Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

在 KMS 中将 StorageGRID 配置为客户端

贡献者

您必须将 StorageGRID 配置为每个外部密钥管理服务器或 KMS 集群的客户端,然后才能将 KMS 添加到 StorageGRID 。

备注 这些说明适用于These CipherTrust Manager和Hashitorp Vault。有关受支持产品和版本的列表,请使用 "NetApp 互操作性表工具( IMT )"
步骤
  1. 在 KMS 软件中,为计划使用的每个 KMS 或 KMS 集群创建一个 StorageGRID 客户端。

    每个 KMS 都会为单个站点或一组站点上的 StorageGRID 设备节点管理一个加密密钥。

  2. [[crea-key-with -kms-product]]使用以下两种方法之一创建密钥:

    • 使用KMS产品的密钥管理页面。为每个KMS或KMS集群创建AES加密密钥。

      加密密钥必须为2、048位或更多、并且必须可导出。

    • 让StorageGRID创建密钥。测试并保存后,系统将提示您"正在上传客户端证书"

  3. 记录每个 KMS 或 KMS 集群的以下信息。

    将KMS添加到StorageGRID时需要此信息:

    • 每个服务器的主机名或 IP 地址。

    • KMS 使用的 KMIP 端口。

    • KMS 中加密密钥的密钥别名。

  4. 对于每个 KMS 或 KMS 集群,获取一个由证书颁发机构( CA )签名的服务器证书,或者一个包含 PEM 编码的每个 CA 证书文件的证书捆绑包,这些证书按证书链顺序串联。

    通过服务器证书,外部 KMS 可以向 StorageGRID 进行身份验证。

    • 证书必须使用 Privacy Enhanced Mail ( PEM ) Base - 64 编码的 X.509 格式。

    • 每个服务器证书中的 " 使用者备用名称( SAN ) " 字段必须包含 StorageGRID 要连接到的完全限定域名( FQDN )或 IP 地址。

      备注 在 StorageGRID 中配置 KMS 时,必须在 * 主机名 * 字段中输入相同的 FQDN 或 IP 地址。
    • 服务器证书必须与 KMS 的 KMIP 接口使用的证书匹配,该接口通常使用端口 5696 。

  5. 获取外部 KMS 颁发给 StorageGRID 的公有 客户端证书以及客户端证书的专用密钥。

    客户端证书允许 StorageGRID 向 KMS 进行身份验证。