Skip to main content
Element Software
此產品有較新版本可以使用。
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定外部金鑰管理

貢獻者

您可以遵循下列步驟、並使用列出的Element API方法來設定外部金鑰管理功能。

您需要的產品
  • 如果您要設定外部金鑰管理、並在閒置時搭配軟體加密、則您已在不含磁碟區的新叢集上使用方法、在閒置時啟用軟體加密"建立叢集"

步驟
  1. 與外部金鑰伺服器(EKS)建立信任關係。

    1. 呼叫下列 API 方法、為用於與金鑰伺服器建立信任關係的元素叢集建立公開 / 私密金鑰配對:"建立PublicPrivate KeyPair"

    2. 取得認證機構需要簽署的認證簽名要求(CSR)。CSR可讓金鑰伺服器驗證要存取金鑰的元素叢集是否已驗證為元素叢集。請呼叫下列 API 方法:"GetClientCertificateSignRequest"

    3. 使用EKS/Certificate Authority簽署擷取的CSR。如需詳細資訊、請參閱第三方文件。

  2. 在叢集上建立伺服器和供應商、以便與EKS通訊。金鑰供應商會定義金鑰的取得位置、而伺服器則會定義要與之通訊的EKS特定屬性。

    1. 透過呼叫下列 API 方法、建立金鑰伺服器詳細資料所在的金鑰提供者:"CreeKeyProviderKmip"

    2. 呼叫下列 API 方法、建立金鑰伺服器、提供憑證授權單位的簽署憑證和公開金鑰憑證:"CreKeyServerKmip" "TestKeyServerKmip"

      如果測試失敗、請確認您的伺服器連線能力和組態。然後重複測試。

    3. 呼叫下列 API 方法、將金鑰伺服器新增至金鑰提供者容器:"AddKeyServerToProviderKmip" "TestKeyProviderKmip"

      如果測試失敗、請確認您的伺服器連線能力和組態。然後重複測試。

  3. 請執行下列其中一項、做為靜止加密的下一步:

    1. (用於靜態硬體加密)藉由呼叫 API 方法、提供金鑰提供者的 ID 來啟用"硬體加密功能"、該 ID 包含用於儲存金鑰的金鑰伺服器"啟用EncryptionAtRest"

      註 您必須透過啟用閒置時"API"的加密。使用現有元素UI按鈕啟用靜止加密、將會導致功能回復為使用內部產生的金鑰。
    2. (用於靜態軟體加密)若要"軟體加密功能"使用新建立的金鑰提供者、請將金鑰提供者 ID 傳遞至 "RekeySoftwareEncryptionAt恢復 主金鑰"API 方法。

如需詳細資訊、請參閱