Oracle^® ZFS Storage Appliance 관리 설명서, 릴리스 OS8.8.x

KMIP 키 저장소 암호화 구성(BUI)

KMIP를 사용하여 암호화를 구성하려면, 키와 인증서를 업로드하고 KMIP 서버를 지정합니다.

시작하기 전에

클러스터형 컨트롤러에서 KMIP 키 저장소를 설정하기 전 다음 절차를 수행합니다.

• 각 클러스터 노드에 대해 KMIP 서버에 연결할 수 있는 개인 네트워크 리소스를 구성합니다. 이 개인 네트워크 인터페이스는 데이터 서비스 네트워크 인터페이스 페일오버의 경우 각 클러스터 노드가 KMIP 서버와 통신할 수 있게 해줍니다. 개인 리소스에 대한 자세한 내용은 클러스터 리소스 관리를 참조하십시오.

• 개인 네트워크 링크에 대해 각 KMIP 서버에 적합하게 경로를 구성합니다. 경로 구성에 대한 자세한 내용은 네트워크 경로 지정 구성을 참조하십시오.

---

주의  -  이러한 필수 조건을 충족하지 못하면 인계 및 페일백 작업 중 서비스가 중단됩니다.

---

1. Configuration(구성) > Settings(설정) > Certificates(인증서)로 이동합니다.
2. 개인 키를 업로드합니다.
   1. 시스템 왼쪽에 있는 업로드 아이콘 을 누릅니다.
   2. Browse(찾아보기)를 누릅니다.

      키 및 인증서가 저장된 위치로 이동합니다.

      Oracle Key Vault의 경우 키 및 인증서가 Oracle Key Vault 관리자로부터 수신한 jar 파일에 포함되어 있습니다.

   3. 개인 키가 포함된 PEM 형식 파일을 선택합니다.

      Oracle Key Vault의 경우 key.pem 파일입니다.

   4. UPLOAD(업로드) 버튼을 누릅니다.

      key 유형 값을 갖는 새 행이 시스템 테이블에 표시됩니다.

3. 시스템 인증서를 업로드합니다.

   이 시스템에 대한 클라이언트 인증서가 포함된 PEM 형식 파일을 선택합니다. Oracle Key Vault의 경우 cert.pem 파일입니다.

   개인 키 업로드에 사용한 것과 동일한 단계를 따릅니다.

   key 유형이 포함된 행이 이제 cert 유형을 포함하도록 변경됩니다. 인증서가 기존 키에 맞게 선택되고 어플라이언스의 한 객체로 결합됩니다. 주체, 발급자(CN) 및 만료 필드가 채워집니다. 행에서 정보 아이콘 을 눌러 해당 필드의 전체 값 및 자세한 정보를 확인하십시오.

4. 신뢰 앵커 인증서를 업로드합니다.

   CA 인증서는 클라이언트 인증서의 발급자입니다.

   클라이언트 인증서를 발급한 CA 인증서를 포함하는 PEM 형식 파일을 선택합니다. Oracle Key Vault의 경우 CA.pem 파일입니다.

   1. Trusted(신뢰) 탭을 누릅니다.
   2. Trusted(신뢰) 왼쪽에 있는 업로드 아이콘 을 누릅니다.
   3. Browse(찾아보기)를 누릅니다.
   4. CA.pem 파일을 선택합니다.
   5. UPLOAD(업로드) 버튼을 누릅니다.

      Trusted(신뢰) 테이블에 새 행이 표시됩니다

   6. 새 행에서 편집 아이콘 을 누릅니다.
   7. Certificate Details(인증서 세부정보) 대화 상자 아래에서 kmip 상자를 선택하고 OK(확인)를 누릅니다.

      테이블 행에서 Service(서비스) 열에 이제 kmip가 표시됩니다.

5. Shares(공유) > Encryption(암호화) > KMIP로 이동합니다.
6. Certificate(인증서) 드롭다운 메뉴에서 바로 전에 업로드한 인증서를 선택합니다.
7. KMIP 서버의 호스트 이름 또는 IP 주소를 입력합니다.

   사용할 권장 값은 KMIP 서버의 호스트 이름입니다. KMIP(Key Management Interoperability Protocol) 키 저장소에서 호스트 이름 검증 설명을 참조하십시오.

   IP 주소를 지정하는 경우 KMIP 서버 관리자에게 포트 번호를 포함해야 하는지 여부를 확인하십시오.

8. 호스트 이름 선택 및 키 옵션 제거를 확인합니다.

   기본적으로 이러한 옵션이 모두 사용으로 설정됩니다(선택됨). 각 옵션에 대한 설명은 KMIP(Key Management Interoperability Protocol) 키 저장소를 참조하십시오.

9. APPLY(적용)를 누릅니다.

   서버가 인증서 검증에 실패했다는 경고가 수신되면 경고 대화 상자에서 Cancel(취소)을 누르고 KMIP Server(KMIP 서버) 필드에서 올바른 서버 호스트 이름을 지정했는지 확인합니다. KMIP 서버의 IP 주소를 지정할 때 CA로 설명된 인증서 주체 일반 이름에 도메인 이름만 포함된 경우, 인증서에 대한 호스트 검증이 실패합니다.

   Match Hostname(호스트 이름 선택) 옵션을 선택 취소하면 호스트 검증이 수행되지 않고 보안이 취약해집니다.

10. 키에 이름을 지정합니다.
    1. 키 왼쪽에 있는 추가 아이콘 을 누릅니다.
    2. 키 이름을 입력하고 ADD(추가)를 누릅니다.
11. (옵션) 이 키로 암호화된 풀, 프로젝트 및 공유를 식별합니다.

    이 키로 암호화된 풀, 프로젝트 및 공유를 식별하려면 키 삭제 프로세스를 시작하지만, 영향을 받는 데이터 목록이 표시된 후 키 삭제 작업을 취소합니다. 키 삭제를 시작한 후 이 키로 암호화된 모든 데이터에 액세스할 수 없다는 경고가 표시됩니다. 경고에는 이 키로 암호화된 모든 풀, 프로젝트 및 공유 목록이 표시됩니다. 키 삭제를 취소하려면 Cancel(취소) 버튼을 누르고 OK(확인) 버튼을 누르지 않습니다. 자세한 내용은 암호화 키 삭제(BUI)를 참조하십시오.

관련 항목

• KMIP(Key Management Interoperability Protocol) 키 저장소

• LOCAL 키 저장소 암호화 구성(BUI)

• OKM 키 저장소 암호화 구성(BUI)

• KMIP 키 저장소 암호화 구성(CLI)

• 암호화된 풀 만들기(BUI)

• 암호화된 프로젝트 만들기(BUI)