メインコンテンツまでスキップ

外部セキュリティ キーの作成

キー管理サーバでドライブ セキュリティ機能を使用するには、外部キーを作成し、キー管理サーバとストレージ アレイのセキュリティ対応ドライブで共有する必要があります。

始める前に

  • アレイにセキュリティ対応ドライブが搭載されている必要があります。対応するドライブには、Full Disk Encryption(FDE)ドライブと連邦情報処理標準(FIPS)ドライブがあります。

    ストレージ アレイにFDEドライブとFIPSドライブの両方が搭載されている場合、すべてのドライブで同じセキュリティ キーが共有されます。

  • ドライブ セキュリティ機能を有効にする必要があります。それ以外の場合、

    このタスクの実行中に「セキュリティー・キーを作成できません」ダイアログ・ボックスが開きます。ドライブ セキュリティ機能を有効にする手順については、必要に応じてストレージ ベンダーに問い合わせてください。
  • ストレージ アレイのコントローラーの署名済みクライアント証明書ファイルがあり、System Manager にアクセスしているホストにそのファイルをコピー済みです。クライアント証明書によってストレージ・アレイのコントローラーが検証されるため、鍵管理サーバーは鍵管理相互運用性プロトコル (KMIP) 要求を信頼できます。
  • 証明書ファイルをキー管理サーバーから取得し、そのファイルを System Manager にアクセスしているホストにコピーする必要があります。キー管理サーバ証明書は、ストレージ アレイがサーバのIPアドレスを信頼できるよう、キー管理サーバを検証します。キー管理サーバーにはルート証明書、中間証明書、またはサーバー証明書を使用できます。
    サーバー証明書について詳しくは、鍵管理サーバーの資料を参照してください。

このタスクについて

このタスクでは、キー管理サーバのIPアドレスと使用するポート番号を定義し、外部キー管理に使用する証明書をロードします。
  1. 設定 > システムの順に選択します。
  2. [セキュリティ キー管理][外部キーの作成]を選択します。

    現在内部キー管理が設定されている場合は、外部キー管理に切り替えるかどうかの確認を求めるダイアログ ボックスが表示されます。
    [外部セキュリティ キーの作成]ダイアログ ボックスが開きます。
  3. [キー サーバへの接続]で、次のフィールドに情報を入力します。
    • キー管理サーバのアドレス – キー管理に使用するサーバの完全修飾ドメイン名またはIPアドレス(IPv4またはIPv6)を入力します。
    • キー管理ポート番号 – Key Management Interoperability Protocol(KMIP)の通信に使用するポート番号を入力します。キー管理サーバの通信に使用される最も一般的なポート番号は5696です。
    • クライアント証明書を選択 – 1つ目の[参照]ボタンをクリックして、ストレージ アレイのコントローラの証明書ファイルを選択します。
    • キー管理サーバのサーバ証明書を選択 – 2つ目の[参照]ボタンをクリックして、キー管理サーバの証明書ファイルを選択します。キー管理サーバーにはルート証明書、中間証明書、またはサーバー証明書を選択できます。
  4. [次へ]をクリックします。
  5. キーの作成/バックアップ」では、セキュリティー目的でバックアップ・キーを作成できます。
    • (推奨) バックアップ・キーを作成するには、チェック・ボックスを選択したまま、パス・フレーズを入力して確認します。8~32文字で指定し、以下の文字をそれぞれ1文字以上含める必要があります。
      • 大文字のアルファベット(1文字以上)。パス フレーズでは大文字と小文字が区別されます。
      • 数字(1文字以上)。
      • 英数字以外の「!」、「*」、「@」などの文字(1文字以上)。
      注意
      この値はあとで使用するため必ずメモしておいてください。セキュリティ有効ドライブをストレージ アレイから移動する必要がある場合、ドライブ データのロックを解除するためにパス フレーズが必要になります。
    • バックアップ・キーを作成しない場合、チェックボックスを選択解除します。
      注意
      外部キー・サーバーにアクセスできなくなり、バックアップ・キーもない場合、別のストレージ・アレイに移行するとドライブ上のデータへのアクセスが失われる点に注意してください。System Manager でバックアップ・キーを作成するには、このオプションを使用する必要があります。
  6. [終了]をクリックします。
    入力したクレデンシャルを使用して、システムがキー管理サーバに接続されます。その後、セキュリティ キーのコピーがローカル システムに格納されます。
    ダウンロード ファイルのパスは、ブラウザのデフォルトのダウンロード先に応じて異なる場合があります。
  7. パス フレーズとダウンロードしたキー ファイルの場所をメモし、[閉じる]をクリックします。
    次のメッセージと外部キー管理に関連したリンクが表示されます。

    Current key management method: External

  8. [通信のテスト]を選択して、ストレージ アレイとキー管理サーバの間の接続をテストします。
    テスト結果がダイアログ ボックスに表示されます。

次の処理

外部キー管理を有効にすると、セキュリティ有効のボリューム グループまたはプールを作成したり、既存のボリューム グループまたはプールでセキュリティを有効にしたりできます。
ドライブの電源をオフにしてオンにするたびに、すべてのセキュリティ有効ドライブがセキュリティ ロック状態になります。この状態のドライブのデータには、ドライブの初期化時に作成した正しいセキュリティ キーがコントローラによって適用されないかぎりアクセスできません。第三者がロックされたドライブを物理的に取り外して別のシステムに取り付けた場合でも、データへの不正アクセスを防止することができます。

完了後

  • セキュリティ キーを検証して、キー ファイルが破損していないことを確認します。