본문으로 건너뛰기

SKM(보안 키 관리) 구성

이 주제의 정보를 사용하여 보안 키를 만들고 관리하십시오.

이 기능은 중앙 집중식 키 관리 서버를 사용해 스토리지 하드웨어를 잠금 해제하는 키를 제공함으로써 ThinkSystem 서버의 SED에 저장된 데이터에 액세스할 수 있게 합니다. 키 관리 서버에는 SKLM - IBM SED 키 관리 서버 및 KMIP - Thales/Gemalto SED 키 관리 서버(KeySecure 및 CipherTrust)가 포함됩니다.

XClarity Controller는 네트워크를 사용하여 키 관리 서버에서 키를 검색합니다. 키 관리 서버는 XClarity Controller에 액세스할 수 있어야 합니다. XClarity Controller는 키 관리 서버 및 필수적인 ThinkSystem 서버 사이의 통신 채널을 제공합니다. XClarity Controller 펌웨어는 구성된 각 키 관리 서버와 연결하려고 시도하며 연결이 설정되면 시도가 중지됩니다.

다음 조건이 충족되면 XClarity Controller가 키 관리 서버와의 통신을 설정합니다.
  • 1개 이상의 키 관리 서버 호스트 이름/IP 주소가 XClarity Controller에 구성됩니다.
  • 키 관리 서버와의 통신에 사용할 2개의 인증서(클라이언트 및 서버)가 XClarity Controller에 설치됩니다.
장치에 대해 동일한 프로토콜을 사용하여 두 개 이상(기본 및 보조)의 키 관리 서버를 구성합니다. 기본 키 관리 서버가 XClarity Controller의 연결 시도에 응답하지 않는 경우에는 연결이 설정될 때까지 추가 키 관리 서버로 연결 시도를 시작합니다.

XClarity Controller와 키 관리 서버 사이에 TLS(Transport Layer Security) 연결을 설정해야 합니다. XClarity Controller는 키 관리 서버가 제출한 서버 인증서와 이전에 XClarity Controller의 신뢰 저장소에 가져온 키 관리 서버 인증서를 비교하여 키 관리 서버를 인증합니다. 키 관리 서버는 통신을 하는 각 XClarity Controller를 인증하며, XClarity Controller가 키 관리 서버에 액세스할 수 있는지 확인합니다. XClarity Controller가 제출하는 클라이언트 인증서를 키 관리 서버에 저장되는 신뢰할 수 있는 인증서를 비교하면 인증이 이루어집니다.

최소한 1개의 키 관리 서버가 연결되며, 장치 그룹은 옵션으로 간주됩니다. 키 관리 서버 인증서를 가져오는 한편으로 클라이언트 인증서를 지정해야 합니다. 기본적으로 HTTPS 인증서를 사용해야 합니다. 교체하려고 하는 경우에는 새 인증서를 생성할 수 있습니다.

KMIP 서버(KeySecure 및 CipherTrust)를 연결하려면 인증서 서명 요청(CSR)을 생성해야 하며, 공통 이름이 KMIP 서버에 정의된 사용자 이름과 일치해야 합니다. 그런 다음 CSR의 KMIP 서버에서 신뢰하는 인증 기관(CA)이 서명한 인증서를 가져옵니다.
  • 키 관리 서버 구성
    이 주제의 정보를 사용하여 키 관리 서버의 호스트 이름 또는 IP 주소 및 관련 포트 정보를 만듭니다.
  • 장치 그룹 구성
    이 주제의 정보를 사용하여 SKLM 서버에서 사용되는 장치 그룹을 구성하십시오.
  • 인증서 관리 설정
    이 주제에서는 클라이언트 및 서버 인증서 관리에 관한 정보를 제공합니다.