Skip to main content

การกำหนดค่าเซิร์ฟเวอร์การจัดการคีย์ความปลอดภัย (SKM)

ใช้ข้อมูลในหัวข้อนี้เพื่อสร้างและจัดการคีย์ความปลอดภัย

คุณลักษณะนี้ใช้เซิร์ฟเวอร์การจัดการคีย์จากส่วนกลางเพื่อมอบคีย์ที่ปลดล็อคฮาร์ดแวร์การจัดเก็บข้อมูล เพื่อเข้าถึงข้อมูลที่จัดเก็บบน SED ในเซิร์ฟเวอร์ ThinkSystem เซิร์ฟเวอร์การจัดการคีย์ประกอบ SKLM - เซิร์ฟเวอร์การจัดการคีย์ IBM SED และ KMIP - เซิร์ฟเวอร์การจัดการคีย์ Thales/Gemalto SED (KeySecure และ CipherTrust)

XClarity Controller ใช้เครือข่ายเพื่อรับคีย์จากเซิร์ฟเวอร์การจัดการคีย์ ดังนั้นเซิร์ฟเวอร์การจัดการคีย์จะต้องสามารถเข้าถึง XClarity Controller ได้ XClarity Controller ทำหน้าที่เป็นช่องทางการสื่อสารระหว่างเซิร์ฟเวอร์การจัดการคีย์และเซิร์ฟเวอร์ ThinkSystem ที่ส่งคำขอ เฟิร์มแวร์ของ XClarity Controller จะพยายามเชื่อมต่อกับเซิร์ฟเวอร์การจัดการคีย์ที่กำหนดค่าไว้แต่ละชุด และจะหยุดเมื่อสามารถเชื่อมต่อได้โดยสมบูรณ์

XClarity Controller จะติดต่อสื่อสารกับเซิร์ฟเวอร์การจัดการคีย์ หากตรวจสอบว่าได้ทำตามเงื่อนไขต่อไปนี้แล้ว:
  • มีการกำหนดค่าชื่อโฮสต์/ที่อยู่ IP ของเซิร์ฟเวอร์การจัดการคีย์อย่างน้อยหนึ่งรายการภายใน XClarity Controller
  • มีการติดตั้งใบรับรองสองชุด (ของไคลเอ็นต์และเซิร์ฟเวอร์) สำหรับการสื่อสารกับเซิร์ฟเวอร์การจัดการคีย์ภายใน XClarity Controller
หมายเหตุ
กําหนดค่าเซิร์ฟเวอร์การจัดการคีย์อย่างน้อยสองชุด (เซิร์ฟเวอร์หลักและรอง) ที่มีโปรโตคอลเดียวกันสำหรับอุปกรณ์ของคุณ หากเซิร์ฟเวอร์การจัดการคีย์หลักไม่ตอบสนองความพยายามในการเชื่อมต่อจาก XClarity Controller จะมีการเริ่มต้นการพยายามเชื่อมต่อกับเซิร์ฟเวอร์การจัดการคีย์เสริมจนกว่าจะเชื่อมต่อได้สำเร็จ

จะต้องมีการเชื่อมต่อ Transport Layer Security (TLS) ระหว่าง XClarity Controller และเซิร์ฟเวอร์การจัดการคีย์ XClarity Controller จะตรวจสอบความถูกต้องของเซิร์ฟเวอร์การจัดการคีย์โดยเปรียบเทียบใบรับรองเซิร์ฟเวอร์ที่ส่งมาโดยเซิร์ฟเวอร์การจัดการคีย์กับใบรับรองเซิร์ฟเวอร์การจัดการคีย์ที่มีการนำเข้าไปไว้ในพื้นที่จัดเก็บที่น่าเชื่อถือของ XClarity Controller ก่อนหน้านี้ เซิร์ฟเวอร์การจัดการคีย์จะตรวจสอบความถูกต้อง XClarity Controller แต่ละชุดที่สื่อสารกับตนเอง และตรวจสอบเพื่อยืนยันว่า XClarity Controller นั้นได้รับอนุญาตให้เข้าถึงเซิร์ฟเวอร์การจัดการคีย์ได้ การตรวจสอบความถูกต้องนี้ดำเนินการโดยเปรียบเทียบใบรับรองของไคลเอ็นต์ ซึ่งส่งมาจาก XClarity Controller เข้ากับรายการใบรับรองที่น่าเชื่อถือ ซึ่งจัดเก็บอยู่ภายในเซิร์ฟเวอร์การจัดการคีย์

เซิร์ฟเวอร์การจัดการคีย์อย่างน้อยหนึ่งชุดจะเชื่อมต่อ และกลุ่มอุปกรณ์จะถูกพิจารณาเป็นตัวเลือก จำเป็นต้องมีการนำเข้าใบรับรองเซิร์ฟเวอร์การจัดการคีย์ในขณะที่ใบรับรองของไคลเอ็นต์จะต้องมีการระบุ โดยค่าเริ่มต้น ระบบจะใช้ใบรับรอง HTTPS หากต้องการเปลี่ยนใบรับรอง คุณสามารถสร้างใบรับรองใหม่แทน

หมายเหตุ
ในการเชื่อมต่อเซิร์ฟเวอร์ KMIP (KeySecure และ CipherTrust) ต้องสร้างคำขอการลงนามใบรับรอง (CSR) และชื่อทั่วไปต้องตรงกับชื่อผู้ใช้ที่กําหนดในเซิร์ฟเวอร์ KMIP แล้วจึงนําเข้าใบรับรองที่ลงนามโดยหน่วยงานผู้ออกใบรับรอง (CA) ที่เซิร์ฟเวอร์ KMIP เชื่อถือสำหรับ CSR