重新金鑰軟體加密靜態主金鑰
建議變更
PDF
您可以使用 Element API 重新產生現有金鑰。此過程會為您的外部金鑰管理伺服器建立一個新的替換主密鑰。主鑰匙總是用新的主鑰匙替換,絕不會複製或覆蓋。
您可能需要在執行下列任一操作時重新輸入密碼:
-
作為從內部金鑰管理變更為外部金鑰管理的一部分,建立新金鑰。
-
為因應或防範安全事件而建立新金鑰。
|
該過程是異步的,會在重新密鑰操作完成之前返回回應。你可以使用"取得非同步結果"用於輪詢系統以查看進程何時完成的方法。 |
-
您已啟用靜態軟體加密。"建立集群"在不包含磁碟區且沒有 I/O 的新叢集上執行此方法。使用連結:../api/reference_element_api_getsoftwareencryptionatrestinfo.html[`GetSoftwareEncryptionatRestInfo`確認該州是 `enabled`在繼續之前。
-
你有"建立了信任關係"SolidFire叢集與外部金鑰伺服器 (EKS) 之間。運行"測試密鑰提供者Kmip"驗證與金鑰提供者的連線是否已建立的方法。
-
運行"ListKeyProvidersKmip"命令並複製密鑰提供者 ID(
keyProviderID)。 -
運行"重新金鑰軟體靜態加密主金鑰"和 `keyManagementType`參數為 `external`和 `keyProviderID`作為上一步中密鑰提供者的 ID 號碼:
{ "method": "rekeysoftwareencryptionatrestmasterkey", "params": { "keyManagementType": "external", "keyProviderID": "<ID number>" } } -
複製 `asyncHandle`來自 `RekeySoftwareEncryptionAtRestMasterKey`命令響應。
-
運行"取得非同步結果"使用命令 `asyncHandle`使用上一步的值來確認設定變更。從命令回應中可以看到,舊的主密鑰配置已更新為新的密鑰資訊。複製新的密鑰提供者 ID,以便在後續步驟中使用。
{ "id": null, "result": { "createTime": "2021-01-01T22:29:18Z", "lastUpdateTime": "2021-01-01T22:45:51Z", "result": { "keyToDecommission": { "keyID": "<value>", "keyManagementType": "internal" }, "newKey": { "keyID": "<value>", "keyManagementType": "external", "keyProviderID": <value> }, "operation": "Rekeying Master Key. Master Key management being transferred from Internal Key Management to External Key Management with keyProviderID=<value>", "state": "Ready" }, "resultType": "RekeySoftwareEncryptionAtRestMasterKey", "status": "complete" } -
運行 `GetSoftwareEncryptionatRestInfo`命令確認新的關鍵細節,包括 `keyProviderID`已更新。
{ "id": null, "result": { "masterKeyInfo": { "keyCreatedTime": "2021-01-01T22:29:18Z", "keyID": "<updated value>", "keyManagementType": "external", "keyProviderID": <value> }, "rekeyMasterKeyAsyncResultID": <value> "status": "enabled", "version": 1 }, }