跳到主要内容

使用外部密钥管理功能解锁驱动器

如果您配置了外部密钥管理,然后又将已启用安全功能的驱动器从一个存储阵列移到了另一个存储阵列,则必须将安全密钥重新分配给新的存储阵列才能访问驱动器上的加密数据。

开始之前

  • 在源阵列(要移除驱动器的阵列)上,您已导出卷组并移除了驱动器。在目标阵列上,您已重新安装驱动器。System Manager 用户界面不支持导出/导入功能;必须使用命令行界面(CLI)将卷组导出/导入到其他存储阵列。

  • 必须启用驱动器安全功能。否则,执行此任务期间将打开“无法创建安全密钥”对话框。如有必要,请联系存储供应商以索取有关如何启用驱动器安全功能的说明。

  • 您必须知道密钥管理服务器的 IP 地址和端口号。

  • 您已获得存储阵列控制器的签名客户端证书文件,并且已将该文件拷贝到用于访问 System Manager 的主机上。客户端证书用于验证存储阵列的控制器,以便密钥管理软件可以信任其密钥管理互操作性协议(KMIP)请求。

  • 您必须从密钥管理软件中检索证书文件,然后将该文件拷贝到用于访问 System Manager 的主机上。密钥管理软件证书将验证密钥管理软件,以便存储阵列可信任其 IP 地址。可以将根证书、中间证书或服务器证书用于密钥管理软件。

有关服务器证书的更多信息,请查阅密钥管理软件的文档。

关于本任务

当您使用外部密钥管理时,安全密钥将存储在专门用于保护安全密钥的外部服务器上。安全密钥是控制器和驱动器共同用于读/写访问的一串字符。从阵列中物理卸下驱动器并将其安装在另一个阵列中时,除非您提供正确的安全密钥,否则它们将无法运行。

您可以从控制器的永久存储创建内部密钥,也可以从密钥管理软件创建外部密钥。本主题介绍在使用外部 密钥管理时解锁数据。如果使用的是内部 密钥管理,请参阅使用内部密钥管理功能解锁驱动器。如果要执行控制器升级并将所有控制器更换为最新的硬件,必须按照“解锁驱动器”一节的升级 DE 系列控制器 中的不同步骤进行操作。

在另一个阵列中重新安装已启用安全功能的驱动器后,该阵列会发现这些驱动器,并显示“需要注意”情况以及“需要安全密钥”状态。要解锁驱动器数据,请导入安全密钥文件并输入密钥的密码短语。(此密码短语与存储阵列的管理员密码不同。)在此过程中,需要将存储阵列配置为使用外部密钥管理服务器,然后即可访问安全密钥。您需要提供服务器的联系信息,以便存储阵列连接和检索安全密钥。

如果新存储阵列中装有其他已启用安全功能的驱动器,这些驱动器使用的安全密钥与您导入的不同。导入过程中,原来的安全密钥仅用于解锁您要安装的驱动器的数据。解锁过程成功后,将把新安装的驱动器的密钥重新设置为目标存储阵列的安全密钥。

  1. 选择设置 > 系统
  2. 安全密钥管理下,选择创建外部密钥
  3. 使用必要的连接信息和证书完成向导。
  4. 单击测试通信,确保能访问外部密钥管理服务器。
  5. 选择解锁安全驱动器
    随后将打开“解锁安全驱动器”对话框。表中将显示所有需要安全密钥的驱动器。
  6. (可选)将鼠标悬停在驱动器号上方可查看驱动器的位置(存储架编号和插槽编号)。
  7. 单击浏览,然后选择与要解锁的驱动器对应的安全密钥文件。
    随后将在该对话框中显示所选密钥文件。
  8. 输入与此密钥文件关联的密码短语。
    将屏蔽输入的字符。
  9. 单击解锁
    如果解锁操作成功,对话框将显示:“关联的安全驱动器已解锁。”

结果

但是,如果目标存储阵列中已经有一些已解锁的驱动器,则控制器不会重新启动。

完成之后

在目标阵列(具有新装驱动器的阵列)上,现在可以导入卷组。

System Manager 用户界面不支持导出/导入功能;必须使用命令行界面(CLI)将卷组导出/导入到其他存储阵列。