Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

在StorageGRID KMS中設定以用戶端身份執行的功能

貢獻者
PDF

您必須先為StorageGRID 每個外部金鑰管理伺服器或KMS叢集設定用作用戶端的功能、才能將KMS新增StorageGRID 至原地。

註 這些指示適用於 Thales CipherTrust Manager 和 Hashicorp Vault 。如需受支援產品和版本的清單、請使用 "NetApp互通性對照表工具IMT (不含)"
步驟

  1. 在KMS軟體中、為StorageGRID 您打算使用的每個KMS或KMS叢集建立一個完善的用戶端。

    每個KMS都會在StorageGRID 單一站台或一組站台上、管理一個用於「不完整」應用裝置節點的加密金鑰。

  2. [[create-key-with -kms-product]] 使用下列兩種方法之一建立金鑰:

    • 使用 KMS 產品的金鑰管理頁面。為每個 KMS 或 KMS 叢集建立 AES 加密金鑰。

      加密金鑰必須為 2 、 048 位元以上、而且必須可匯出。

    • 讓 StorageGRID 建立金鑰。測試並儲存之後、系統會提示您 "正在上傳用戶端憑證"

  3. 記錄每個KMS或KMS叢集的下列資訊。

    當您將 KMS 新增至 StorageGRID 時、需要以下資訊:

    • 每個伺服器的主機名稱或IP位址。

    • KMS使用的KMIP連接埠。

    • KMS中加密金鑰的金鑰別名。

  4. 對於每個KMS或KMS叢集、請取得由憑證授權單位(CA)簽署的伺服器憑證、或是包含每個以憑證鏈順序串聯的、以PEE編碼之CA憑證檔案的憑證套件。

    伺服器憑證可讓外部KMS驗證自己StorageGRID 以供驗證。

    • 憑證必須使用隱私增強型郵件( PEF ) Base - 64 編碼的 X . 509 格式。

    • 每個伺服器憑證中的「Subject Alternative Name(SAN)(主體替代名稱(SAN))」欄位必須包含StorageGRID 完整網域名稱(FQDN)或要連線的IP位址。

      註 在StorageGRID 進行KMS設定時、您必須在*主機名稱*欄位中輸入相同的FQDN或IP位址。

    • 伺服器憑證必須符合KMS KMIP介面所使用的憑證、後者通常使用連接埠5696。

  5. 取得由StorageGRID 外部KMS核發的公有用戶端憑證、以及用戶端憑證的私密金鑰。

    用戶端憑證StorageGRID 可讓支援驗證本身到KMS。