Go to main content

Oracle® ZFS Storage Appliance 관리 설명서, 릴리스 OS8.8.x

인쇄 보기 종료

업데이트 날짜: 2021년 8월
 
 

KMIP 키 저장소 암호화 구성(CLI)

KMIP를 사용하여 암호화를 구성하려면, 키와 인증서를 업로드하고 KMIP 서버를 지정합니다.

시작하기 전에

클러스터형 컨트롤러에서 KMIP 키 저장소를 설정하기 전 다음 절차를 수행합니다.

  • 각 클러스터 노드에 대해 KMIP 서버에 연결할 수 있는 개인 네트워크 리소스를 구성합니다. 이 개인 네트워크 인터페이스는 데이터 서비스 네트워크 인터페이스 페일오버의 경우 각 클러스터 노드가 KMIP 서버와 통신할 수 있게 해줍니다. 개인 리소스에 대한 자세한 내용은 클러스터 리소스 관리를 참조하십시오.

  • 개인 네트워크 링크에 대해 각 KMIP 서버에 적합하게 경로를 구성합니다. 경로 구성에 대한 자세한 내용은 네트워크 경로 지정 구성을 참조하십시오.


Caution

주의  -  이러한 필수 조건을 충족하지 못하면 인계 및 페일백 작업 중 서비스가 중단됩니다.


  1. configuration settings certificates system으로 이동합니다.
  2. 개인 키를 업로드합니다.
    1. 개인 키가 포함된 PEM 형식 파일의 콘텐츠를 복사합니다.

      Oracle Key Vault의 경우 키 및 인증서가 Oracle Key Vault 관리자로부터 수신한 jar 파일에 포함되어 있습니다. 개인 키 파일은 key.pem 파일입니다.

    2. import 명령을 입력합니다. 메시지에 따라 키를 붙여넣습니다.
      hostname:configuration settings certificates system> import
      ("." to end)> -----BEGIN RSA PRIVATE KEY-----
      ...
      ("." to end)> -----END RSA PRIVATE KEY-----
      ("." to end)> .
    3. list 명령을 입력합니다.

      시스템 인증서 테이블에 key 유형 값을 갖는 새 행이 포함됩니다.

      hostname:configuration settings certificates system> list
      CERT     TYPE SUBJECT COMMON NAME       ISSUER COMMON NAME        NOT AFTER
      cert-001 key  RSA-2048
  3. 시스템 인증서를 업로드합니다.

    시스템 인증서는 이 시스템에 대한 클라이언트 인증서가 포함된 PEM 형식 파일입니다. Oracle Key Vault의 경우 cert.pem 파일입니다.

    인증서 파일의 콘텐츠를 복사하고 import 명령어를 입력하고, 인증서를 붙여넣습니다.

    hostname:configuration settings certificates system> import
    ("." to end)> -----BEGIN CERTIFICATE-----
    ...
    ("." to end)> -----END CERTIFICATE-----
    ("." to end)> .
  4. 신뢰 앵커 인증서를 업로드합니다.

    CA 인증서는 클라이언트 인증서의 발급자입니다. Oracle Key Vault의 경우 CA.pem 파일입니다.

    1. up trusted 명령어를 입력합니다.
    2. 인증 기관 파일의 콘텐츠를 복사하고 import 명령어를 입력하고, CA 인증서를 붙여넣습니다.

      신뢰할 수 있는 인증서 테이블에 새 행이 포함됩니다.

      hostname:configuration settings certificates trusted> list
      CERT     TYPE SUBJECT COMMON NAME       ISSUER COMMON NAME        NOT AFTER
      cert-001 cert CA                        CA                        2022-8-11
    3. 인증서의 services 등록 정보를 kmip로 설정합니다.
      hostname:configuration settings certificates trusted> select cert-001
      hostname:configuration settings certificates cert-001> get services
                            services =
      hostname:configuration settings certificates cert-001> set services=kmip
                            services = kmip (uncommitted)
      hostname:configuration settings certificates cert-001> commit
      hostname:configuration settings certificates cert-001> done
  5. shares encryption kmip로 이동합니다.
    hostname:shares encryption kmip> get
                       server_list =
                       client_cert =
                        host_match = true
             destroy_key_on_remove = true
  6. client_cert를 바로 전에 업로드한 인증서로 설정합니다.

    기본적으로 list 명령은 KMIP 서버를 나열합니다. list certs 명령을 사용하여 사용 가능한 인증서를 나열합니다.

    hostname:shares encryption kmip> list certs
    CERT     TYPE SUBJECT COMMON NAME       ISSUER COMMON NAME        NOT AFTER
    cert-001 cert iogo7PmhIY                CA                        2023-1-25

    set 명령 또는 client_cert 명령을 사용하여 client_cert 값을 설정합니다.

    hostname:shares encryption kmip> set client_cert=cert-001
    hostname:shares encryption kmip> client_cert cert-001

    스크립트의 경우 인증서에 대해 영구 식별자가 필요합니다. 탭 완성을 사용하여 client_cert 명령어를 사용하여 인증서 등록 정보를 나열합니다.

    hostname:shares encryption kmip> client_cert tab
    cert-001                        notafter
    cert-002                        notbefore
    comment                         sha1fingerprint
    dns                             sha256fingerprint
    ip                              subject_commonname
    issuer_commonname               subject_countryname
    issuer_countryname              subject_localityname
    issuer_localityname             subject_organizationalunitname
    issuer_organizationalunitname   subject_organizationname
    issuer_organizationname         subject_stateorprovincename
    issuer_stateorprovincename      type
    key_bits                        uri
    key_type                        uuid

    모든 인증서에 고유한 subject_commonname이 포함되므로, 해당 등록 정보의 값을 사용하여 client_cert 등록 정보를 설정할 수 있습니다.

    hostname:shares encryption kmip> client_cert subject_commonname=tab
    ip-addr                         iogo7PmhIY
    hostname:shares encryption kmip> client_cert subject_commonname=iogo7PmhIY
    hostname:shares encryption kmip> get client_cert
                       client_cert = cert-001 (uncommitted)
  7. server_list를 KMIP 서버의 호스트 이름 또는 IP 주소로 설정합니다.

    이 등록 정보의 권장 값은 KMIP 서버의 호스트 이름입니다. KMIP(Key Management Interoperability Protocol) 키 저장소에서 호스트 이름 검증 설명을 참조하십시오.

    IP 주소를 지정하는 경우 KMIP 서버 관리자에게 포트 번호를 포함해야 하는지 여부를 확인하십시오.

    hostname:shares encryption kmip> set server_list=kmip-server-hostname-or-IP-address
                       server_list = kmip-server-hostname-or-IP-address (uncommitted)
    hostname:shares encryption kmip> commit

    서버가 인증서 검증에 실패했다는 경고가 수신되면 server_list에 올바른 서버 호스트 이름을 지정했는지 확인합니다. server_list의 IP 주소를 지정할 때 CA로 설명된 인증서 주체 일반 이름에 도메인 이름만 포함된 경우, 인증서에 대한 호스트 검증이 실패합니다.

    host_match의 값을 false로 설정하면 호스트 검증이 수행되지 않고 보안이 약해집니다.

  8. host_matchdestroy_key_on_remove 옵션을 확인합니다.

    기본적으로 이러한 옵션이 모두 true입니다. 각 옵션에 대한 설명은 KMIP(Key Management Interoperability Protocol) 키 저장소를 참조하십시오.

  9. 키에 이름을 지정합니다.

    키를 만들고 keyname 등록 정보를 설정합니다.

    hostname:shares encryption kmip> keys
    hostname:shares encryption keys> list
    NAME     CREATED               CIPHER KEYNAME
    hostname:shares encryption keys> create
    hostname:shares encryption kmip key-000 (uncommitted)> set keyname=atz-1-27-2021
                           keyname = atz-1-27-2021 (uncommitted)
    hostname:shares encryption kmip key-000 (uncommitted)> commit
    hostname:shares encryption keys> list
    NAME     CREATED               CIPHER KEYNAME
    key-000  2021-1-27 07:14:31    AES    atz-1-27-2021
  10. (옵션) 이 키로 암호화된 풀, 프로젝트 및 공유를 식별합니다.

    이 키로 암호화된 풀, 프로젝트 및 공유를 식별하려면 키 삭제 프로세스를 시작하지만, 영향을 받는 데이터 목록이 표시된 후 키 삭제 작업을 취소합니다. 키 삭제를 시작한 후 이 키로 암호화된 모든 데이터에 액세스할 수 없다는 경고가 표시됩니다. 경고에는 이 키로 암호화된 모든 풀, 프로젝트 및 공유 목록이 표시됩니다. 키 삭제를 취소하려면 n을 입력합니다.

    hostname:shares encryption keys> destroy key-000
    This key has the following dependents:
      pool-0/local/default/fs-enc
    Destroying this key will render the data inaccessible. Are you sure? (Y/N) n

관련 항목