設定外部金鑰管理
建議變更
PDF
您可以遵循下列步驟、並使用列出的Element API方法來設定外部金鑰管理功能。
-
如果您要設定外部金鑰管理、並在閒置時搭配軟體加密、則您已在不含磁碟區的新叢集上使用方法、在閒置時啟用軟體加密"建立叢集"。
-
與外部金鑰伺服器(EKS)建立信任關係。
-
呼叫下列 API 方法、為用於與金鑰伺服器建立信任關係的元素叢集建立公開 / 私密金鑰配對:"建立PublicPrivate KeyPair"
-
取得認證機構需要簽署的認證簽名要求(CSR)。CSR可讓金鑰伺服器驗證要存取金鑰的元素叢集是否已驗證為元素叢集。請呼叫下列 API 方法:"GetClientCertificateSignRequest"
-
使用EKS/Certificate Authority簽署擷取的CSR。如需詳細資訊、請參閱第三方文件。
-
-
在叢集上建立伺服器和供應商、以便與EKS通訊。金鑰供應商會定義金鑰的取得位置、而伺服器則會定義要與之通訊的EKS特定屬性。
-
透過呼叫下列 API 方法、建立金鑰伺服器詳細資料所在的金鑰提供者:"CreeKeyProviderKmip"
-
呼叫下列 API 方法、建立金鑰伺服器、提供憑證授權單位的簽署憑證和公開金鑰憑證:"CreKeyServerKmip" "TestKeyServerKmip"
如果測試失敗、請確認您的伺服器連線能力和組態。然後重複測試。
-
呼叫下列 API 方法、將金鑰伺服器新增至金鑰提供者容器:"AddKeyServerToProviderKmip" "TestKeyProviderKmip"
如果測試失敗、請確認您的伺服器連線能力和組態。然後重複測試。
-
-
請執行下列其中一項、做為靜止加密的下一步:
-
(用於靜態硬體加密)藉由呼叫 API 方法、提供金鑰提供者的 ID 來啟用"硬體加密功能"、該 ID 包含用於儲存金鑰的金鑰伺服器"啟用EncryptionAtRest"。
您必須透過啟用閒置時"API"的加密。使用現有元素UI按鈕啟用靜止加密、將會導致功能回復為使用內部產生的金鑰。 -
(用於靜態軟體加密)若要"軟體加密功能"使用新建立的金鑰提供者、請將金鑰提供者 ID 傳遞至 "RekeySoftwareEncryptionAt恢復 主金鑰"API 方法。
-