使用CA簽署的憑證來驗證金鑰管理伺服器
若要在金鑰管理伺服器與儲存陣列控制器之間進行安全通訊、您必須設定適當的憑證集。
您必須以包含安全管理員權限的使用者設定檔登入。否則、不會顯示憑證功能。
在控制器和金鑰管理伺服器之間進行驗證是兩步驟的程序。
步驟1:完成並提交CSR、以便使用金鑰管理伺服器進行驗證
您必須先產生憑證簽署要求(CSR)檔案、然後使用CSR向金鑰管理伺服器信任的憑證授權單位(CA)要求簽署的用戶端憑證。您也可以使用下載的CSR檔案、從金鑰管理伺服器建立及下載用戶端憑證。用戶端憑證會驗證儲存陣列的控制器、因此金鑰管理伺服器可以信任其金鑰管理互通性傳輸協定(KMIP)要求。
透過私密和公開金鑰配對從外部產生的 CSR 檔案,可透過「建立外部安全金鑰」對話方塊匯入。如需匯入外部產生的 CSR 檔案的詳細資訊,請參閱 "步驟2:匯入金鑰管理伺服器的憑證"。 |
-
選取功能表:設定[憑證]。
-
從「金鑰管理」索引標籤中、選取*完整的csr*。
-
輸入下列資訊:
-
* 通用名稱 * - 用於識別用戶端的名稱。一般做法是將一般名稱中的內容與 KMS 伺服器對用戶端憑證命名慣例的要求相符。一般名稱通常有助於 KMS 在握手時識別用戶端的憑證。
-
組織:貴公司或組織的完整法定名稱。包括尾碼、例如Inc.或Corp.
-
組織單位(選用):您組織處理憑證的部門。
-
城市/地區:貴組織所在的城市或地區。
-
州/地區(選用):貴組織所在的州或地區。
-
國家/地區ISO代碼-兩位數ISO(國際標準化組織)代碼、例如貴組織所在的美國。
-
-
按一下*下載*。
CSR檔案會儲存至本機系統。
-
從 CA 要求簽署的用戶端憑證,該憑證受金鑰管理伺服器信任。
金鑰管理伺服器通常會有一個工具直接產生簽署的憑證,因為它是自己的 CA 。 -
當您擁有用戶端憑證時、請前往 [步驟2:匯入金鑰管理伺服器的憑證]。
步驟2:匯入金鑰管理伺服器的憑證
下一步是匯入憑證、以便在儲存陣列與金鑰管理伺服器之間進行驗證。憑證有兩種類型:用戶端憑證會驗證儲存陣列的控制器、而金鑰管理伺服器憑證則會驗證伺服器。您必須同時載入控制器的用戶端憑證檔案、以及金鑰管理伺服器的伺服器憑證檔案。
-
您有已簽署的用戶端憑證檔案(請參閱 步驟1:完成並提交CSR、以便使用金鑰管理伺服器進行驗證)、並將該檔案複製到您要存取System Manager的主機。用戶端憑證會驗證儲存陣列的控制器、因此金鑰管理伺服器可以信任其金鑰管理互通性傳輸協定(KMIP)要求。
-
您必須從金鑰管理伺服器擷取憑證檔案、然後將該檔案複製到您正在存取System Manager的主機。金鑰管理伺服器憑證會驗證金鑰管理伺服器、因此儲存陣列可以信任其IP位址。您可以將根、中繼或伺服器憑證用於金鑰管理伺服器。
如需伺服器憑證的詳細資訊、請參閱金鑰管理伺服器的文件。
-
選取功能表:設定[憑證]。
-
從「金鑰管理」索引標籤中、選取*匯入*。
隨即開啟一個對話方塊、用於匯入憑證檔案。
-
在* Select用戶端憑證*旁、按一下*瀏覽*按鈕、選取儲存陣列控制器的用戶端憑證檔案。
檔案名稱會顯示在對話方塊中。
-
如果您使用私用與公開金鑰配對從外部產生憑證檔案,請按一下 * 選取私密金鑰檔案 * 旁的 * 瀏覽 * 按鈕,以選取儲存陣列控制器的憑證檔案。
檔案名稱會顯示在對話方塊中。
-
在*選取金鑰管理伺服器的伺服器憑證*旁、按一下*瀏覽*按鈕、選取金鑰管理伺服器的伺服器憑證檔案。您可以為金鑰管理伺服器選擇根、中繼或伺服器憑證。
檔案名稱會顯示在對話方塊中。
-
按一下*匯入*。
檔案會上傳並驗證。