管理 KMS
管理金鑰管理伺服器( KMS )包括檢視或編輯詳細資料、管理憑證、檢視加密節點、以及在不再需要時移除 KMS 。
-
您已使用登入 Grid Manager "支援的網頁瀏覽器"。
-
您有"必要的存取權限"。
檢視 KMS 詳細資料
您可以檢視 StorageGRID 系統中每個金鑰管理伺服器( KMS )的相關資訊、包括金鑰詳細資料、以及伺服器和用戶端憑證的目前狀態。
-
選擇*組態*>*安全性*>*金鑰管理伺服器*。
此時會出現「金鑰管理伺服器」頁面、並顯示下列資訊:
-
組態詳細資料索引標籤會列出所有已設定的金鑰管理伺服器。
-
加密節點索引標籤會列出已啟用節點加密的任何節點。
-
-
若要檢視特定 KMS 的詳細資料並在該 KMS 上執行作業、請選取 KMS 的名稱。KMS 的詳細資料頁面會列出下列資訊:
欄位 說明 管理的金鑰
與KMS相關的站台。StorageGRID
此欄位會顯示特定StorageGRID 的站台名稱、或*不由其他KMS管理的站台名稱(預設KMS)。*
主機名稱
KMS的完整網域名稱或IP位址。
如果有兩個金鑰管理伺服器的叢集、則會列出兩個伺服器的完整網域名稱或IP位址。如果叢集中有兩個以上的金鑰管理伺服器、則會列出第一個KMS的完整網域名稱或IP位址、以及叢集中其他金鑰管理伺服器的數量。
例如:
10.10.10.10 and 10.10.10.11`或 `10.10.10.10 and 2 others
。若要檢視叢集中的所有主機名稱、請選取 KMS 、然後選取 * 編輯 * 或 * 動作 * > * 編輯 * 。
-
選取 KMS 詳細資料頁面上的索引標籤、即可檢視下列資訊:
索引標籤 欄位 說明 關鍵詳細資料
金鑰名稱
KMS中的核心用戶端別名StorageGRID 。
金鑰UID
金鑰最新版本的唯一識別碼。
上次修改時間
金鑰最新版本的日期與時間。
伺服器憑證
中繼資料
憑證的中繼資料、例如序號、到期日和時間、以及憑證 PEM 。
憑證 PEM
憑證的 PEM (隱私強化郵件)檔案內容。
用戶端憑證
中繼資料
憑證的中繼資料、例如序號、到期日和時間、以及憑證 PEM 。
-
根據組織安全實務做法的要求、選擇 * 旋轉機碼 * 、或使用 KMS 軟體來建立新版本的金鑰。
當金鑰旋轉成功時、會更新金鑰 UID 和上次修改的欄位。
如果您使用 KMS 軟體來旋轉加密金鑰、請將其從上次使用的金鑰版本旋轉至相同金鑰的新版本。請勿旋轉至完全不同的金鑰。
切勿嘗試變更KMS的金鑰名稱(別名)來旋轉金鑰。若要從KMS存取先前使用過的所有金鑰版本(以及未來的任何金鑰版本)、必須使用相同的金鑰別名。StorageGRID如果您變更設定KMS的金鑰別名、StorageGRID 則可能無法解密您的資料。
管理憑證
立即解決任何伺服器或用戶端憑證問題。如有可能、請在憑證過期之前更換憑證。
您必須盡快解決任何憑證問題、才能維持資料存取。 |
-
選擇*組態*>*安全性*>*金鑰管理伺服器*。
-
在表格中、查看每個 KMS 的憑證到期值。
-
如果任何 KMS 的憑證過期時間都是未知的、請等待 30 分鐘、然後重新整理您的網頁瀏覽器。
-
如果 " 憑證到期 " 欄顯示憑證已過期或即將過期 , 請選取 KMS 前往 KMS 詳細資料頁面。
-
選取 * 伺服器憑證 * 、並驗證「到期日」欄位的值。
-
若要取代憑證、請選取 * 編輯憑證 * 來上傳新的憑證。
-
重複這些子步驟、然後選取 * 用戶端憑證 * 、而非伺服器憑證。
-
-
當觸發 *KMS CA 憑證過期 * 、 *KMS 用戶端憑證過期 * 和 *KMS 伺服器憑證過期 * 警示時、請記下每個警示的說明、然後執行建議的動作。
StorageGRID 可能需要 30 分鐘才能取得憑證過期的更新。重新整理網頁瀏覽器以查看目前的值。
如果您的狀態為 * 伺服器憑證狀態為未知 * 、請確保 KMS 允許取得伺服器憑證、而不需要用戶端憑證。 |
檢視加密節點
您可以在StorageGRID 啟用「節點加密」設定的支援功能系統中、檢視應用裝置節點的相關資訊。
-
選擇*組態*>*安全性*>*金鑰管理伺服器*。
此時會出現「金鑰管理伺服器」頁面。「組態詳細資料」索引標籤會顯示任何已設定的金鑰管理伺服器。
-
從頁面頂端、選取 * 加密節點 * 索引標籤。
加密節點索引標籤會列出 StorageGRID 系統中已啟用 * 節點加密 * 設定的應用裝置節點。
-
檢閱表格中每個應用裝置節點的資訊。
欄位 說明 節點名稱
應用裝置節點的名稱。
節點類型
節點類型:儲存設備、管理或閘道。
網站
安裝節點的站台名稱。StorageGRID
KMS 名稱
金鑰UID
加密金鑰的唯一ID、用於加密及解密應用裝置節點上的資料。若要檢視整個金鑰 UID 、請選取文字。
破折號(-)表示金鑰唯一碼未知、可能是因為應用裝置節點與KMS之間的連線問題。
狀態
KMS與應用裝置節點之間的連線狀態。如果節點已連線、時間戳記每30分鐘更新一次。變更KMS組態之後、連線狀態可能需要幾分鐘的時間才能更新。
-
附註: * 重新整理您的網路瀏覽器、以查看新值。
-
-
如果「狀態」欄指出KMS問題、請立即解決問題。
在一般KMS作業期間、狀態將*連線至KMS *。如果節點與網格中斷連線、則會顯示節點連線狀態(管理性關閉或未知)。
其他狀態訊息則對應StorageGRID 於名稱相同的Ses姓名:
-
無法載入kms組態
-
KMS連線錯誤
-
找不到kms加密金鑰名稱
-
KMS加密金鑰旋轉失敗
-
KMS金鑰無法解密應用裝置磁碟區
-
未設定公里
執行這些警示的建議動作。
-
您必須立即解決任何問題、確保資料受到完整保護。 |
編輯 KMS
您可能需要編輯金鑰管理伺服器的組態、例如、如果憑證即將過期。
-
如果您打算更新 KMS 所選的網站,您已經檢閱"變更網站KMS的考量事項"。
-
您已使用登入 Grid Manager "支援的網頁瀏覽器"。
-
您有"root 存取權限"。
-
選擇*組態*>*安全性*>*金鑰管理伺服器*。
此時會出現「金鑰管理伺服器」頁面、並顯示所有已設定的金鑰管理伺服器。
-
選取您要編輯的 KMS 、然後選取 * 動作 * > * 編輯 * 。
您也可以在表格中選取 KMS 名稱、然後在 KMS 詳細資料頁面上選取 * 編輯 * 來編輯 KMS 。
-
您也可以在「編輯金鑰管理伺服器」精靈的 * 步驟 1 ( KMS 詳細資料) * 中更新詳細資料。
欄位 說明 KMS 名稱
可協助您識別此KMS的描述性名稱。必須介於 1 到 64 個字元之間。
金鑰名稱
KMS中適用於該客戶端的確切金鑰別名StorageGRID 。必須介於 1 到 255 個字元之間。
在極少數情況下、您只需要編輯金鑰名稱即可。例如、如果在KMS中重新命名別名、或是先前金鑰的所有版本都已複製到新別名的版本歷程記錄、則必須編輯金鑰名稱。
管理的金鑰
如果您正在編輯網站專屬的 KMS 、但尚未有預設的 KMS 、請選擇性地選取 * 「不是由其他 KMS 管理的網站」(預設 KMS ) * 。此選項會將網站專屬的 KMS 轉換成預設的 KMS 、適用於所有沒有專屬 KMS 的網站、以及新增至擴充中的任何網站。
-
注意: * 如果您正在編輯網站專屬的 KMS 、則無法選取其他網站。如果您正在編輯預設 KMS 、則無法選取特定網站。
連接埠
KMS伺服器用於金鑰管理互通性傳輸協定(KMIP)通訊的連接埠。預設為5696、即KMIP標準連接埠。
主機名稱
KMS的完整網域名稱或IP位址。
-
注意: * 伺服器憑證的主體替代名稱( SAN )欄位必須包含您在此輸入的 FQDN 或 IP 位址。否則StorageGRID 、無法將無法連接至KMS或KMS叢集中的所有伺服器。
-
-
如果您要設定 KMS 叢集、請選取 * 新增其他主機名稱 * 、為叢集中的每部伺服器新增主機名稱。
-
選擇*繼續*。
此時將顯示 Edit a Key Management Server (編輯金鑰管理伺服器)精靈的步驟 2 (上傳伺服器憑證)。
-
如果您需要更換伺服器憑證、請選取*瀏覽*並上傳新檔案。
-
選擇*繼續*。
此時將顯示 Edit a Key Management Server (編輯金鑰管理伺服器)精靈的步驟 3 (上傳用戶端憑證)。
-
如果您需要更換用戶端憑證和用戶端憑證私密金鑰、請選取*瀏覽*並上傳新檔案。
-
選擇 * 測試並儲存 * 。
測試金鑰管理伺服器與受影響站台上所有節點加密應用裝置節點之間的連線。如果所有節點連線均有效、且KMS上找到正確的金鑰、則金鑰管理伺服器會新增至金鑰管理伺服器頁面的表格。
-
如果出現錯誤訊息、請檢閱訊息詳細資料、然後選取*確定*。
例如、如果您為此KMS選取的站台已由其他KMS管理、或連線測試失敗、您可能會收到「無法處理的實體」錯誤。
-
如果您需要在解決連線錯誤之前儲存目前的組態、請選取 * 強制儲存 * 。
選取 * 強制儲存 * 會儲存 KMS 組態、但不會測試從每個應用裝置到該 KMS 的外部連線。如果組態發生問題、您可能無法重新啟動受影響站台已啟用節點加密的應用裝置節點。在問題解決之前、您可能無法存取資料。 系統會儲存KMS組態。
-
檢閱確認警告、如果您確定要強制儲存組態、請選取* OK *。
KMS 組態已儲存、但 KMS 的連線未經過測試。
移除金鑰管理伺服器(KMS)
在某些情況下、您可能會想要移除金鑰管理伺服器。例如、如果您已停用站台、可能會想要移除站台專屬的KMS。
-
您已檢閱"使用金鑰管理伺服器的考量與要求"。
-
您已使用登入 Grid Manager "支援的網頁瀏覽器"。
-
您有"root 存取權限"。
在下列情況下、您可以移除KMS:
-
如果站台已停用、或站台中沒有啟用節點加密的應用裝置節點、您可以移除站台專屬的KMS。
-
如果每個已啟用節點加密功能的應用裝置節點已存在站台專屬KMS、您可以移除預設KMS。
-
選擇*組態*>*安全性*>*金鑰管理伺服器*。
此時會出現「金鑰管理伺服器」頁面、並顯示所有已設定的金鑰管理伺服器。
-
選取您要移除的 KMS 、然後選取 * 動作 * > * 移除 * 。
您也可以選取表格中的 KMS 名稱、然後從 KMS 詳細資料頁面中選取 * 移除 * 來移除 KMS 。
-
請確認下列各項正確無誤:
-
您正在移除網站專屬 KMS 、此網站沒有啟用節點加密的應用裝置節點。
-
您正在移除預設的 KMS 、但每個具有節點加密的站台都已存在特定站台的 KMS 。
-
-
選擇*是*。
KMS組態隨即移除。