Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

管理 KMS

PDF

管理金鑰管理伺服器 (KMS) 包括查看或編輯詳細資訊、管理憑證、查看加密節點以及在不再需要時刪除 KMS。

開始之前

查看 KMS 詳細信息

您可以查看有關StorageGRID系統中每個金鑰管理伺服器 (KMS) 的信息,包括金鑰詳細資訊以及伺服器和用戶端憑證的目前狀態。

步驟

  1. 選擇 設定 > 安全 > 金鑰管理伺服器

    出現密鑰管理伺服器頁面並顯示以下資訊:

    • 配置詳細資訊標籤列出了已設定的所有金鑰管理伺服器。

    • 加密節點標籤列出了所有啟用了節點加密的節點。

  2. 若要查看特定 KMS 的詳細資訊並對該 KMS 執行操作,請選擇該 KMS 的名稱。 KMS 的詳細資訊頁面列出了以下資訊:

    場地 描述

    管理密鑰

    與 KMS 關聯的StorageGRID站點。

    此欄位顯示特定StorageGRID站點或*未由其他 KMS 管理的站點(預設 KMS)*的名稱。

    主機名稱

    KMS 的完全限定網域名稱或 IP 位址。

    如果有兩個金鑰管理伺服器的集群,則會列出兩個伺服器的完全限定網域名稱或 IP 位址。如果叢集中有兩個以上的金鑰管理伺服器,則會列出第一個 KMS 的完全限定網域名稱或 IP 位址以及叢集中其他金鑰管理伺服器的數量。

    例如: 10.10.10.10 and 10.10.10.11`或者 `10.10.10.10 and 2 others

    若要查看叢集中的所有主機名,請選擇 KMS 並選擇 編輯操作 > 編輯

  3. 選擇 KMS 詳細資料頁面上的標籤以查看以下資訊:

    Tab 場地 描述

    關鍵細節

    鍵名稱

    KMS 中StorageGRID客戶端的金鑰別名。

    密鑰 UID

    密鑰最新版本的唯一識別碼。

    上次修改時間

    密鑰最新版本的日期和時間。

    伺服器憑證

    元數據

    證書的元數據,例如序號、到期日和時間以及證書 PEM。

    證書 PEM

    證書的 PEM(隱私增強郵件)文件的內容。

    客戶端憑證

    元數據

    證書的元數據,例如序號、到期日和時間以及證書 PEM。

  4. 根據組織的安全實務要求,選擇*輪替金鑰*,或使用 KMS 軟體來建立金鑰的新版本。

    當密鑰輪換成功時,密鑰 UID 和上次修改欄位將被更新。

    警告

    如果您使用 KMS 軟體輪替加密金鑰,請將其從金鑰的最後使用的版本輪替為相同金鑰的新版本。不要旋轉到完全不同的鍵。

    切勿嘗試透過更改 KMS 的金鑰名稱(別名)來輪換密鑰。 StorageGRID要求所有先前使用的金鑰版本(以及任何未來的版本)都可以使用相同的金鑰別名從 KMS 存取。如果您變更已設定的 KMS 的金鑰別名, StorageGRID可能無法解密您的資料。

管理證書

及時解決任何伺服器或客戶端證書問題。如果可能,請在證書過期之前更換證書。

警告 您必須盡快解決任何憑證問題以維持資料存取。
步驟

  1. 選擇 設定 > 安全 > 金鑰管理伺服器

  2. 在表格中,查看每個 KMS 的憑證到期值。

  3. 如果任何 KMS 的憑證到期日期未知,請等待最多 30 分鐘,然後重新整理您的 Web 瀏覽器。

  4. 如果憑證過期列指示憑證已過期或即將過期,請選擇 KMS 前往 KMS 詳細資料頁面。

    1. 選擇*伺服器憑證*並驗證「到期日」欄位的值。

    2. 若要取代證書,請選擇*編輯證書*上傳新證書。

    3. 重複這些子步驟並選擇*客戶端憑證*而不是伺服器憑證。

  5. 當觸發*KMS CA 憑證過期*、*KMS 用戶端憑證過期*和*KMS 伺服器憑證過期*警報時,請注意每個警報的描述並執行建議的操作。

    StorageGRID可能需要長達 30 分鐘才能取得憑證過期更新。刷新您的網頁瀏覽器以查看當前值。

註 如果您獲得的狀態為*伺服器憑證狀態未知*,請確保您的 KMS 允許取得伺服器憑證而無需用戶端憑證。

查看加密節點

您可以查看有關StorageGRID系統中啟用了 節點加密 設定的裝置節點的資訊。

步驟

  1. 選擇 設定 > 安全 > 金鑰管理伺服器

    出現密鑰管理伺服器頁面。配置詳細資訊標籤顯示已設定的任何金鑰管理伺服器。

  2. 從頁面頂部,選擇“加密節點”標籤。

    「加密節點」標籤列出了StorageGRID系統中啟用了「節點加密」設定的裝置節點。

  3. 查看表中每個設備節點的資訊。

    柱子 描述

    節點名稱

    設備節點的名稱。

    節點類型

    節點類型:儲存、管理或網關。

    地點

    安裝節點的StorageGRID站點的名稱。

    KMS 名稱

    用於節點的 KMS 的描述性名稱。

    如果沒有列出 KMS,請選擇設定詳細資料標籤以新增 KMS。

    "新增金鑰管理伺服器 (KMS)"

    密鑰 UID

    用於加密和解密裝置節點上資料的加密金鑰的唯一 ID。若要查看整個密鑰 UID,請選擇文字。

    破折號 (--) 表示金鑰 UID 未知,可能是由於裝置節點和 KMS 之間的連線問題。

    地位

    KMS 與裝置節點之間的連線狀態。如果節點已連接,則時間戳記每 30 分鐘更新一次。 KMS 配置變更後,連線狀態可能需要幾分鐘才能更新。

    *注意:*刷新您的網頁瀏覽器以查看新值。

  4. 如果狀態列指示 KMS 問題,請立即解決該問題。

    在正常的 KMS 操作期間,狀態將為 已連接到 KMS。如果節點與電網斷開連接,則會顯示節點連接狀態(管理關閉或未知)。

    其他狀態訊息對應於具有相同名稱的StorageGRID警報:

    • KMS 配置載入失敗

    • KMS 連線錯誤

    • 未找到 KMS 加密金鑰名稱

    • KMS 加密金鑰輪換失敗

    • KMS 金鑰解密裝置磁碟區失敗

    • 未配置 KMS

    針對這些警報執行建議的操作。

警告 您必須立即解決任何問題,以確保您的資料受到充分保護。

編輯 KMS

例如,如果憑證即將過期,您可能需要編輯金鑰管理伺服器的設定。

開始之前
步驟

  1. 選擇 設定 > 安全 > 金鑰管理伺服器

    出現金鑰管理伺服器頁面,其中顯示所有已設定的金鑰管理伺服器。

  2. 選擇要編輯的 KMS,然後選擇*操作* > 編輯

    您也可以透過選擇表格中的 KMS 名稱並在 KMS 詳細資料頁面上選擇 編輯 來編輯 KMS。

  3. 或者,更新編輯金鑰管理伺服器精靈的*步驟 1(KMS 詳細資料)*中的詳細資訊。

    場地 描述

    KMS 名稱

    協助您識別此 KMS 的描述性名稱。必須介於 1 到 64 個字元之間。

    鍵名稱

    KMS 中StorageGRID客戶端的精確金鑰別名。必須介於 1 到 255 個字元之間。

    您只需在極少數情況下編輯密鑰名稱。例如,如果別名在 KMS 中被重新命名,或者先前密鑰的所有版本都已複製到新別名的版本歷史記錄中,則必須編輯密鑰名稱。

    管理密鑰

    如果您正在編輯特定於網站的 KMS,並且還沒有預設 KMS,則可以選擇 未由其他 KMS 管理的網站(預設 KMS)。此選擇將網站特定的 KMS 轉換為預設 KMS,這將適用於所有沒有專用 KMS 的網站以及擴充功能中新增的任何網站。

    *注意:*如果您正在編輯特定於網站的 KMS,則不能選擇其他網站。如果您正在編輯預設 KMS,則無法選擇特定網站。

    港口

    KMS 伺服器用於金鑰管理互通協定 (KMIP) 通訊的連接埠。預設為 5696,這是 KMIP 標準連接埠。

    主機名稱

    KMS 的完全限定網域名稱或 IP 位址。

    *注意:*伺服器憑證的主題備用名稱 (SAN) 欄位必須包含您在此輸入的 FQDN 或 IP 位址。否則, StorageGRID將無法連接到 KMS 或 KMS 叢集中的所有伺服器。

  4. 如果您正在配置 KMS 集群,請選擇「新增另一個主機名稱」為集群中的每個伺服器新增一個主機名稱。

  5. 選擇*繼續*。

    出現編輯金鑰管理伺服器精靈的第 2 步(上傳伺服器憑證)。

  6. 如果需要更換伺服器證書,請選擇*瀏覽*並上傳新檔案。

  7. 選擇*繼續*。

    出現編輯金鑰管理伺服器精靈的步驟 3(上傳用戶端憑證)。

  8. 如果需要更換用戶端憑證和用戶端憑證私鑰,請選擇*瀏覽*並上傳新檔案。

  9. 選擇*測試並儲存*。

    測試金鑰管理伺服器和受影響網站的所有節點加密設備節點之間的連線。如果所有節點連接均有效,並且在 KMS 上找到了正確的金鑰,則金鑰管理伺服器將新增至金鑰管理伺服器頁面的表中。

  10. 如果出現錯誤訊息,請查看訊息詳細訊息,然後選擇「確定」。

    例如,如果您為此 KMS 選擇的網站已由另一個 KMS 管理,或連線測試失敗,您可能會收到 422:無法處理的實體錯誤。

  11. 如果您需要在解決連線錯誤之前儲存目前配置,請選擇*強制儲存*。

    警告 選擇「強制儲存」將儲存 KMS 配置,但不會測試從每個裝置到該 KMS 的外部連線。如果設定有問題,您可能無法重新啟動在受影響網站上啟用了節點加密的裝置節點。在問題解決之前,您可能會無法存取您的資料。

    KMS 配置已儲存。

  12. 查看確認警告,如果確定要強制儲存配置,請選擇「確定」。

    KMS 配置已儲存,但未測試與 KMS 的連線。

刪除金鑰管理伺服器 (KMS)

在某些情況下,您可能想要刪除金鑰管理伺服器。例如,如果您已退役該站點,則可能想要刪除特定於站點的 KMS。

開始之前
關於此任務

您可以在以下情況下刪除 KMS:

  • 如果網站已退役或網站不包含啟用了節點加密的裝置節點,則可以刪除網站特定的 KMS。

  • 如果每個啟用了節點加密的裝置節點的網站都已存在網站特定的 KMS,則可以刪除預設 KMS。

步驟

  1. 選擇 設定 > 安全 > 金鑰管理伺服器

    出現金鑰管理伺服器頁面,其中顯示所有已設定的金鑰管理伺服器。

  2. 選擇要刪除的 KMS,然後選擇*操作* > 刪除

    您也可以透過選擇表格中的 KMS 名稱並從 KMS 詳細資料頁面中選擇 刪除 來刪除 KMS。

  3. 確認以下內容屬實:

    • 您正在刪除沒有啟用節點加密的裝置節點的網站特定 KMS。

    • 您正在刪除預設的 KMS,但每個具有節點加密的網站已經存在網站特定的 KMS。

  4. 選擇“是”。

    KMS 配置已被刪除。