安全密钥管理的工作原理

如果实施驱动器安全功能，则已启用安全功能的驱动器（FIPS 或 FDE）需要安全密钥才能访问数据。安全密钥是存储阵列中以下类型的驱动器与控制器之间共用的一串字符。

只要关闭驱动器电源再打开，已启用安全功能的驱动器的状态都将变为“安全锁定”，直到控制器应用安全密钥。如果从存储阵列中移除已启用安全功能的驱动器，将锁定该驱动器的数据。如果将该驱动器重新安装到其他存储阵列中，该驱动器将先查找安全密钥，之后才会允许访问数据。要解锁数据，必须手动应用原始安全密钥。

可使用以下方法之一创建和管理安全密钥：

内部密钥管理

内部密钥将保留并“隐藏”在控制器永久内存中某个不可访问的位置。要实施内部密钥管理，请执行以下步骤：

在存储阵列中安装支持安全功能的驱动器。此类驱动器可以是 Full Disk Encryption（FDE）驱动器或联邦信息处理标准（FIPS）驱动器。
确保启用驱动器安全功能。如有必要，请联系存储供应商以索取有关如何启用驱动器安全功能的说明。
创建内部安全密钥，其中涉及定义标识和口令。该标识是一个与安全密钥关联的字符串，存储在控制器上和与该密钥关联的所有驱动器上。对于备份目的，将使用口令加密安全密钥。要创建内部密钥，请转至
设置 > 系统 > 安全密钥管理 > 创建内部密钥。

安全密钥存储在控制器上的一个不可访问的隐藏位置。然后可以创建已启用安全功能的卷组或池，或者对现有卷组和池启用安全性。

外部密钥保存在单独的密钥管理软件上，并采用密钥管理互操作性协议（KMIP）。要实施外部密钥管理，请执行以下步骤：

在存储阵列中安装支持安全功能的驱动器。此类驱动器可以是 Full Disk Encryption（FDE）驱动器或联邦信息处理标准（FIPS）驱动器。
确保启用驱动器安全功能。如有必要，请联系存储供应商以索取有关如何启用驱动器安全功能的说明。
获取签名的客户端证书文件。客户端证书会验证存储阵列的控制器，以便密钥管理软件可以信任这些控制器的 KMIP 请求。
1. 首先，您需要填写并下载客户端证书签名请求（CSR）。转至设置 > 证书 > 密钥管理 > 填写 CSR。
2. 接下来，向密钥管理软件信任的 CA 请求已签名的客户端证书。（也可以使用 CSR 文件从密钥管理软件创建并下载客户端证书。）
3. 获得客户端证书文件后，将该文件拷贝到用于访问 System Manager 的主机上。
从密钥管理软件中检索证书文件，然后将该文件拷贝到用于访问 System Manager 的主机上。密钥管理软件证书将验证密钥管理软件，以便存储阵列可信任其 IP 地址。可以将根证书、中间证书或服务器证书用于密钥管理软件。
创建外部密钥，其中涉及定义密钥管理软件 IP 地址和用于 KMIP 通信的端口号。在此过程中，也将加载证书文件。要创建外部密钥，请转至设置 > 系统 > 安全密钥管理 > 创建外部密钥。

系统将使用您输入的凭证连接到密钥管理软件。然后可以创建已启用安全功能的卷组或池，或者对现有卷组和池启用安全性。

提供反馈