管理KMS
管理密钥管理服务器(KMS)包括查看或编辑详细信息、管理证书、查看加密节点以及删除不再需要的KMS。
-
您已使用登录到网格管理器"支持的 Web 浏览器"。
-
您拥有"所需的访问权限"。
查看 KMS 详细信息
您可以查看有关StorageGRID系统中每个密钥管理服务器(KMS)的信息、包括密钥详细信息以及服务器和客户端证书的当前状态。
-
选择 * 配置 * > * 安全性 * > * 密钥管理服务器 * 。
此时将显示密钥管理服务器页面、并显示以下信息:
-
配置详细信息选项卡列出了已配置的任何密钥管理服务器。
-
加密节点选项卡列出了已启用节点加密的所有节点。
-
-
要查看特定KMS的详细信息并对该KMS执行操作、请选择KMS的名称。KMS的详细信息页面列出了以下信息:
字段 说明 管理的密钥
与 KMS 关联的 StorageGRID 站点。
此字段显示特定 StorageGRID 站点的名称或 * 不由其他 KMS (默认 KMS )管理的站点。 *
主机名
KMS 的完全限定域名或 IP 地址。
如果集群包含两个密钥管理服务器,则会列出这两个服务器的完全限定域名或 IP 地址。如果集群中有两个以上的密钥管理服务器,则会列出第一个 KMS 的完全限定域名或 IP 地址以及集群中其他密钥管理服务器的数量。
例如:
10.10.10.10 and 10.10.10.11`或 `10.10.10.10 and 2 others
。要查看集群中的所有主机名,请选择一个KMS,然后选择*Edit*或*Actions*>*Edit*。
-
在KMS详细信息页面上选择一个选项卡以查看以下信息:
选项卡 字段 说明 密钥详细信息
密钥名称
KMS 中 StorageGRID 客户端的密钥别名。
密钥 UID
最新版本密钥的唯一标识符。
上次修改时间
最新版本密钥的日期和时间。
服务器证书
元数据
证书的元数据、例如序列号、到期日期和时间以及证书PEM。
证书PEM
证书的PEM (隐私增强邮件)文件的内容。
客户端证书
元数据
证书的元数据、例如序列号、到期日期和时间以及证书PEM。
-
根据组织的安全实践要求,只要经常选择*Rotate key*,或使用KMS软件,即可创建新版本的密钥。
成功轮换密钥后、密钥UID和上次修改字段将更新。
如果使用KMS软件旋转加密密钥、请将其从上次使用的密钥版本旋转到同一密钥的新版本。不要旋转到完全不同的键。
切勿尝试通过更改 KMS 的密钥名称(别名)来旋转密钥。StorageGRID 要求使用相同密钥别名从 KMS 访问以前使用的所有密钥版本(以及将来的任何密钥版本)。如果更改已配置 KMS 的密钥别名,则 StorageGRID 可能无法对数据进行解密。
管理证书
及时解决任何服务器或客户端证书问题。如果可能、请在证书过期之前进行更换。
要保持数据访问,您必须尽快解决任何证书问题。 |
-
选择 * 配置 * > * 安全性 * > * 密钥管理服务器 * 。
-
在表中、查看每个KMS的证书到期时间值。
-
如果任何KMS的证书到期时间为未知、请等待30分钟、然后刷新Web浏览器。
-
如果证书到期列指示证书已到期或即将到期、请选择KMS以转到KMS详细信息页面。
-
选择*服务器证书*并验证"到期日期"字段的值。
-
要替换证书,请选择*编辑证书*以上传新证书。
-
重复这些子步骤,并选择*Client certifice*,而不是服务器证书。
-
-
触发*KMS CA证书到期*、*KMS客户端证书到期*和*KMS服务器证书到期*警报时,请记下每个警报的问题描述 并执行建议的操作。
StorageGRID可能需要长达30分钟才能获取证书到期更新。刷新Web浏览器以查看当前值。
如果状态为*服务器证书状态未知*,请确保KMS允许在不需要客户证书的情况下获取服务器证书。 |
查看加密节点
您可以查看有关 StorageGRID 系统中已启用 * 节点加密 * 设置的设备节点的信息。
-
选择 * 配置 * > * 安全性 * > * 密钥管理服务器 * 。
此时将显示密钥管理服务器页面。配置详细信息选项卡显示已配置的任何密钥管理服务器。
-
从页面顶部选择*加密节点*选项卡。
加密节点选项卡列出了StorageGRID 系统中启用了*Node Encryption *设置的设备节点。
-
查看表中每个设备节点的信息。
列 说明 节点名称
设备节点的名称。
节点类型
节点的类型:存储,管理或网关。
站点
安装节点的 StorageGRID 站点的名称。
Kms名称
密钥 UID
用于对设备节点上的数据进行加密和解密的加密密钥的唯一 ID 。要查看整个密钥UID、请选择文本。
短划线( - )表示密钥 UID 未知,可能是因为设备节点和 KMS 之间存在连接问题描述 。
状态
KMS 与设备节点之间的连接状态。如果节点已连接,则时间戳每 30 分钟更新一次。更改 KMS 配置后,可能需要几分钟才能更新连接状态。
*注意:*刷新您的Web浏览器以查看新值。
-
如果状态列指示 KMS 问题描述 ,请立即解决此问题描述 。
在正常的 KMS 操作期间,状态将为 * 已连接到 KMS* 。如果节点与网格断开连接,则会显示节点连接状态( administratively down 或 Unknown )。
其他状态消息对应于同名的 StorageGRID 警报:
-
无法加载 Kms 配置
-
Kms 连接错误
-
未找到 Kms 加密密钥名称
-
Kms 加密密钥轮换失败
-
Kms 密钥无法对设备卷进行解密
-
未配置公里
对这些警报执行建议的操作。
-
您必须立即解决任何问题,以确保您的数据得到完全保护。 |
编辑KMS
例如,如果证书即将到期,您可能需要编辑密钥管理服务器的配置。
-
如果您计划更新为KMS选择的站点,则已查看"更改站点的 KMS 的注意事项"。
-
您已使用登录到网格管理器"支持的 Web 浏览器"。
-
您拥有"root访问权限"。
-
选择 * 配置 * > * 安全性 * > * 密钥管理服务器 * 。
此时将显示密钥管理服务器页面、并显示已配置的所有密钥管理服务器。
-
选择要编辑的KMS,然后选择*Actions*>*Edit*。
您也可以通过在表中选择KMS名称并在KMS详细信息页面上选择*Edit*来编辑KMS。
-
(可选)更新编辑密钥管理服务器向导的*步骤1 (KMS详细信息)*中的详细信息。
字段 说明 Kms名称
一个描述性名称,可帮助您标识此 KMS 。必须介于 1 到 64 个字符之间。
密钥名称
StorageGRID 客户端在 KMS 中的确切密钥别名。必须介于 1 到 255 个字符之间。
在极少数情况下,您只需要编辑密钥名称。例如,如果在 KMS 中重命名了别名,或者先前密钥的所有版本都已复制到新别名的版本历史记录中,则必须编辑密钥名称。
管理的密钥
如果您正在编辑特定于站点的KMS,并且还没有默认的KMS,则可以选择*不由另一个KMS管理的站点(默认KMS)*。此选择会将特定于站点的KMS转换为默认KMS、这将应用于没有专用KMS的所有站点以及扩展中添加的任何站点。
*注:*如果您正在编辑特定于站点的KMS,则不能选择其他站点。如果您正在编辑默认KMS、则无法选择特定站点。
端口
KMS 服务器用于密钥管理互操作性协议( Key Management Interoperability Protocol , KMIP )通信的端口。默认为 5696 ,即 KMIP 标准端口。
主机名
KMS 的完全限定域名或 IP 地址。
*注意:*服务器证书的使用者替代名称(SAN)字段必须包含您在此处输入的FQDN或IP地址。否则, StorageGRID 将无法连接到 KMS 或 KMS 集群中的所有服务器。
-
如果要配置KMS群集,请选择*添加另一主机名*为群集中的每台服务器添加主机名。
-
选择 * 继续 * 。
此时将显示编辑密钥管理服务器向导的第2步(上传服务器证书)。
-
如果需要替换服务器证书,请选择 * 浏览 * 并上传新文件。
-
选择 * 继续 * 。
此时将显示编辑密钥管理服务器向导的第3步(上传客户端证书)。
-
如果需要替换客户端证书和客户端证书专用密钥,请选择 * 浏览 * 并上传新文件。
-
选择*测试并保存*。
测试密钥管理服务器与受影响站点上的所有节点加密设备节点之间的连接。如果所有节点连接均有效,并且在 KMS 上找到正确的密钥,则密钥管理服务器将添加到密钥管理服务器页面上的表中。
-
如果显示错误消息,请查看消息详细信息,然后选择 * 确定 * 。
例如,如果为此 KMS 选择的站点已由另一个 KMS 管理,或者连接测试失败,则可能会收到 422 : Unprocessable Entity 错误。
-
如果需要在解决连接错误之前保存当前配置,请选择*Force save*。
选择*强制保存*可保存KMS配置,但不会测试从每个设备到该KMS的外部连接。如果具有此配置的问题描述 ,则可能无法重新启动受影响站点上已启用节点加密的设备节点。在问题解决之前,您可能无法访问数据。 此时将保存 KMS 配置。
-
查看确认警告,如果确实要强制保存配置,请选择 * 确定 * 。
此时将保存KMS配置、但不会测试与KMS的连接。
删除密钥管理服务器( KMS )
在某些情况下,您可能需要删除密钥管理服务器。例如,如果您已停用站点,则可能需要删除站点专用的 KMS 。
-
您已查看"使用密钥管理服务器的注意事项和要求"。
-
您已使用登录到网格管理器"支持的 Web 浏览器"。
-
您拥有"root访问权限"。
在以下情况下,您可以删除 KMS :
-
如果站点已停用,或者站点中没有启用节点加密的设备节点,则可以删除站点专用的 KMS 。
-
如果每个站点已存在站点专用的 KMS ,并且已启用设备节点加密,则可以删除默认 KMS 。
-
选择 * 配置 * > * 安全性 * > * 密钥管理服务器 * 。
此时将显示密钥管理服务器页面、并显示已配置的所有密钥管理服务器。
-
选择要删除的KMS,然后选择*Actions*>*Remove*。
您也可以通过在表中选择KMS名称并从KMS详细信息页面中选择*Remove*来删除KMS。
-
确认满足以下条件:
-
您要删除某个站点的特定于站点的KMS、而此站点没有启用节点加密的设备节点。
-
您要删除默认KMS、但每个站点都已存在具有节点加密的站点专用KMS。
-
-
选择 * 是 * 。
此时将删除 KMS 配置。