Skip to main content
SANtricity software
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

在 SANtricity System Manager 中建立外部安全性金鑰

PDF

若要將 Drive Security 功能與金鑰管理伺服器一起使用,您必須建立外部金鑰,該金鑰由金鑰管理伺服器和儲存陣列中具有安全功能的磁碟機共用。

開始之前

  • 陣列中必須安裝具備安全功能的磁碟機。這些磁碟機可以是 Full Disk Encryption (FDE) 磁碟機或 Federal Information Processing Standard (FIPS) 磁碟機。

    註

    如果儲存陣列中同時安裝了 FDE 和 FIPS 磁碟機,則它們都共用同一個安全金鑰。

  • 必須啟用 Drive Security 功能。否則,在此任務期間會開啟 Cannot Create Security Key 對話方塊。如有必要,請聯絡您的儲存供應商,以取得啟用 Drive Security 功能的說明。

  • 您擁有儲存陣列控制器的已簽署用戶端憑證檔案,並且已將該檔案複製到您存取 System Manager 的主機上。用戶端憑證用於驗證儲存陣列的控制器,以便金鑰管理伺服器可以信任其 Key Management Interoperability Protocol (KMIP) 請求。

  • 您必須從金鑰管理伺服器擷取憑證文件,然後將該文件複製到您存取 System Manager 的主機。金鑰管理伺服器憑證用於驗證金鑰管理伺服器,以便儲存陣列可以信任其 IP 位址。您可以為金鑰管理伺服器使用根憑證、中間憑證或伺服器憑證。

    註

    如需伺服器憑證的詳細資訊,請參閱金鑰管理伺服器的說明文件。
關於此任務

在此任務中,您需要定義金鑰管理伺服器的 IP 位址及其使用的連接埠號,然後載入用於外部金鑰管理的憑證。

步驟

  1. 選擇功能表:Settings[System]。

  2. Security key management 下,選擇 Create External Key

    註

    如果目前已設定內部金鑰管理,則會開啟對話方塊,要求您確認是否要切換至外部金鑰管理。

    「建立外部安全性金鑰」對話方塊隨即開啟。

  3. Connect to Key Server 下,在以下欄位中輸入資訊。

    • 金鑰管理伺服器位址 — 輸入用於金鑰管理的伺服器的完全限定網域名稱或 IP 位址(IPv4 或 IPv6)。

    • 金鑰管理連接埠號碼 — 輸入用於 KMIP 通訊的連接埠號碼。金鑰管理伺服器通訊最常用的連接埠號碼是 5696。

      • 選用:* 如果您想設定備份金鑰伺服器、請按一下 * 新增金鑰伺服器 * 、然後輸入該伺服器的資訊。如果無法連線至主要金鑰伺服器、則會使用第二個金鑰伺服器。請確定每個金鑰伺服器都能存取相同的金鑰資料庫;否則、陣列將會張貼錯誤、且無法使用備份伺服器。

    註 一次只能使用一個金鑰伺服器。如果儲存陣列無法連線至主要金鑰伺服器,陣列將會聯絡備份金鑰伺服器。請注意,您必須在兩個伺服器之間維持同位元檢查;若未這麼做,可能會導致錯誤。

    • 選擇用戶端憑證 — 按一下第一個 瀏覽 按鈕,選擇儲存陣列控制器的憑證檔案。

    • 選擇私鑰檔案 — 如果需要,請按一下第二個 瀏覽 按鈕,為儲存陣列的控制器選擇私鑰檔案。

    • 選擇金鑰管理伺服器的伺服器憑證 — 按一下第三個 瀏覽 按鈕以選取金鑰管理伺服器的憑證檔案。您可以為金鑰管理伺服器選擇根憑證、中繼憑證或伺服器憑證。

  4. 按一下 Next

  5. Create/Backup Key 下,您可以建立備份金鑰以確保安全。

    • (建議)若要建立備份金鑰,請保持核取方塊為已選取狀態,然後輸入並確認複雜密碼。此值的長度必須介於 8 到 32 個字元之間,且必須包含下列各項:

      • 一個或多個大寫字母。請注意,複雜密碼區分大小寫。

      • 一個數字(一個或多個)。

      • 非字母數字字元,例如 !、*、@ (一個或多個)。

    警告

    請務必記錄您的輸入內容以備後用。如果您需要將啟用安全功能的磁碟機從儲存陣列移出,則必須知道解鎖磁碟機資料的密碼短語。

    +

    • 如果您不想建立備份金鑰,請取消選取該核取方塊。

      警告

      請注意,如果您無法存取外部金鑰伺服器且沒有備份金鑰,則在將磁碟機移轉到另一個儲存陣列時,您將無法存取磁碟機上的資料。此選項是 System Manager 中建立備份金鑰的唯一方法。

  6. 點選 Finish

    系統會使用您輸入的認證連線至金鑰管理伺服器。然後,安全金鑰的副本會儲存在您的本機系統上。

    註

    下載檔案的路徑可能取決於瀏覽器的預設下載位置。

  7. 記錄您的密碼短語和已下載金鑰檔案的位置,然後按一下 Close

    頁面顯示以下訊息,並提供外部金鑰管理的附加連結:

    Current key management method: External

  8. 選擇 Test Communication 來測試儲存陣列與金鑰管理伺服器之間的連線。

    測試結果會顯示在對話方塊中。

結果

啟用外部金鑰管理後,您可以建立啟用安全性的 Volume 群組或資源池,也可以在現有 Volume 群組和資源池上啟用安全性。

註

每當硬碟斷電後再重新通電,所有啟用安全功能的硬碟都會進入安全鎖定狀態。在此狀態下,資料將無法存取,直到控制器在硬碟初始化期間套用正確的安全金鑰。如果有人實際移除已鎖定的硬碟並將其安裝到另一個系統中,安全鎖定狀態可防止未經授權存取其資料。
完成後

您應該驗證安全金鑰,以確保金鑰檔案未損毀。