本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

在StorageGRID KMS中設定以用戶端身份執行的功能

貢獻者

您必須先為StorageGRID 每個外部金鑰管理伺服器或KMS叢集設定用作用戶端的功能、才能將KMS新增StorageGRID 至原地。

這些指示適用於Thales CSpherTrust Manager k170v、2.0、2.1及2.2版。如果您對使用不同的關鍵管理伺服器StorageGRID 搭配使用方面有任何疑問、請聯絡技術支援部門。

步驟
  1. 在KMS軟體中、為StorageGRID 您打算使用的每個KMS或KMS叢集建立一個完善的用戶端。

    每個KMS都會在StorageGRID 單一站台或一組站台上、管理一個用於「不完整」應用裝置節點的加密金鑰。

  2. 從KMS軟體為每個KMS或KMS叢集建立AES加密金鑰。

    加密金鑰必須可匯出。

  3. 記錄每個KMS或KMS叢集的下列資訊。

    當您將KMS新增StorageGRID 至原地時、您需要這些資訊。

    • 每個伺服器的主機名稱或IP位址。

    • KMS使用的KMIP連接埠。

    • KMS中加密金鑰的金鑰別名。

      附註 KMS中必須已存在加密金鑰。不建立或管理KMS金鑰。StorageGRID
  4. 對於每個KMS或KMS叢集、請取得由憑證授權單位(CA)簽署的伺服器憑證、或是包含每個以憑證鏈順序串聯的、以PEE編碼之CA憑證檔案的憑證套件。

    伺服器憑證可讓外部KMS驗證自己StorageGRID 以供驗證。

    • 憑證必須使用隱私增強型郵件( PEF ) Base - 64 編碼的 X . 509 格式。

    • 每個伺服器憑證中的「Subject Alternative Name(SAN)(主體替代名稱(SAN))」欄位必須包含StorageGRID 完整網域名稱(FQDN)或要連線的IP位址。

      附註 在StorageGRID 進行KMS設定時、您必須在*主機名稱*欄位中輸入相同的FQDN或IP位址。
    • 伺服器憑證必須符合KMS KMIP介面所使用的憑證、後者通常使用連接埠5696。

  5. 取得由StorageGRID 外部KMS核發的公有用戶端憑證、以及用戶端憑證的私密金鑰。

    用戶端憑證StorageGRID 可讓支援驗證本身到KMS。