メインコンテンツまでスキップ

外部セキュリティー・キーの作成

キー管理サーバーでドライブ・セキュリティー機能を使用するには、外部キーを作成し、キー管理サーバーとストレージ・アレイのセキュリティー対応ドライブで共有する必要があります。

始める前に

  • アレイにセキュリティ対応ドライブが搭載されている必要があります。対応するドライブには、Full Disk Encryption(FDE)ドライブと連邦情報処理標準(FIPS)ドライブがあります。

    ストレージ・アレイにFDEドライブとFIPSドライブの両方が搭載されている場合、すべてのドライブで同じセキュリティー・キーが共有されます。

  • ドライブ・セキュリティー機能を有効にする必要があります。それ以外の場合、

    このタスクの実行中に"セキュリティー・キーを作成できません" ダイアログ・ボックスが開きます。ドライブ・セキュリティー機能を有効にする手順については、必要に応じてストレージ ベンダーに問い合わせてください。
  • ストレージ・アレイのコントローラーの署名済みクライアント証明書ファイルがあり、System Manager にアクセスしているホストにそのファイルをコピー済みです。クライアント証明書によってストレージ・アレイのコントローラーが検証されるため、鍵管理サーバーは鍵管理相互運用性プロトコル (KMIP) 要求を信頼できます。
  • 証明書ファイルをキー管理サーバーから取得し、そのファイルを System Manager にアクセスしているホストにコピーする必要があります。キー管理サーバー証明書は、ストレージ・アレイがサーバーの IP アドレスを信頼できるよう、キー管理サーバーを検証します。キー管理サーバーにはルート証明書、中間証明書、またはサーバー証明書を使用できます。
    サーバー証明書について詳しくは、鍵管理サーバーの資料を参照してください。

このタスクについて

このタスクでは、キー管理サーバーの IP アドレスと使用するポート番号を定義し、外部キー管理に使用する証明書をロードします。
  1. 設定 > システムの順に選択します。
  2. セキュリティー・キー管理で、外部キーの作成を選択します。

    現在内部キー管理が設定されている場合は、外部キー管理に切り替えるかどうかの確認を求めるダイアログ・ボックスが表示されます。
    "外部セキュリティ・キーの作成" ダイアログ・ボックスが開きます。
  3. キー・サーバーへの接続で、次のフィールドに情報を入力します。
    • キー管理サーバーのアドレス – キー管理に使用するサーバーの完全修飾ドメイン名またはIPアドレス(IPv4 または IPv6)を入力します。
    • キー管理ポート番号 – KMIP 通信に使用するポート番号を入力します。キー管理サーバーの通信に使用される最も一般的なポート番号は 5696 です。

      必要に応じて、キー・サーバーの追加をクリックして別のキー・サーバーを追加できます。

    • クライアント証明書を選択 – 1 つ目の参照ボタンをクリックして、ストレージ・アレイのコントローラーの証明書ファイルを選択します。
    • キー管理サーバーのサーバー証明書を選択 – 2 つ目の参照ボタンをクリックして、キー管理サーバーの証明書ファイルを選択します。キー管理サーバーにはルート証明書、中間証明書、またはサーバー証明書を選択できます。
  4. 次へをクリックします。
  5. キーの作成/バックアップでは、セキュリティー目的でバックアップ・キーを作成できます。
    • (推奨) バックアップ・キーを作成するには、チェック・ボックスを選択したまま、パス・フレーズを入力して確認します。8~32文字で指定し、以下の文字をそれぞれ1文字以上含める必要があります。
      • 大文字のアルファベット(1文字以上)。パス・フレーズでは大文字と小文字が区別されます。
      • 数字(1文字以上)。
      • 英数字以外の「!」、「*」、「@」などの文字(1文字以上)。
      注意
      この値はあとで使用するため必ずメモしておいてください。セキュリティ有効ドライブをストレージ・アレイから移動する必要がある場合、ドライブ・データのロックを解除するためにパス・フレーズが必要になります。
    • バックアップ・キーを作成しない場合、チェックボックスを選択解除します。
      注意
      外部キー・サーバーにアクセスできなくなり、バックアップ・キーもない場合、別のストレージ・アレイに移行するとドライブ上のデータへのアクセスが失われる点に注意してください。System Manager でバックアップ・キーを作成するには、このオプションを使用する必要があります。
  6. 終了をクリックします。
    入力した資格情報を使用して、システムがキー管理サーバーに接続されます。その後、セキュリティー・キーのコピーがローカル システムに格納されます。
    ダウンロード ファイルのパスは、ブラウザのデフォルトのダウンロード先に応じて異なる場合があります。
  7. パス・フレーズとダウンロードしたキー・ファイルの場所をメモし、閉じるをクリックします。
    次のメッセージと外部キー管理に関連したリンクが表示されます。

    Current key management method: External

  8. 通信のテストを選択して、ストレージ・アレイとキー管理サーバーの間の接続をテストします。
    テスト結果がダイアログ・ボックスに表示されます。

次の処理

外部キー管理を有効にすると、セキュリティ有効のボリューム グループまたはプールを作成したり、既存のボリューム グループまたはプールでセキュリティを有効にしたりできます。
ドライブの電源をオフにしてオンにするたびに、すべてのセキュリティ有効ドライブがセキュリティ ロック状態になります。この状態では、コントローラーがドライブの初期化中に正しいセキュリティー・キーを適用するまで、データにアクセスできません。第三者がロックされたドライブを物理的に取り外して別のシステムに取り付けた場合でも、データへの不正アクセスを防止することができます。

完了後

  • セキュリティー・キーを検証して、キー・ファイルが破損していないことを確認します。