Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

新增金鑰管理伺服器 (KMS)

PDF

您可以使用StorageGRID金鑰管理伺服器精靈新增每個 KMS 或 KMS 叢集。

開始之前
關於此任務

如果可能,請在配置適用於所有未由其他 KMS 管理的網站的預設 KMS 之前配置任何特定於網站的金鑰管理伺服器。如果您先建立預設 KMS,則網格中的所有節點加密裝置都將由預設 KMS 加密。如果您以後想要建立特定於網站的 KMS,則必須先將目前版本的加密金鑰從預設 KMS 複製到新的 KMS。看"更改站點 KMS 的注意事項"了解詳情。

步驟 1:KMS 詳細信息

在新增金鑰管理伺服器精靈的步驟 1(KMS 詳細資料)中,您需要提供有關 KMS 或 KMS 叢集的詳細資訊。

步驟

  1. 選擇 設定 > 安全 > 金鑰管理伺服器

    出現密鑰管理伺服器頁面,其中已選取配置詳細資訊標籤。

  2. 選擇“創建”。

    出現新增金鑰管理伺服器精靈的第 1 步(KMS 詳細資訊)。

  3. 為 KMS 和在該 KMS 中配置的StorageGRID用戶端輸入以下資訊。

    場地 描述

    KMS 名稱

    協助您識別此 KMS 的描述性名稱。必須介於 1 到 64 個字元之間。

    鍵名稱

    KMS 中StorageGRID客戶端的精確金鑰別名。必須介於 1 到 255 個字元之間。

    注意:如果您尚未使用 KMS 產品建立金鑰,系統將提示您讓StorageGRID建立金鑰。

    管理密鑰

    將與此 KMS 關聯的StorageGRID站點。如果可能,您應該在配置適用於所有未由其他 KMS 管理的網站的預設 KMS 之前配置任何特定於網站的金鑰管理伺服器。

    • 如果此 KMS 將管理特定站點的裝置節點的加密金鑰,請選擇一個站點。

    • 選擇*未由其他 KMS 管理的網站(預設 KMS)*來配置一個預設 KMS,該預設 KMS 將套用於任何沒有專用 KMS 的網站以及您在後續擴充中新增的任何網站。

      *注意:*如果您選擇先前由預設 KMS 加密的網站但未向新 KMS 提供目前版本的原始加密金鑰,則在儲存 KMS 設定時將發生驗證錯誤。

    港口

    KMS 伺服器用於金鑰管理互通協定 (KMIP) 通訊的連接埠。預設為 5696,這是 KMIP 標準連接埠。

    主機名稱

    KMS 的完全限定網域名稱或 IP 位址。

    *注意:*伺服器憑證的主題備用名稱 (SAN) 欄位必須包含您在此輸入的 FQDN 或 IP 位址。否則, StorageGRID將無法連接到 KMS 或 KMS 叢集中的所有伺服器。

  4. 如果您正在配置 KMS 集群,請選擇「新增另一個主機名稱」為集群中的每個伺服器新增一個主機名稱。

  5. 選擇*繼續*。

步驟2:上傳伺服器憑證

在新增金鑰管理伺服器精靈的第 2 步(上傳伺服器憑證)中,您可以上傳 KMS 的伺服器憑證(或憑證包)。伺服器憑證允許外部 KMS 向StorageGRID進行身份驗證。

步驟

  1. 從*步驟 2(上傳伺服器憑證)*開始,瀏覽到已儲存的伺服器憑證或憑證包的位置。

  2. 上傳證書檔案。

    出現伺服器憑證元資料。

    註 如果您上傳了憑證包,則每個憑證的元資料都會顯示在自己的標籤上。

  3. 選擇*繼續*。

步驟 3:上傳客戶端憑證

在新增金鑰管理伺服器精靈的步驟 3(上傳用戶端憑證)中,上傳用戶端憑證和用戶端憑證私鑰。用戶端憑證允許StorageGRID向 KMS 驗證自身身分。

步驟

  1. 從*步驟 3(上傳客戶端憑證)*開始,瀏覽到客戶端憑證的位置。

  2. 上傳客戶端證書檔案。

    出現客戶端證書元資料。

  3. 瀏覽到客戶端憑證的私鑰的位置。

  4. 上傳私鑰檔案。

  5. 選擇*測試並儲存*。

    如果金鑰不存在,系統會提示您讓StorageGRID建立一個。

    測試金鑰管理伺服器和設備節點之間的連線。如果所有連線均有效,並且在 KMS 上找到了正確的金鑰,則新的金鑰管理伺服器將會新增至金鑰管理伺服器頁面的表中。

    註 新增 KMS 後,金鑰管理伺服器頁面上的憑證狀態立即顯示為未知。 StorageGRID可能需要長達 30 分鐘才能取得每個憑證的實際狀態。您必須刷新 Web 瀏覽器才能查看目前狀態。

  6. 如果在選擇“測試並儲存”時出現錯誤訊息,請查看訊息詳細信息,然後選擇“確定”。

    例如,如果連線測試失敗,您可能會收到 422:無法處理的實體錯誤。

  7. 如果需要儲存目前配置而不測試外部連接,請選擇*強制儲存*。

    警告 選擇「強制儲存」將儲存 KMS 配置,但不會測試從每個裝置到該 KMS 的外部連線。如果設定有問題,您可能無法重新啟動在受影響網站上啟用了節點加密的裝置節點。在問題解決之前,您可能會無法存取您的資料。

  8. 查看確認警告,如果確定要強制儲存配置,請選擇「確定」。

    KMS 配置已儲存,但未測試與 KMS 的連線。