跳到主要内容

配置安全密钥管理(SKM)

按本主题中的信息创建和管理安全密钥。

此功能使用集中式密钥管理服务器提供用于解锁存储硬件的密钥,从而访问存储在 ThinkSystem 服务器 SED 上的数据。密钥管理服务器包括 SKLM - IBM SED 密钥管理服务器和 KMIP - Thales/Gemalto SED 密钥管理服务器(KeySecure 和 CipherTrust)。

XClarity Controller 需要利用网络从密钥管理服务器检索密钥,因此 XClarity Controller 必须能够访问密钥管理服务器。XClarity Controller 在密钥管理服务器与发出请求的 ThinkSystem 服务器之间提供通信通道。XClarity Controller 固件尝试与每个已配置的密钥管理服务器连接,并在成功建立连接时停止尝试。

如果满足以下条件,XClarity Controller 即与密钥管理服务器建立通信:
  • XClarity Controller 中配置了一个或多个密钥管理服务器主机名/IP 地址。
  • XClarity Controller 中安装了用于与密钥管理服务器进行通信的两个证书(客户端证书和服务器证书)。
为设备配置了至少两个具有相同协议的密钥管理服务器(主要密钥管理服务器和辅助密钥管理服务器)。如果主密钥管理服务器未响应来自 XClarity Controller 的连接尝试,则用其他密钥管理服务器发起连接尝试,直到成功建立连接为止。

必须在 XClarity Controller 与密钥管理服务器之间建立传输层安全性(TLS)连接。XClarity Controller 认证密钥管理服务器的方法是对比密钥管理服务器提交的服务器证书与以前导入到 XClarity Controller 的信任存储区中的密钥管理服务器证书。密钥管理服务器将认证与其进行通信的每个 XClarity Controller,并核准该 XClarity Controller 访问密钥管理服务器。实现此认证的方法是对比 XClarity Controller 提交的客户端证书与密钥管理服务器上存储的可信证书列表。

至少将连接到一个密钥管理服务器,并将设备组视为可选。需要导入密钥管理服务器证书,同时需要指定客户端证书。默认情况下,使用 HTTPS 证书。如果要更换它,可生成新证书。

要连接 KMIP 服务器(KeySecure 和 CipherTrust),必须生成证书签名请求(CSR),且其公用名必须与 KMIP 服务器中定义的用户名匹配;然后,为 CSR 导入已由证书颁发机构(CA)签名且受 KMIP 服务器信任的证书。