Passa al contenuto principale

Configurazione della gestione delle chiavi di sicurezza (SKM)

Utilizzare le informazioni in questa sezione per creare e gestire le chiavi di sicurezza.

Questa funzione utilizza il server di gestione delle chiavi centralizzato per fornire chiavi che sbloccano l'hardware di storage e per accedere ai dati memorizzati sui SED in un server ThinkSystem. Il server di gestione delle chiavi include SKLM, il server di gestione delle chiavi IBM SED e KMIP, i server di gestione delle chiavi Thales/Gemalto SED (KeySecure e CipherTrust).

XClarity Controller utilizza la rete per recuperare le chiavi dal server di gestione delle chiavi. Il server di gestione delle chiavi deve essere accessibile a XClarity Controller. XClarity Controller fornisce il canale di comunicazione tra il server di gestione delle chiavi e il server ThinkSystem richiedente. Il firmware di XClarity Controller tenta di stabilire una connessione con ciascun server di gestione delle chiavi configurato, interrompendo l'operazione ogni volta che viene correttamente stabilita una connessione.

XClarity Controller stabilisce la comunicazione con il server di gestione delle chiavi se sono soddisfatte le condizioni elencate di seguito:
  • Uno o più indirizzi IP/nomi host del server di gestione delle chiavi sono configurati in XClarity Controller.
  • Due certificati (client e server) per la comunicazione con il server di gestione delle chiavi sono installati in XClarity Controller.
Nota
Configurare almeno due (primario e secondario) server di gestione delle chiavi con lo stesso protocollo per il dispositivo. Se il server di gestione delle chiavi primario non risponde al tentativo di connessione di XClarity Controller, vengono avviati tentativi di connessione con i server di gestione delle chiavi aggiuntivi fino a stabilire una connessione valida.

È necessario che sia stabilita una connessione TLS (Transport Layer Security) tra XClarity Controller e il server di gestione delle chiavi. XClarity Controller autentica il server di gestione delle chiavi confrontando il certificato del server inviato dal server di gestione delle chiavi con il certificato del server di gestione delle chiavi precedentemente importato nell'archivio attendibile di XClarity Controller. Il server di gestione delle chiavi autentica ciascun XClarity Controller con cui è in comunicazione e verifica che XClarity Controller sia autorizzato ad accedere al server di gestione delle chiavi. L'autenticazione viene effettuata confrontando il certificato del client inviato da XClarity Controller con un elenco di certificati attendibili memorizzati sul server di gestione delle chiavi.

Verrà stabilita la connessione con almeno un server di gestione delle chiavi e il gruppo di dispositivi viene considerato opzionale. Il certificato del server di gestione delle chiavi dovrà essere importato, mentre il certificato client deve essere specificato. Per impostazione predefinita, viene utilizzato il certificato HTTPS. Se si desidera sostituire il certificato, è possibile generarne uno nuovo.

Nota
Per collegare il server KMIP (KeySecure e CipherTrust), è necessario generare una richiesta di firma del certificato (CSR) e il relativo nome comune deve corrispondere al nome utente definito nel server KMIP. Quindi è necessario importare un certificato firmato dall'autorità di certificazione (CA) attendibile dal server KMIP per il CSR.