跳到主要内容

创建外部安全密钥

要通过密钥管理软件使用驱动器安全功能,必须创建一个外部密钥,供密钥管理软件和存储阵列中支持安全功能的驱动器共用。

开始之前

  • 阵列中必须安装支持安全功能的驱动器。此类驱动器可以是 Full Disk Encryption(FDE)驱动器或联邦信息处理标准(FIPS)驱动器。

    如果存储阵列中同时装有 FDE 和 FIPS 驱动器,这些驱动器将共用同一个安全密钥。

  • 必须启用驱动器安全功能。否则,

    执行此任务期间将打开“无法创建安全密钥”对话框。如有必要,请联系存储供应商以索取有关如何启用驱动器安全功能的说明。
  • 您已获得存储阵列控制器的签名客户端证书文件,并且已将该文件拷贝到用于访问 System Manager 的主机上。客户端证书用于验证存储阵列的控制器,以便密钥管理软件可以信任其密钥管理互操作性协议(KMIP)请求。
  • 您必须从密钥管理软件中检索证书文件,然后将该文件拷贝到用于访问 System Manager 的主机上。密钥管理软件证书将验证密钥管理软件,以便存储阵列可信任其 IP 地址。可以将根证书、中间证书或服务器证书用于密钥管理软件。
    有关服务器证书的更多信息,请查阅密钥管理软件的文档。

关于本任务

在此任务中,将定义密钥管理软件的 IP 地址及其使用的端口号,然后加载证书以执行外部密钥管理。
  1. 选择设置 > 系统
  2. 安全密钥管理下,选择创建外部密钥

    如果当前已配置了内部密钥管理,将打开一个对话框,请您确认要切换到外部密钥管理。
    随后将打开“创建外部安全密钥”对话框。
  3. 连接到密钥服务器下的以下字段中输入信息。
    • 密钥管理软件地址 – 输入用于密钥管理的服务器的标准域名或 IP 地址(IPv4 或 IPv6)。
    • 密钥管理端口号 – 输入用于 KMIP 通信的端口号。最常用于密钥管理软件通信的端口号为 5696。

      (可选)可通过单击添加密钥服务器来添加另一个密钥服务器。

    • 选择客户端证书 – 单击第一个浏览按钮选择存储阵列控制器的证书文件。
    • 选择密钥管理软件的服务器证书 – 单击第二个浏览按钮选择密钥管理软件的证书文件。您可以为密钥管理软件选择根证书、中间证书或服务器证书。
  4. 单击下一步
  5. 创建/备份密钥下,可以出于安全目的创建一个备份密钥。
    • (推荐)要创建备份密钥,请保持选中该复选框,然后输入并确认密码短语。该值可以包含 8 到 32 个字符,并且必须包含以下各项:
      • 大写字母(一个或多个)。请注意,口令区分大小写。
      • 数字(一个或多个)。
      • 非字母数字字符,例如 !、*、@(一个或多个)。
      警告
      务必记下输入的内容供以后使用。如果需要从存储阵列移动已启用安全功能的驱动器,必须知道密码短语才能解锁驱动器数据。
    • 如果您不想创建备份密钥,请取消选中该复选框。
      警告
      请注意,如果您无法访问外部密钥服务器,且没有备份密钥,您将无法访问迁移到另一个存储阵列的驱动器上的数据。此选项是在 System Manager 中创建备份密钥的唯一方法。
  6. 单击完成
    系统将使用您输入的凭证连接到密钥管理软件。然后,安全密钥的副本将被存储到本地系统。
    所下载文件的路径可能取决于浏览器的默认下载位置。
  7. 记录密码短语和所下载密钥文件的位置,然后单击关闭
    此页显示以下消息,以及外部密钥管理的其他链接:

    Current key management method: External

  8. 通过选择测试通信测试存储阵列与密钥管理软件之间的连接。
    测试结果将显示在对话框中。

将会发生什么情况?

启用外部密钥管理后,可以创建已启用安全功能的卷组或池,或者对现有卷组和池启用安全性。
如果关闭再打开驱动器电源,则所有已启用安全功能的驱动器的状态都将变为“安全锁定”。在此状态下,数据不可访问,直到控制器在驱动器初始化期间应用正确的安全密钥。如果以物理方式卸下处于锁定状态的驱动器,“安全锁定”状态将阻止未经授权访问其数据。

完成之后

  • 应验证安全密钥,以确保密钥文件未损坏。