在创建安全密钥之前,我需要了解什么?
安全密钥由存储阵列内的控制器和已启用安全功能的驱动器共享。如果从存储阵列中删除一个已启用安全功能的驱动器,安全密钥将保护数据避免未经授权的访问。
可使用以下方法之一创建和管理安全密钥:
- 在控制器永久内存上进行内部密钥管理。
- 利用外部密钥管理软件进行外部密钥管理。
内部密钥管理
内部密钥将保留并“隐藏”在控制器永久内存中某个不可访问的位置。创建内部安全密钥之前,必须执行以下操作:
- 在存储阵列中安装支持安全功能的驱动器。此类驱动器可以是 Full Disk Encryption(FDE)驱动器或联邦信息处理标准(FIPS)驱动器。
- 确保启用驱动器安全功能。如有必要,请联系存储供应商以索取有关如何启用驱动器安全功能的说明。
然后可以创建内部安全密钥,其中涉及定义标识和口令。该标识是一个与安全密钥关联的字符串,存储在控制器上和与该密钥关联的所有驱动器上。对于备份目的,将使用口令加密安全密钥。完成后,安全密钥存储在控制器上的不可访问位置。然后可以创建已启用安全功能的卷组或池,或者对现有卷组和池启用安全性。
外部密钥管理
外部密钥保存在单独的密钥管理软件上,并采用密钥管理互操作性协议(KMIP)。创建外部安全密钥之前,必须执行以下操作:
- 在存储阵列中安装支持安全功能的驱动器。此类驱动器可以是 Full Disk Encryption(FDE)驱动器或联邦信息处理标准(FIPS)驱动器。
- 确保启用驱动器安全功能。如有必要,请联系存储供应商以索取有关如何启用驱动器安全功能的说明。
- 获取签名的客户端证书文件。客户端证书会验证存储阵列的控制器,以便密钥管理软件可以信任这些控制器的 KMIP 请求。
- 首先,您需要填写并下载客户端证书签名请求(CSR)。转至。
- 接下来,向密钥管理软件信任的 CA 请求已签名的客户端证书。(也可以使用下载的 CSR 文件创建客户端证书并通过密钥管理软件进行下载。)
- 获得客户端证书文件后,将该文件拷贝到用于访问 ThinkSystem System Manager 的主机上。
- 请从密钥管理软件中检索证书文件,然后将该文件拷贝到用于访问 ThinkSystem System Manager 的主机上。密钥管理软件证书将验证密钥管理软件,以便存储阵列可信任其 IP 地址。您可以为密钥管理软件使用根证书、中间证书或服务器证书。
然后可以创建外部密钥,其中涉及定义密钥管理软件 IP 地址和用于 KMIP 通信的端口号。在此过程中,也将加载证书文件。完成后,系统将使用您输入的凭证连接到密钥管理软件。然后可以创建已启用安全功能的卷组或池,或者对现有卷组和池启用安全性。
提供反馈