Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

使用 System Manager 管理外部金鑰管理員

貢獻者
PDF

從 ONTAP 9.7 開始、您可以使用內建金鑰管理程式來儲存及管理驗證與加密金鑰。從 ONTAP 9.13.1 開始、您也可以使用外部金鑰管理員來儲存及管理這些金鑰。

Onboard Key Manager 會將金鑰儲存並管理在叢集內部的安全資料庫中。其範圍是叢集。外部金鑰管理程式會儲存和管理叢集外部的金鑰。其範圍可以是叢集或儲存 VM 。可以使用一或多個外部金鑰管理員。適用下列條件:

  • 如果已啟用 Onboard Key Manager 、則無法在叢集層級啟用外部金鑰管理程式、但可以在儲存 VM 層級啟用外部金鑰管理程式。

  • 如果在叢集層級啟用外部金鑰管理程式、則無法啟用 Onboard Key Manager 。

使用外部金鑰管理程式時、每個儲存 VM 和叢集最多可註冊四個主要金鑰伺服器。每個主要金鑰伺服器最多可叢集三個次要金鑰伺服器。

設定外部金鑰管理程式

若要新增儲存 VM 的外部金鑰管理程式、您應該在設定儲存 VM 的網路介面時新增選用閘道。如果儲存 VM 是在沒有網路路由的情況下建立的、您必須為外部金鑰管理程式明確建立路由。請參閱 "建立 LIF (網路介面)"

步驟

您可以從 System Manager 的不同位置設定外部金鑰管理程式。

  1. 若要設定外部金鑰管理程式、請執行下列其中一個啟動步驟。

    工作流程

    導覽

    開始步驟

    設定金鑰管理程式

    • 叢集 * > * 設定 *

    捲動至 * 安全性 * 區段。在 * 加密 * 下、選取 設定圖示。選取 * 外部金鑰管理員 * 。

    新增本機層

    • 儲存 * > * Tiers*

    選取 *+ 新增本機層 * 。核取標有「 Configure Key Manager 」的核取方塊。選取 * 外部金鑰管理員 * 。

    準備儲存設備

    • 儀表板 *

    在 * 容量 * 區段中、選取 * 準備儲存 * 。 然後選取「設定金鑰管理程式」。選取 * 外部金鑰管理員 * 。

    設定加密(僅限儲存 VM 範圍的金鑰管理程式)

    • 儲存 * > * 儲存 VM *

    選取儲存VM。選取 * 設定 * 索引標籤。在 * 安全性 * 下的 * 加密 * 區段中、選取 設定圖示

  2. 若要新增主要金鑰伺服器、請選取 + 新增,然後填寫 IP 地址或主機名 * 和 *Port 字段。

  3. 現有安裝的憑證會列在 * KMIP 伺服器 CA 憑證 * 和 * KMIP 用戶端憑證 * 欄位中。 您可以執行下列任一動作:

    • 選取 下拉箭頭 可選擇要映射至密鑰管理器的已安裝證書。(可以選取多個服務 CA 憑證、但只能選取一個用戶端憑證。)

    • 選取 * 新增憑證 * 以新增尚未安裝的憑證、並將其對應至外部金鑰管理員。

    • 選取 x 在憑證名稱旁、刪除您不想對應至外部金鑰管理程式的已安裝憑證。

  4. 若要新增次要金鑰伺服器、請在 * 次要金鑰伺服器 * 欄中選取 * 新增 * 、並提供詳細資料。

  5. 選取 * 儲存 * 以完成組態。

編輯現有的外部金鑰管理程式

如果您已設定外部金鑰管理員、則可以修改其設定。

步驟

  1. 若要編輯外部金鑰管理程式的組態、請執行下列其中一個開始步驟。

    範圍

    導覽

    開始步驟

    叢集範圍外部金鑰管理程式

    • 叢集 * > * 設定 *

    捲動至 * 安全性 * 區段。在 * 加密 * 下、選取 烤串圖示,然後選擇 * 編輯外部金鑰管理員 * 。

    儲存 VM 範圍外部金鑰管理程式

    • 儲存 * > * 儲存 VM *

    選取儲存VM。選取 * 設定 * 索引標籤。在 * 安全性 * 下的 * 加密 * 區段中、選取 烤串圖示,然後選擇 * 編輯外部金鑰管理員 * 。

  2. 現有的主要伺服器會列在 * 金鑰伺服器 * 表中。您可以執行下列作業:

    • 選取以新增金鑰伺服器 + 新增

    • 選取以刪除金鑰伺服器 烤串圖示 在包含金鑰伺服器名稱的表格儲存格結尾處。與該主要金鑰伺服器相關的次要金鑰伺服器也會從組態中移除。

刪除外部金鑰管理程式

如果磁碟區未加密、則可以刪除外部金鑰管理程式。

步驟

  1. 若要刪除外部金鑰管理程式、請執行下列其中一個步驟。

    範圍

    導覽

    開始步驟

    叢集範圍外部金鑰管理程式

    • 叢集 * > * 設定 *

    捲動至 * 安全性 * 區段。在 * 加密 * 下、選取選取 烤串圖示,然後選擇 * 刪除外部金鑰管理員 * 。

    儲存 VM 範圍外部金鑰管理程式

    • 儲存 * > * 儲存 VM *

    選取儲存VM。選取 * 設定 * 索引標籤。在 * 安全性 * 下的 * 加密 * 區段中、選取 烤串圖示,然後選擇 * 刪除外部金鑰管理員 * 。

在關鍵經理之間移轉金鑰

當叢集上啟用多個金鑰管理程式時、金鑰必須從一個金鑰管理程式移轉至另一個金鑰管理程式。系統管理員會自動完成此程序。

  • 如果已在叢集層級啟用 Onboard Key Manager 或外部金鑰管理程式、且某些磁碟區已加密、 然後、當您在儲存 VM 層級設定外部金鑰管理程式時、金鑰必須從叢集層級的 Onboard Key Manager 或外部金鑰管理程式移轉至儲存 VM 層級的外部金鑰管理程式。 系統管理員會自動完成此程序。

  • 如果在儲存 VM 上建立的磁碟區沒有加密、則不需要移轉金鑰。