セキュリティー鍵管理 (SKM) の構成
セキュリティー・キーを作成して管理するには、このトピックの情報を使用します。
この機能は、集中型鍵管理サーバーを使用してストレージ・ハードウェアのロックを解除するキーを提供し、ThinkSystem サーバーの SED に保管されているデータにアクセスできます。鍵管理サーバーには、SKLM - IBM SED 鍵管理サーバー、および Thales/Gemalto SED 鍵管理サーバー (KeySecure および CipherTrust) が含まれます。
XClarity Controller はネットワークを使用して鍵管理サーバーから鍵を取得するため、鍵管理サーバーは、XClarity Controller からアクセス可能である必要があります。XClarity Controller は、鍵管理サーバーと要求される ThinkSystem サーバー間の通信チャネルを提供します。XClarity Controller ファームウェアは、各構成済み鍵管理サーバーと接続を試み、正常な接続が確立されると停止します。
- 1 つ以上の鍵管理サーバーのホスト名/IP アドレスが XClarity Controller で構成されている。
- 鍵管理サーバーとの通信に必要な 2 つの証明書 (クライアントおよびサーバー) が XClarity Controller にインストールされている。
トランスポート層セキュリティー (TLS) の接続が XClarity Controller と鍵管理サーバー間で確立されている必要があります。XClarity Controller は、鍵管理サーバーから送信されたサーバー証明書と、事前に XClarity Controller の信頼ストアにインポートされた鍵管理サーバー証明書を比較することで、鍵管理サーバーを認証します。鍵管理サーバーでは、通信する各 XClarity Controller を認証し、XClarity Controller が鍵管理サーバーにアクセスする権限があるかどうかを確認するために検査します。この認証は、XClarity Controller が送信するクライアント証明書と、鍵管理サーバーに保管されたトラステッド証明書のリストを比較することで行われます。
少なくとも 1 つの鍵管理サーバーに接続され、デバイス・グループはオプションと見なされます。鍵管理サーバー証明書はインポートする必要があり、クライアント証明書は指定する必要があります。デフォルトでは、HTTPS 証明書が使用されます。これを置き換える場合は、新規で生成できます。