Saltar al contenido principal

Configuración de la administración de claves de seguridad (SKM)

Utilice la información de este tema para crear y gestionar las claves de seguridad.

Este característica utiliza el servidor de administración de claves centralizado para proporcionar claves que desbloquean hardware de almacenamiento y así obtener acceso a datos almacenados en SED en un servidor ThinkSystem. El servidor de administración de claves incluye el servidor de administración de claves SKLM - IBM SED y los servidores de administración de claves KMIP - Thales/Gemalto SED (KeySecure y CipherTrust).

XClarity Controller utiliza la red para recuperar claves desde el servidor de administración de claves; por lo tanto, el servidor de administración de claves debe ser accesible para XClarity Controller. XClarity Controller proporciona el canal de comunicación entre el servidor de administración de claves y el servidor solicitante de ThinkSystem. El firmware de XClarity Controller intenta conectarse con cada servidor de administración de claves configurado y se detiene cuando se establece una conexión satisfactoria.

XClarity Controller establece la comunicación con el servidor de administración de claves si se cumplen las siguientes condiciones:
  • Hay uno o más nombres de host de administración de claves/direcciones IP configuradas en XClarity Controller.
  • Hay dos certificados (cliente y servidor) para la comunicación con el servidor de administración de claves instalados en XClarity Controller.
Nota
Configure al menos dos servidores de administración de claves (uno principal y uno secundario) con el mismo protocolo para su dispositivo. Si el servidor de administración de claves principal no responde al intento de conexión desde XClarity Controller; los intentos de conexión se inician con los servidores de administración de claves adicionales hasta que se establezca una conexión satisfactoria.

Se debe establecer una conexión de seguridad de la capa de transporte (TLS) entre XClarity Controller y el servidor de administración de claves. XClarity Controller autentica el servidor de administración de claves al comparar el certificado del servidor enviado por el servidor de administración de claves, con el certificado del servidor de administración de claves importado previamente en el repositorio de confianza de XClarity Controller. El servidor de administración de claves autentica a cada XClarity Controller que se comunique con él y verifica que XClarity Controller pueda acceder al servidor de administración de claves. Esta autenticación se logra comparando el certificado de cliente que XClarity Controller presenta, con una lista de certificados de confianza que se almacenan en el servidor de administración de claves.

Por lo menos un servidor de administración de clavesse conectará y el grupo de dispositivo se considera opcional. Se deberá importar el certificado del servidor de administración de claves y se debe especificar el certificado de cliente. De forma predeterminada, se utiliza el certificado HTTPS. Si desea sustituirlo, puede generar uno nuevo.

Nota
Para conectar el servidor KMIP (KeySecure y CipherTrust), se debe generar una solicitud de firma de certificado (CSR), y su nombre común debe coincidir con el nombre de usuario definido en el servidor KMIP. A continuación, se debe importar un certificado que haya sido firmado por la Entidad de certificación (CA) de confianza del servidor KMIP para la CSR.