Zum Hauptinhalt springen

Sicherheitsschlüsselverwaltung (SKM) konfigurieren

Mithilfe der Informationen in diesem Abschnitt können Sie Sicherheitsschlüssel erstellen und verwalten.

Diese Funktion verwendet den zentralen Schlüsselverwaltungsserver, um Schlüssel zum Entsperren von Speicherhardware zur Verfügung zu stellen und so Zugriff auf Daten zu erhalten, die auf SEDs in einem ThinkSystem Server gespeichert sind. Der Schlüsselverwaltungsserver umfasst SKLM – IBM SED-Schlüsselverwaltungsserver und KMIP – Thales/Gemalto SED-Schlüsselverwaltungsserver (KeySecure und CipherTrust).

Der XClarity Controller nutzt das Netzwerk, um vom Schlüsselverwaltungsserver Schlüssel abzurufen. Daher muss der Schlüsselverwaltungsserver für den XClarity Controller zugänglich sein. Der XClarity Controller stellt den Kommunikationskanal zwischen dem Schlüsselverwaltungsserver und dem anfordernden ThinkSystem Server bereit. Die XClarity Controller-Firmware versucht, sich mit jedem konfigurierten Schlüsselverwaltungsserver zu verbinden, und wird beendet, sobald eine Verbindung erfolgreich hergestellt wird.

Der XClarity Controller stellt die Kommunikation mit dem Schlüsselverwaltungsserver her, wenn die folgenden Bedingungen erfüllt sind:
  • Ein oder mehrere Hostnamen/IP-Adressen des Schlüsselverwaltungsservers sind im XClarity Controller konfiguriert.
  • Zwei Zertifikate (Client und Server) sind für die Kommunikation mit dem Schlüsselverwaltungsserver im XClarity Controller installiert.
Anmerkung
Konfigurieren Sie mindestens zwei (einen primären und einen sekundären) Schlüsselverwaltungsserver mit demselben Protokoll für Ihre Einheit. Wenn der primäre Schlüsselverwaltungsserver nicht auf den Verbindungsversuch von XClarity Controller reagiert, werden Verbindungsversuche mit den zusätzlichen Schlüsselverwaltungsservern eingeleitet, bis eine erfolgreiche Verbindung hergestellt werden kann.

Zwischen XClarity Controller und Schlüsselverwaltungsserver muss eine TLS-Verbindung (Transport Layer Security) hergestellt werden. Der XClarity Controller authentifiziert den Schlüsselverwaltungsserver, indem er das Serverzertifikat, das über den Schlüsselverwaltungsserver übermittelt wurde, mit dem Schlüsselverwaltungsserverzertifikat vergleicht, das zuvor in den Truststore von XClarity Controller importiert wurde. Der Schlüsselverwaltungsserver authentifiziert jeden XClarity Controller, der mit ihm kommuniziert, und überprüft, ob der XClarity Controller auf den Schlüsselverwaltungsserver zugreifen darf. Diese Authentifizierung erfolgt durch Vergleichen des Clientzertifikats, das vom XClarity Controller übermittelt wird, mit einer Liste von vertrauenswürdigen Zertifikaten, die auf dem Schlüsselverwaltungsserver gespeichert sind.

Es wird eine Verbindung mit mindestens einem Schlüsselverwaltungsserver hergestellt; die Einheitengruppe gilt als optional. Das Schlüsselverwaltungsserverzertifikat muss importiert und das Clientzertifikat angegeben werden. Standardmäßig wird das HTTPS-Zertifikat verwendet. Wenn Sie es ersetzen möchten, können Sie ein neues generieren.

Anmerkung
Für die Verbindung mit dem KMIP-Server (KeySecure und CipherTrust) muss eine Zertifikatssignieranforderung generiert werden und ihr allgemeiner Name muss mit dem im KMIP-Server definierten Benutzernamen übereinstimmen. Importieren Sie anschließend ein Zertifikat, das von der Zertifizierungsstelle signiert wurde, die vom KMIP-Server für die Zertifikatssignieranforderung als vertrauenswürdig eingestuft wurde.