跳至主要内容

配置安全金鑰管理 (SKM)

使用本主題中的資訊來建立和管理安全金鑰。

此功能使用集中式金鑰管理伺服器提供用於解鎖儲存硬體的金鑰,進而存取儲存在 ThinkSystem 伺服器 SED 中的資料。金鑰管理伺服器包括 SKLM - IBM SED 金鑰管理伺服器,以及 KMIP - Thales/Gemalto SED 金鑰管理伺服器(KeySecure 和 CipherTrust)。

XClarity Controller 使用網路從金鑰管理伺服器擷取金鑰;因此,XClarity Controller 必須能夠存取金鑰管理伺服器。XClarity Controller 在金鑰管理伺服器與提出要求的 ThinkSystem 伺服器之間提供通訊通道。XClarity Controller 韌體會嘗試與所配置的每部金鑰管理伺服器連接,成功建立連線之後即停止嘗試。

如果符合下列條件,XClarity Controller 就會與金鑰管理伺服器建立通訊︰
  • XClarity Controller 中已配置一個或多個金鑰管理伺服器主機名稱/IP 位址。
  • XClarity Controller 中已安裝用來與金鑰管理伺服器通訊的兩個憑證(用戶端和伺服器)。
為裝置配置至少兩個(主要和次要)具有相同通訊協定的金鑰管理伺服器。如果主要金鑰管理伺服器未回應來自 XClarity Controller 的連線嘗試,則會起始與其他金鑰管理伺服器的連線嘗試,直到成功建立連線為止。

必須在 XClarity Controller 與金鑰管理伺服器之間建立傳輸層安全 (TLS) 連線。XClarity Controller 會比較由金鑰管理伺服器提交的伺服器憑證,與先前匯入 XClarity Controller 信任儲存庫中的金鑰管理伺服器憑證,以鑑別金鑰管理伺服器。金鑰管理伺服器會鑑別與其通訊的每個 XClarity Controller,並檢查以確認 XClarity Controller 有權存取金鑰管理伺服器。此鑑別是藉由比較 XClarity Controller 提交的用戶端憑證與儲存在金鑰管理伺服器上的受信任憑證來達成。

至少會連接一部金鑰管理伺服器,而裝置群組會被視為選用性。需要匯入金鑰管理伺服器憑證,並需要指定用戶端憑證。預設會使用 HTTPS 憑證。如果您要將其更換,可以建立新的憑證。

若要連接 KMIP 伺服器(KeySecure 和 CipherTrust),必須產生憑證簽章要求 (CSR),且其一般名稱必須與 KMIP 伺服器中定義的使用者名稱相符合,然後為 CSR 匯入由 KMIP 伺服器所信任的憑證管理中心 (CA) 簽章的憑證。