Pular para o conteúdo principal

Configurando o Gerenciamento de Chaves de Segurança (SKM)

Use as informações neste tópico para criar e gerenciar chaves de segurança.

Esse recurso usa o servidor Gerenciamento de Chaves centralizado para fornecer chaves que desbloqueiam o hardware de armazenamento, para obter acesso aos dados armazenados em SEDs em um servidor ThinkSystem. O servidor Gerenciamento de Chaves inclui servidores SKLM – Gerenciamento de Chaves IBM SED e servidores KMIP – Gerenciamento de Chaves Thales/Gemalto SED (KeySecure e CipherTrust).

O XClarity Controller usa a rede para recuperar chaves do servidor Gerenciamento de Chaves; portanto, o servidor Gerenciamento de Chaves deve estar acessível ao XClarity Controller. O XClarity Controller fornece o canal de comunicação entre o servidor Gerenciamento de Chaves e o servidor ThinkSystem de solicitação. O firmware do XClarity Controller tenta se conectar com cada servidor Gerenciamento de Chaves configurado, parando quando uma conexão é estabelecida com êxito.

O XClarity Controller estabelecerá a comunicação com o servidor Gerenciamento de Chaves se as condições a seguir forem atendidas:
  • Um ou mais endereços IP/nomes de host do servidor Gerenciamento de Chaves são configurados no XClarity Controller.
  • Dois certificados (cliente e servidor) para comunicação com o servidor Gerenciamento de Chaves são instalados no XClarity Controller.
Nota
Configure pelo menos dois servidores Gerenciamento de Chaves (primário e secundário) com o mesmo protocolo para seu dispositivo. Se o servidor Gerenciamento de Chaves principal não responder à tentativa de conexão do XClarity Controller, tentativas de conexão serão iniciadas com os servidores Gerenciamento de Chaves adicionais até uma conexão bem-sucedida ser estabelecida.

Uma conexão TLS deverá ser estabelecida entre o XClarity Controller e o servidor Gerenciamento de Chaves. O XClarity Controller autentica o servidor Gerenciamento de Chaves comparando o certificado do servidor enviado pelo servidor Gerenciamento de Chaves, com o certificado do servidor Gerenciamento de Chaves importado anteriormente para o armazenamento confiável do XClarity Controller. O servidor Gerenciamento de Chaves autentica cada XClarity Controller que se comunica com ele e verifica se o XClarity Controller pode acessar o servidor Gerenciamento de Chaves. Essa autenticação é mantida comparando o certificado de cliente que o XClarity Controller envia com uma lista de certificados confiáveis armazenada no servidor Gerenciamento de Chaves.

Pelo menos, um servidor Gerenciamento de Chaves será conectado, e o grupo de dispositivos será considerado opcional. Será necessário importar o certificado do servidor Gerenciamento de Chaves e especificar o certificado de cliente. Por padrão, o certificado HTTPS é usado. Se desejar substituí-lo, poderá gerar um novo.

Nota
Para conectar o servidor KMIP (KeySecure e CipherTrust), é necessário gerar uma solicitação de assinatura de certificado (CSR), e seu nome comum deve ser corresponder ao nome do usuário definido no servidor KMIP e, em seguida, importar um certificado que foi assinado pela Autoridade de Certificação (CA) confiável pelo servidor KMIP para a CSR.