メインコンテンツまでスキップ

セキュリティー鍵管理 (SKM) の構成

セキュリティー・キーを作成して管理するには、このトピックの情報を使用します。

この機能は、集中型鍵管理サーバーを使用してストレージ・ハードウェアのロックを解除するキーを提供し、ThinkSystem サーバーの SED に保管されているデータにアクセスできます。鍵管理サーバーには、SKLM - IBM SED 鍵管理サーバー、および Thales/Gemalto SED 鍵管理サーバー (KeySecure および CipherTrust) が含まれます。

XClarity Controller はネットワークを使用して鍵管理サーバーから鍵を取得するため、鍵管理サーバーは、XClarity Controller からアクセス可能である必要があります。XClarity Controller は、鍵管理サーバーと要求される ThinkSystem サーバー間の通信チャネルを提供します。XClarity Controller ファームウェアは、各構成済み鍵管理サーバーと接続を試み、正常な接続が確立されると停止します。

XClarity Controller は、以下の条件が満たされる場合に鍵管理サーバーとの通信を確立します。
  • 1 つ以上の鍵管理サーバーのホスト名/IP アドレスが XClarity Controller で構成されている。
  • 鍵管理サーバーとの通信に必要な 2 つの証明書 (クライアントおよびサーバー) が XClarity Controller にインストールされている。
デバイスに対して少なくとも 2 つ (1 次およびおよび 2 次) の鍵管理サーバーを同じプロトコルで構成します。1 次鍵管理サーバーが XClarity Controller からの接続試行に応答しない場合、正常な接続が確立されるまで他の鍵管理サーバーに対して接続試行が実行されます。

トランスポート層セキュリティー (TLS) の接続が XClarity Controller と鍵管理サーバー間で確立されている必要があります。XClarity Controller は、鍵管理サーバーから送信されたサーバー証明書と、事前に XClarity Controller の信頼ストアにインポートされた鍵管理サーバー証明書を比較することで、鍵管理サーバーを認証します。鍵管理サーバーでは、通信する各 XClarity Controller を認証し、XClarity Controller が鍵管理サーバーにアクセスする権限があるかどうかを確認するために検査します。この認証は、XClarity Controller が送信するクライアント証明書と、鍵管理サーバーに保管されたトラステッド証明書のリストを比較することで行われます。

少なくとも 1 つの鍵管理サーバーに接続され、デバイス・グループはオプションと見なされます。鍵管理サーバー証明書はインポートする必要があり、クライアント証明書は指定する必要があります。デフォルトでは、HTTPS 証明書が使用されます。これを置き換える場合は、新規で生成できます。

KMIP サーバー (KeySecure および CipherTrust) を接続するには、証明書署名要求 (CSR) を生成する必要があります。その共通名は、KMIP サーバーで定義されているユーザー名と一致する必要があります。その後、CSR のために、KMIP サーバーによって信頼されている証明機関 (CA) によって署名された証明書をインポートします。
  • 鍵管理サーバーの構成
    鍵管理サーバーのホスト名または IP アドレス、および関連するポート情報を作成するには、このトピックの情報を使用します。
  • デバイス・グループの構成
    SKLM サーバーで使用されるデバイス・グループを構成するには、このトピックの情報を使用します。
  • 証明書管理の設定
    このトピックでは、クライアントおよびサーバー証明書管理について説明します。