Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

在StorageGRID KMS中設定以用戶端身份執行的功能

貢獻者
PDF

您必須先為StorageGRID 每個外部金鑰管理伺服器或KMS叢集設定用作用戶端的功能、才能將KMS新增StorageGRID 至原地。

關於這項工作

這些指示適用於Thales CSpherTrust Manager k170v、2.0、2.1及2.2版。如果您對使用不同的關鍵管理伺服器StorageGRID 搭配使用方面有任何疑問、請聯絡技術支援部門。

"Thales CiperTrust經理"

步驟

  1. 在KMS軟體中、為StorageGRID 您打算使用的每個KMS或KMS叢集建立一個完善的用戶端。

    每個KMS都會在StorageGRID 單一站台或一組站台上、管理一個用於「不完整」應用裝置節點的加密金鑰。

  2. 從KMS軟體為每個KMS或KMS叢集建立AES加密金鑰。

    加密金鑰必須可匯出。

  3. 記錄每個KMS或KMS叢集的下列資訊。

    當您將KMS新增StorageGRID 至原地時、您需要這些資訊。

    • 每個伺服器的主機名稱或IP位址。

    • KMS使用的KMIP連接埠。

    • KMS中加密金鑰的金鑰別名。

      註 KMS中必須已存在加密金鑰。不建立或管理KMS金鑰。StorageGRID

  4. 對於每個KMS或KMS叢集、請取得由憑證授權單位(CA)簽署的伺服器憑證、或是包含每個以憑證鏈順序串聯的、以PEE編碼之CA憑證檔案的憑證套件。

    伺服器憑證可讓外部KMS驗證自己StorageGRID 以供驗證。

    • 憑證必須使用隱私增強型郵件( PEF ) Base - 64 編碼的 X . 509 格式。

    • 每個伺服器憑證中的「Subject Alternative Name(SAN)(主體替代名稱(SAN))」欄位必須包含StorageGRID 完整網域名稱(FQDN)或要連線的IP位址。

      註 在StorageGRID 進行KMS設定時、您必須在*主機名稱*欄位中輸入相同的FQDN或IP位址。

    • 伺服器憑證必須符合KMS KMIP介面所使用的憑證、後者通常使用連接埠5696。

  5. 取得由StorageGRID 外部KMS核發的公有用戶端憑證、以及用戶端憑證的私密金鑰。

    用戶端憑證StorageGRID 可讓支援驗證本身到KMS。