Aller au contenu principal

Configuration du serveur de gestion de clé de sécurité (SKM)

Les informations de cette rubrique vous permettent de créer et gérer des clés de sécurité.

Cette fonction utilise un serveur de gestion de clé centralisé pour fournir des clés qui déverrouillent le matériel de stockage, afin d’accéder à des données stockées sur des SED sur un serveur ThinkSystem. Le serveur de gestion de clé inclut le serveur de gestion de clé SKLM - IBM SED, et les serveurs de gestion de clé KMIP - Thales.Gemalto SED (KeySecure et CipherTrust).

XClarity Controller utilise le réseau pour récupérer les clés de chiffrement du serveur de gestion de clé ; le serveur de gestion de clé doit être accessible à XClarity Controller. XClarity Controller fournit le canal de communication entre le serveur de gestion de clé et le serveur ThinkSystem qui présente la demande. Le microprogramme XClarity Controller essaie de se connecter avec chaque serveur de gestion de clé configuré, et il s'arrête lorsqu'une connexion est établie.

XClarity Controller établit la communication avec le serveur de gestion de clé si les conditions suivantes sont remplies :
  • Un ou plusieurs noms d'hôte/adresses IP de serveur de gestion de clé sont configurés dans XClarity Controller.
  • Deux certificats (client et serveur) pour communiquer avec le serveur de gestion de clé sont installés dans XClarity Controller.
Remarque
Configurez au moins deux serveurs de gestion de clé (primaire et secondaire) avec le même protocole pour votre appareil. Si le serveur de gestion de clé ne réagit pas à la tentative connexion de XClarity Controller, des tentatives de connexion sont initiées avec les serveurs de gestion de clé supplémentaires jusqu'à ce qu'une connexion soit établie.

Une connexion TLS (Transport Layer Security) doit être établie entre XClarity Controller et le serveur de gestion de clé. XClarity Controller authentifie le serveur de gestion de clé en comparant le certificat serveur soumis par le serveur de gestion de clé au certificat serveur de gestion de clé préalablement importé dans le fichier de clés certifiées XClarity Controller. Le serveur de gestion de clé authentifie chaque XClarity Controller qui communique avec lui et vérifie que XClarity Controller est autorisé à accéder au serveur de gestion de clé. Cette authentification est effectuée en comparant le certificat client soumis par XClarity Controller à la liste des certificats sécurisés qui sont stockés sur le serveur de gestion de clé.

Au moins un serveur de gestion de clé (serveur référentiel principal) est connecté, et le groupe d'appareils est considéré comme étant facultatif. Le certificat du serveur de gestion de clé doit être importé, tandis que le certificat client doit être spécifié. Par défaut, le certificat HTTPS est utilisé. Si vous souhaitez le remplacez, vous pouvez en générer un nouveau.

Remarque
Pour connecter le serveur KMIP (KeySecure et CipherTrust), il doit générer une demande de signature de certificat (CSR), et son nom commun doit être mis en correspondance avec le nom d’utilisateur défini sur le serveur, puis importer un certificat qui a été signé par l’autorité de certification (CA) digne de confiance par le serveur KMIP pour le CSR.