Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

使用CA簽署的憑證來驗證金鑰管理伺服器

貢獻者

若要在金鑰管理伺服器與儲存陣列控制器之間進行安全通訊、您必須設定適當的憑證集。

開始之前

您必須以包含安全管理員權限的使用者設定檔登入。否則、不會顯示憑證功能。

關於這項工作

在控制器和金鑰管理伺服器之間進行驗證是兩步驟的程序。

步驟1:完成並提交CSR、以便使用金鑰管理伺服器進行驗證

您必須先產生憑證簽署要求(CSR)檔案、然後使用CSR向金鑰管理伺服器信任的憑證授權單位(CA)要求簽署的用戶端憑證。您也可以使用下載的CSR檔案、從金鑰管理伺服器建立及下載用戶端憑證。用戶端憑證會驗證儲存陣列的控制器、因此金鑰管理伺服器可以信任其金鑰管理互通性傳輸協定(KMIP)要求。

註 透過私密和公開金鑰配對從外部產生的 CSR 檔案,可透過「建立外部安全金鑰」對話方塊匯入。如需匯入外部產生的 CSR 檔案的詳細資訊,請參閱 "步驟2:匯入金鑰管理伺服器的憑證"
步驟
  1. 選取功能表:設定[憑證]。

  2. 從「金鑰管理」索引標籤中、選取*完整的csr*。

  3. 輸入下列資訊:

    • * 通用名稱 * - 用於識別用戶端的名稱。一般做法是將一般名稱中的內容與 KMS 伺服器對用戶端憑證命名慣例的要求相符。一般名稱通常有助於 KMS 在握手時識別用戶端的憑證。

    • 組織:貴公司或組織的完整法定名稱。包括尾碼、例如Inc.或Corp.

    • 組織單位(選用):您組織處理憑證的部門。

    • 城市/地區:貴組織所在的城市或地區。

    • 州/地區(選用):貴組織所在的州或地區。

    • 國家/地區ISO代碼-兩位數ISO(國際標準化組織)代碼、例如貴組織所在的美國。

  4. 按一下*下載*。

    CSR檔案會儲存至本機系統。

  5. 從 CA 要求簽署的用戶端憑證,該憑證受金鑰管理伺服器信任。

    註 金鑰管理伺服器通常會有一個工具直接產生簽署的憑證,因為它是自己的 CA 。
  6. 當您擁有用戶端憑證時、請前往 [步驟2:匯入金鑰管理伺服器的憑證]

步驟2:匯入金鑰管理伺服器的憑證

下一步是匯入憑證、以便在儲存陣列與金鑰管理伺服器之間進行驗證。憑證有兩種類型:用戶端憑證會驗證儲存陣列的控制器、而金鑰管理伺服器憑證則會驗證伺服器。您必須同時載入控制器的用戶端憑證檔案、以及金鑰管理伺服器的伺服器憑證檔案。

開始之前
  • 您有已簽署的用戶端憑證檔案(請參閱 步驟1:完成並提交CSR、以便使用金鑰管理伺服器進行驗證)、並將該檔案複製到您要存取System Manager的主機。用戶端憑證會驗證儲存陣列的控制器、因此金鑰管理伺服器可以信任其金鑰管理互通性傳輸協定(KMIP)要求。

  • 您必須從金鑰管理伺服器擷取憑證檔案、然後將該檔案複製到您正在存取System Manager的主機。金鑰管理伺服器憑證會驗證金鑰管理伺服器、因此儲存陣列可以信任其IP位址。您可以將根、中繼或伺服器憑證用於金鑰管理伺服器。

    註

    如需伺服器憑證的詳細資訊、請參閱金鑰管理伺服器的文件。

步驟
  1. 選取功能表:設定[憑證]。

  2. 從「金鑰管理」索引標籤中、選取*匯入*。

    隨即開啟一個對話方塊、用於匯入憑證檔案。

  3. 在* Select用戶端憑證*旁、按一下*瀏覽*按鈕、選取儲存陣列控制器的用戶端憑證檔案。

    檔案名稱會顯示在對話方塊中。

  4. 如果您使用私用與公開金鑰配對從外部產生憑證檔案,請按一下 * 選取私密金鑰檔案 * 旁的 * 瀏覽 * 按鈕,以選取儲存陣列控制器的憑證檔案。

    檔案名稱會顯示在對話方塊中。

  5. 在*選取金鑰管理伺服器的伺服器憑證*旁、按一下*瀏覽*按鈕、選取金鑰管理伺服器的伺服器憑證檔案。您可以為金鑰管理伺服器選擇根、中繼或伺服器憑證。

    檔案名稱會顯示在對話方塊中。

  6. 按一下*匯入*。

    檔案會上傳並驗證。