Sicherheitsschlüsselverwaltung (SKM) konfigurieren
Mithilfe der Informationen in diesem Abschnitt können Sie Sicherheitsschlüssel erstellen und verwalten.
Diese Funktion verwendet den zentralen Schlüsselverwaltungsserver, um Schlüssel zum Entsperren von Speicherhardware zur Verfügung zu stellen und so Zugriff auf Daten zu erhalten, die auf SEDs in einem ThinkSystem Server gespeichert sind. Der Schlüsselverwaltungsserver umfasst SKLM – IBM SED-Schlüsselverwaltungsserver und KMIP – Thales/Gemalto SED-Schlüsselverwaltungsserver (KeySecure und CipherTrust).
Der XClarity Controller nutzt das Netzwerk, um vom Schlüsselverwaltungsserver Schlüssel abzurufen. Daher muss der Schlüsselverwaltungsserver für den XClarity Controller zugänglich sein. Der XClarity Controller stellt den Kommunikationskanal zwischen dem Schlüsselverwaltungsserver und dem anfordernden ThinkSystem Server bereit. Die XClarity Controller-Firmware versucht, sich mit jedem konfigurierten Schlüsselverwaltungsserver zu verbinden, und wird beendet, sobald eine Verbindung erfolgreich hergestellt wird.
- Ein oder mehrere Hostnamen/IP-Adressen des Schlüsselverwaltungsservers sind im XClarity Controller konfiguriert.
- Zwei Zertifikate (Client und Server) sind für die Kommunikation mit dem Schlüsselverwaltungsserver im XClarity Controller installiert.
Zwischen XClarity Controller und Schlüsselverwaltungsserver muss eine TLS-Verbindung (Transport Layer Security) hergestellt werden. Der XClarity Controller authentifiziert den Schlüsselverwaltungsserver, indem er das Serverzertifikat, das über den Schlüsselverwaltungsserver übermittelt wurde, mit dem Schlüsselverwaltungsserverzertifikat vergleicht, das zuvor in den Truststore von XClarity Controller importiert wurde. Der Schlüsselverwaltungsserver authentifiziert jeden XClarity Controller, der mit ihm kommuniziert, und überprüft, ob der XClarity Controller auf den Schlüsselverwaltungsserver zugreifen darf. Diese Authentifizierung erfolgt durch Vergleichen des Clientzertifikats, das vom XClarity Controller übermittelt wird, mit einer Liste von vertrauenswürdigen Zertifikaten, die auf dem Schlüsselverwaltungsserver gespeichert sind.
Es wird eine Verbindung mit mindestens einem Schlüsselverwaltungsserver hergestellt; die Einheitengruppe gilt als optional. Das Schlüsselverwaltungsserverzertifikat muss importiert und das Clientzertifikat angegeben werden. Standardmäßig wird das HTTPS-Zertifikat verwendet. Wenn Sie es ersetzen möchten, können Sie ein neues generieren.