設定外部金鑰管理
您可以遵循下列步驟、並使用列出的Element API方法來設定外部金鑰管理功能。
-
如果您要設定外部金鑰管理、並在閒置時搭配軟體加密、則已使用啟用軟體加密功能 "建立叢集" 不含磁碟區的新叢集方法。
-
與外部金鑰伺服器(EKS)建立信任關係。
-
針對元素叢集建立公開/私密金鑰配對、以呼叫下列API方法來建立與金鑰伺服器的信任關係: "建立PublicPrivate KeyPair"
-
取得認證機構需要簽署的認證簽名要求(CSR)。CSR可讓金鑰伺服器驗證要存取金鑰的元素叢集是否已驗證為元素叢集。請撥打下列API方法: "GetClientCertificateSignRequest"
-
使用EKS/Certificate Authority簽署擷取的CSR。如需詳細資訊、請參閱第三方文件。
-
-
在叢集上建立伺服器和供應商、以便與EKS通訊。金鑰供應商會定義金鑰的取得位置、而伺服器則會定義要與之通訊的EKS特定屬性。
-
透過呼叫下列API方法、建立主要伺服器詳細資料所在的主要供應商: "CreeKeyProviderKmip"
-
透過呼叫下列API方法來建立金鑰伺服器、以提供已簽署的憑證和憑證授權單位的公開金鑰憑證: "CreKeyServerKmip" "TestKeyServerKmip"
如果測試失敗、請確認您的伺服器連線能力和組態。然後重複測試。
-
透過呼叫下列API方法、將金鑰伺服器新增至金鑰提供者容器:"AddKeyServerToProviderKmip" "TestKeyProviderKmip"
如果測試失敗、請確認您的伺服器連線能力和組態。然後重複測試。
-
-
請執行下列其中一項、做為靜止加密的下一步:
-
(用於靜止時的硬體加密)啟用 "硬體加密功能" 提供金鑰提供者的ID、其中包含用來透過呼叫來儲存金鑰的金鑰伺服器 "啟用EncryptionAtRest" API方法。
您必須透過啟用加密功能 "API"。使用現有元素UI按鈕啟用靜止加密、將會導致功能回復為使用內部產生的金鑰。 -
(用於閒置時的軟體加密) "軟體加密功能" 若要使用新建立的金鑰提供者、請將金鑰提供者ID傳送至 "RekeySoftwareEncryptionAt恢復 主金鑰" API方法。
-