使用 System Manager 管理外部金鑰管理員
建議變更
PDF
從 ONTAP 9.7 開始、您可以使用內建金鑰管理程式來儲存及管理驗證與加密金鑰。從 ONTAP 9.13.1 開始、您也可以使用外部金鑰管理員來儲存及管理這些金鑰。
Onboard Key Manager 會將金鑰儲存並管理在叢集內部的安全資料庫中。其範圍是叢集。外部金鑰管理程式會儲存和管理叢集外部的金鑰。其範圍可以是叢集或儲存 VM 。可以使用一或多個外部金鑰管理員。適用下列條件:
-
如果已啟用 Onboard Key Manager 、則無法在叢集層級啟用外部金鑰管理程式、但可以在儲存 VM 層級啟用外部金鑰管理程式。
-
如果在叢集層級啟用外部金鑰管理程式、則無法啟用 Onboard Key Manager 。
使用外部金鑰管理程式時、每個儲存 VM 和叢集最多可註冊四個主要金鑰伺服器。每個主要金鑰伺服器最多可叢集三個次要金鑰伺服器。
設定外部金鑰管理程式
若要新增儲存 VM 的外部金鑰管理程式、您應該在設定儲存 VM 的網路介面時新增選用閘道。如果儲存 VM 是在沒有網路路由的情況下建立的、您必須為外部金鑰管理程式明確建立路由。請參閱 "建立 LIF (網路介面)"。
您可以從 System Manager 的不同位置設定外部金鑰管理程式。
-
若要設定外部金鑰管理程式、請執行下列其中一個啟動步驟。
工作流程
導覽
開始步驟
設定金鑰管理程式
-
叢集 * > * 設定 *
捲動至 * 安全性 * 區段。在 * 加密 * 下,選擇
。選取 * 外部金鑰管理員 * 。新增本機層
-
儲存 * > * Tiers*
選取 *+ 新增本機層 * 。核取標有「 Configure Key Manager 」的核取方塊。選取 * 外部金鑰管理員 * 。
準備儲存設備
-
儀表板 *
在 * 容量 * 區段中、選取 * 準備儲存 * 。 然後選取「設定金鑰管理程式」。選取 * 外部金鑰管理員 * 。
設定加密(僅限儲存 VM 範圍的金鑰管理程式)
-
儲存 * > * 儲存 VM *
選取儲存VM。選取 * 設定 * 索引標籤。在 * 安全 * 下的 * 加密 * 區段中,選擇
。 -
-
要添加主密鑰服務器,請選擇
,然後填寫 IP 地址或主機名 * 和 *Port 字段。 -
現有安裝的憑證會列在 * KMIP 伺服器 CA 憑證 * 和 * KMIP 用戶端憑證 * 欄位中。 您可以執行下列任一動作:
-
選取
以選取您要對應至金鑰管理程式的已安裝憑證。(可以選取多個服務 CA 憑證、但只能選取一個用戶端憑證。) -
選取 * 新增憑證 * 以新增尚未安裝的憑證、並將其對應至外部金鑰管理員。
-
選取
憑證名稱旁的、以刪除您不想對應至外部金鑰管理程式的已安裝憑證。
-
-
若要新增次要金鑰伺服器、請在 * 次要金鑰伺服器 * 欄中選取 * 新增 * 、並提供詳細資料。
-
選取 * 儲存 * 以完成組態。
編輯現有的外部金鑰管理程式
如果您已設定外部金鑰管理員、則可以修改其設定。
-
若要編輯外部金鑰管理程式的組態、請執行下列其中一個開始步驟。
範圍
導覽
開始步驟
叢集範圍外部金鑰管理程式
-
叢集 * > * 設定 *
捲動至 * 安全性 * 區段。在 * 加密 * 下,選擇
,然後選擇 * 編輯外部金鑰管理程式 * 。儲存 VM 範圍外部金鑰管理程式
-
儲存 * > * 儲存 VM *
選取儲存VM。選取 * 設定 * 索引標籤。在 * 安全性 * 下的 * 加密 * 區段中、選取
、然後選取 * 編輯外部金鑰管理員 * 。 -
-
現有的主要伺服器會列在 * 金鑰伺服器 * 表中。您可以執行下列作業:
-
選取以新增金鑰伺服器
。 -
選取包含金鑰伺服器名稱的表格儲存格結尾處、以刪除金鑰伺
服器。與該主要金鑰伺服器相關的次要金鑰伺服器也會從組態中移除。
-
刪除外部金鑰管理程式
如果磁碟區未加密、則可以刪除外部金鑰管理程式。
-
若要刪除外部金鑰管理程式、請執行下列其中一個步驟。
範圍
導覽
開始步驟
叢集範圍外部金鑰管理程式
-
叢集 * > * 設定 *
捲動至 * 安全性 * 區段。在 * 加密 * 下、選取
、然後選取 * 刪除外部金鑰管理員 * 。儲存 VM 範圍外部金鑰管理程式
-
儲存 * > * 儲存 VM *
選取儲存VM。選取 * 設定 * 索引標籤。在 * 安全性 * 下的 * 加密 * 區段中、選取
、然後選取 * 刪除外部金鑰管理員 * 。 -