Go to main content

Oracle® ZFS Storage Appliance 管理指南,发行版 OS8.8.x

退出打印视图

更新时间: 2021 年 8 月
 
 

配置 KMIP 密钥库加密 (BUI)

要使用 KMIP 配置加密,请上载密钥和证书,然后指定 KMIP 服务器。

开始之前

在群集控制器上设置 KMIP 密钥库之前,请执行以下过程:

  • 对于每个群集节点,配置一个能够访问 KMIP 服务器的专用网络资源。这个专用网络接口确保每个群集节点可以在数据服务网络接口发生故障转移时与 KMIP 服务器通信。有关专用资源的信息,请参见群集资源管理

  • 为专用网络链路相应地配置一个指向 KMIP 服务器的路由。有关路由配置的信息,请参见配置网络路由

Caution

注意  -  如果无法满足这些先决条件,则会在接管和故障恢复操作期间导致服务中断。

  1. 转到 "Configuration"(配置)> "Settings"(设置)> "Certificates"(证书)。
  2. 上载私钥。
    1. 单击 "System"(系统)左侧的上载图标 image:图中显示了上载图标
    2. 单击 "Browse"(浏览)。

      导航到密钥和证书的存储位置。

      对于 Oracle Key Vault,密钥和证书包含在您从 Oracle Key Vault 管理员收到的 jar 文件中。

    3. 选择包含私钥的 PEM 格式文件。

      对于 Oracle Key Vault,这是 key.pem 文件。

    4. 单击 "UPLOAD"(上载)按钮。

      将在 "System"(系统)表中出现一个新行,该行中 "Type"(类型)的值为 key

  3. 上载系统证书。

    选择包含此系统的客户机证书的 PEM 格式文件。对于 Oracle Key Vault,这是 cert.pem 文件。

    按照与上载私钥时所用的相同步骤进行操作。

    "Type"(类型)为 key 的行会发生变化,现在该行的 "Type"(类型)为 cert。证书将与现有密钥匹配,并组合到设备上的一个对象中。将填充 "Subject"(主题)、"Issued By (CN)"(颁发者 (CN))和 "Expires"(到期)字段。单击该行中的信息图标 image:图中显示了信息图标 可查看这些字段的完整值以及更多信息。

  4. 上载信任锚证书。

    CA 证书是客户机证书的颁发者。

    选择包含 CA 证书的 PEM 格式文件,该 CA 证书颁发客户机证书。对于 Oracle Key Vault,这是 CA.pem 文件。

    1. 单击 "Trusted"(可信)选项卡。
    2. 单击 "Trusted"(可信)左侧的上载图标 image:图中显示了上载图标
    3. 单击 "Browse"(浏览)。
    4. 选择文件 CA.pem
    5. 单击 "UPLOAD"(上载)按钮。

      "Trusted"(可信)表中将出现一个新行。

    6. 单击新行中的编辑图标 image:图中显示了编辑图标。
    7. 在 "Certificate Details"(证书详细信息)对话框的底部,选中 kmip 框,然后单击 "OK"(确定)。

      在该表行中,"Service"(服务)列现在显示 kmip

  5. 转到 "Shares"(共享资源)> "Encryption"(加密)> "KMIP"。
  6. 在 "Certificate"(证书)下拉菜单中,选择刚上载的证书。
  7. 输入 KMIP 服务器的主机名或 IP 地址。

    建议使用的值为 KMIP 服务器的主机名。请参见密钥管理互操作性协议 (Key Management Interoperability Protocol, KMIP) 密钥库中有关主机名验证的讨论。

    如果您指定 IP 地址,请与 KMIP 服务器管理员核实是否需要包括端口号。

  8. 检验 "Match Hostname"(匹配主机名)和 "Removing a key"(删除密钥)选项。

    默认情况下,这两个选项均处于启用(选中)状态。有关这些选项的作用的信息,请参见密钥管理互操作性协议 (Key Management Interoperability Protocol, KMIP) 密钥库

  9. 单击 "APPLY"(应用)。

    如果收到一条说明服务器未能通过证书验证的警告,请在警告对话框中单击 "Cancel"(取消),然后检查是否在 "KMIP Server"(KMIP 服务器)字段中指定了正确的服务器主机名。如果您为 KMIP 服务器指定 IP 地址,并且 CA 签名证书的主体公用名仅具有域名,则证书的主机验证将失败。

    如果您取消选中 "Match Hostname"(匹配主机名)选项,则不会执行主机验证,并且安全性较弱。

  10. 为密钥提供一个名称。
    1. 单击 "Keys"(密钥)左侧的添加图标 image:图中显示了添加图标
    2. 输入 "Keyname"(密钥名称)并单击 "ADD"(添加)。
  11. (u53ef选) 标识使用此密钥加密的池、项目和共享资源。

    要标识将使用此密钥加密的池、项目和共享资源,请启动该密钥的删除过程,但是在查看将受到影响的数据列表之后,取消该密钥的删除操作。启动该密钥的删除操作时,会显示一条警告,说明使用此密钥加密的所有数据将变得不可访问。该警告显示使用此密钥加密的所有池、项目和共享资源的列表。单击 "Cancel"(取消)按钮(而非 "OK"(确定)按钮)可取消密钥删除操作。有关更多详细信息,请参见删除加密密钥 (BUI)

相关主题

版权所有 © 2009, 2021, Oracle 和/或其附属公司。 保留所有权利。 
上一页
下一页