建立外部安全金鑰
若要將磁碟機安全功能搭配金鑰管理伺服器使用、您必須建立外部金鑰、並由金鑰管理伺服器和儲存陣列中具有安全功能的磁碟機共用。
-
必須在陣列中安裝具有安全功能的磁碟機。這些磁碟機可以是全磁碟加密(FDE)磁碟機、也可以是聯邦資訊處理標準(FIPS)磁碟機。
如果儲存陣列中同時安裝FDE和FIPS磁碟機、則它們都會共用相同的安全金鑰。
-
必須啟用磁碟機安全功能。否則,將在此工作期間開啟*無法建立安全性金鑰*對話方塊。如有必要、請聯絡您的儲存設備廠商、以取得啟用磁碟機安全功能的指示。
-
用戶端和伺服器憑證可在本機主機上取得、因此儲存陣列和金鑰管理伺服器可以相互驗證。用戶端憑證會驗證控制器、而伺服器憑證則會驗證金鑰管理伺服器。
在此工作中、您可以定義金鑰管理伺服器的IP位址及其使用的連接埠號碼、然後載入憑證以進行外部金鑰管理。
-
選取功能表:設定[系統]。
-
在*安全金鑰管理*下、選取*建立外部金鑰*。
如果目前已設定內部金鑰管理、會開啟一個對話方塊、要求您確認是否要切換至外部金鑰管理。
「建立外部安全金鑰」對話方塊隨即開啟。
-
在「連線至金鑰伺服器」下、於下列欄位中輸入資訊:
-
金鑰管理伺服器位址:輸入用於金鑰管理之伺服器的完整網域名稱或IP位址(IPv4或IPv6)。
-
金鑰管理連接埠編號:輸入金鑰管理互通性傳輸協定(KMIP)通訊所使用的連接埠編號。用於金鑰管理伺服器通訊的最常見連接埠號碼為5696。
-
選擇「用戶端憑證」-按一下「第一次瀏覽」按鈕、選取儲存陣列控制器的憑證檔案。
-
選取金鑰管理伺服器的伺服器憑證:按一下第二個「瀏覽」按鈕、選取金鑰管理伺服器的憑證檔案。
-
-
單擊 * 下一步 * 。
-
在*建立/備份金鑰*下、於下列欄位中輸入資訊:
-
定義密碼/重新輸入密碼-輸入並確認密碼。此值可包含8到32個字元、且必須包含下列各項:
-
大寫字母(一個或多個)。請記住、密碼區分大小寫。
-
數字(一或多個)。
-
非英數字元、例如!、*、@(一或多個)。
-
請務必記錄您的輸入項目以供日後使用。如果您需要從儲存陣列中移除已啟用安全功能的磁碟機、您必須知道解鎖磁碟機資料的密碼。
-
-
單擊*完成*。
系統會以您輸入的認證資料連線至金鑰管理伺服器。然後安全金鑰複本會儲存在您的本機系統上。
下載檔案的路徑可能取決於瀏覽器的預設下載位置。
-
記下您的密碼和下載金鑰檔的位置、然後按一下*關閉*。
此頁面會顯示下列訊息、並提供外部金鑰管理的其他連結:
「目前的金鑰管理方法:外部」
-
選取*測試通訊*來測試儲存陣列與金鑰管理伺服器之間的連線。
測試結果會顯示在對話方塊中。
啟用外部金鑰管理時、您可以建立啟用安全功能的Volume群組或集區、也可以在現有的Volume群組和集區上啟用安全功能。
只要關閉磁碟機的電源、然後再次開啟、所有啟用安全功能的磁碟機都會變更為「安全性鎖定」狀態。在此狀態下、資料將無法存取、直到控制器在磁碟機初始化期間套用正確的安全金鑰為止。如果有人實際移除鎖定的磁碟機並將其安裝在其他系統中、安全鎖定狀態會防止未獲授權存取其資料。 |
-
您應該驗證安全金鑰、以確保金鑰檔案未毀損。