP 标准端口。

    主机名

    KMS 的完全限定域名或 IP 地址。

    *注意:*服务器证书的使用者替代名称(SAN)字段必须包含您在此处输入的FQDN或IP地址。否则, StorageGRID 将无法连接到 KMS 或 KMS 集群中的所有服务器。

  4. 如果要配置KMS群集,请选择*添加另一主机名*为群集中的每台服务器添加主机名。

  5. 选择 * 继续 * 。

第2步:上传服务器证书

在添加密钥管理服务器向导的步骤2 (上传服务器证书)中、您可以上传KMS的服务器证书(或证书包)。通过服务器证书,外部 KMS 可以向 StorageGRID 进行身份验证。

步骤
  1. 从*步骤2 (上载服务器证书)*中,浏览到保存的服务器证书或证书包所在的位置。

  2. 上传证书文件。

    此时将显示服务器证书元数据。

    备注 如果您上传的是证书捆绑包,则每个证书的元数据将显示在其自己的选项卡上。
  3. 选择 * 继续 * 。

第3步:上传客户端证书

在添加密钥管理服务器向导的步骤3 (上传客户端证书)中、您可以上传客户端证书和客户端证书专用密钥。客户端证书允许 StorageGRID 向 KMS 进行身份验证。

步骤
  1. 从*步骤3 (上传客户端证书)*中,浏览到客户端证书的位置。

  2. 上传客户端证书文件。

    此时将显示客户端证书元数据。

  3. 浏览到客户端证书的专用密钥位置。

  4. 上传私钥文件。

  5. 选择*测试并保存*。

    如果密钥不存在、系统将提示您创建一个StorageGRID密钥。

    测试密钥管理服务器与设备节点之间的连接。如果所有连接均有效,并且在 KMS 上找到正确的密钥,则新的密钥管理服务器将添加到密钥管理服务器页面上的表中。

    备注 添加 KMS 后,密钥管理服务器页面上的证书状态将立即显示为未知。StorageGRID 可能需要长达 30 分钟才能获取每个证书的实际状态。您必须刷新 Web 浏览器才能查看当前状态。
  6. 如果在选择*测试并保存*时出现错误信息,请查看消息详细信息,然后选择*OK*。

    例如,如果连接测试失败,您可能会收到 422 : Unprocessable Entity 错误。

  7. 如果需要在不测试外部连接的情况下保存当前配置,请选择*Force save*。

    注意 选择*强制保存*可保存KMS配置,但不会测试从每个设备到该KMS的外部连接。如果具有此配置的问题描述 ,则可能无法重新启动受影响站点上已启用节点加密的设备节点。在问题解决之前,您可能无法访问数据。
  8. 查看确认警告,如果确实要强制保存配置,请选择 * 确定 * 。

    已保存 KMS 配置,但未测试与 KMS 的连接。