Go to main content

Guide d'administration d'Oracle® ZFS Storage Appliance, version OS8.8.x

Quitter la vue de l'impression

Mis à jour : Août 2021
 
 

Configuration du chiffrement par le keystore KMIP (CLI)

Pour configurer le chiffrement à l'aide de KMIP, téléchargez la clé et les certificats, puis spécifiez le serveur KMIP.

Avant de commencer

Avant de configurer le keystore KMIP sur les contrôleurs clusterisés, exécutez les procédures suivantes :

  • Pour chaque noeud du cluster, configurez une ressource réseau privée capable de joindre les serveurs KMIP. Cette interface réseau privée garantit que chaque noeud du cluster peut communiquer avec le serveur KMIP, en cas de basculement des interfaces réseau des services de données. Pour plus d'informations sur les ressources privées, reportez-vous à la section Gestion des ressources du cluster.

  • Configurez une route appropriée vers chaque serveur KMIP pour la liaison réseau privée. Pour plus d'informations sur la configuration des routes, reportez-vous à la section Configuration du routage réseau.


Caution

Mise en garde  -  Le non-respect de ces conditions entraîne une interruption de service au cours des opérations de reprise et de restauration.


  1. Accédez à configuration settings certificates system.
  2. Téléchargez la clé privée.
    1. Copiez le contenu du fichier au format PEM contenant la clé privée.

      Pour Oracle Key Vault, la clé et les certificats se trouvent dans un fichier jar que vous a envoyé l'administrateur Oracle Key Vault. Le nom du fichier de clé privée est key.pem.

    2. Saisissez la commande import. Collez la clé à l'invite.
      hostname:configuration settings certificates system> import
      ("." to end)> -----BEGIN RSA PRIVATE KEY-----
      ...
      ("." to end)> -----END RSA PRIVATE KEY-----
      ("." to end)> .
    3. Saisissez la commande list.

      La table Certificats système comporte une nouvelle ligne dont le type est key.

      hostname:configuration settings certificates system> list
      CERT     TYPE SUBJECT COMMON NAME       ISSUER COMMON NAME        NOT AFTER
      cert-001 key  RSA-2048
  3. Téléchargez le certificat du système.

    Le certificat système est le fichier au format PEM contenant le certificat client du système. Pour Oracle Key Vault, il s'agit du fichier cert.pem.

    Copiez le contenu du fichier de certificat, entrez la commande import et collez le certificat.

    hostname:configuration settings certificates system> import
    ("." to end)> -----BEGIN CERTIFICATE-----
    ...
    ("." to end)> -----END CERTIFICATE-----
    ("." to end)> .
  4. Téléchargez le certificat d'ancre de confiance.

    Le certificat CA est l'émetteur du certificat client. Pour Oracle Key Vault, il s'agit du fichier CA.pem.

    1. Entrez la commande up trusted.
    2. Copiez le contenu du fichier d'autorité de certification, entrez la commande import et collez le certificat CA.

      La table Certificats sécurisés contient une nouvelle ligne.

      hostname:configuration settings certificates trusted> list
      CERT     TYPE SUBJECT COMMON NAME       ISSUER COMMON NAME        NOT AFTER
      cert-001 cert CA                        CA                        2022-8-11
    3. Définissez la propriété services du certificat sur kmip.
      hostname:configuration settings certificates trusted> select cert-001
      hostname:configuration settings certificates cert-001> get services
                            services =
      hostname:configuration settings certificates cert-001> set services=kmip
                            services = kmip (uncommitted)
      hostname:configuration settings certificates cert-001> commit
      hostname:configuration settings certificates cert-001> done
  5. Accédez à shares encryption kmip.
    hostname:shares encryption kmip> get
                       server_list =
                       client_cert =
                        host_match = true
             destroy_key_on_remove = true
  6. Pour client_cert, indiquez le certificat que vous avez téléchargé.

    Par défaut, la commande list répertorie les serveurs KMIP. Utilisez la commande list certs pour afficher la liste des certificats disponibles.

    hostname:shares encryption kmip> list certs
    CERT     TYPE SUBJECT COMMON NAME       ISSUER COMMON NAME        NOT AFTER
    cert-001 cert iogo7PmhIY                CA                        2023-1-25

    Définissez la valeur de client_cert à l'aide de la commande set ou client_cert.

    hostname:shares encryption kmip> set client_cert=cert-001
    hostname:shares encryption kmip> client_cert cert-001

    Pour l'écriture de scripts, vous avez besoin d'un identificateur persistant pour le certificat. Utilisez la commande client_cert avec saisie automatique par tabulation pour afficher les propriétés des certificats.

    hostname:shares encryption kmip> client_cert tab
    cert-001                        notafter
    cert-002                        notbefore
    comment                         sha1fingerprint
    dns                             sha256fingerprint
    ip                              subject_commonname
    issuer_commonname               subject_countryname
    issuer_countryname              subject_localityname
    issuer_localityname             subject_organizationalunitname
    issuer_organizationalunitname   subject_organizationname
    issuer_organizationname         subject_stateorprovincename
    issuer_stateorprovincename      type
    key_bits                        uri
    key_type                        uuid

    Chaque certificat possède une valeur subject_commonname unique, que vous pouvez utiliser pour définir la propriété client_cert.

    hostname:shares encryption kmip> client_cert subject_commonname=tab
    ip-addr                         iogo7PmhIY
    hostname:shares encryption kmip> client_cert subject_commonname=iogo7PmhIY
    hostname:shares encryption kmip> get client_cert
                       client_cert = cert-001 (uncommitted)
  7. Définissez server_list sur le nom d'hôte ou l'adresse IP du serveur KMIP.

    La valeur recommandée pour cette propriété est le nom d'hôte du serveur KMIP. Reportez-vous à la description de la validation du nom d'hôte dans Keystore KMIP (Key Management Interoperability Protocol).

    Si vous spécifiez une adresse IP, vérifiez auprès de l'administrateur du serveur KMIP si vous devez indiquer le numéro de port.

    hostname:shares encryption kmip> set server_list=kmip-server-hostname-or-IP-address
                       server_list = kmip-server-hostname-or-IP-address (uncommitted)
    hostname:shares encryption kmip> commit

    Si un avertissement s'affiche, indiquant que le serveur n'a pas pu valider le certificat, vérifiez que vous avez spécifié le nom d'hôte correct dans server_list. Si vous indiquez une adresse IP pour server_list, et que le nom commun du sujet du certificat signé par une CA comporte uniquement un nom de domaine, la validation de l'hôte pour le certificat échoue.

    Si vous définissez host_match sur false, la validation de l'hôte n'a pas lieu, ce qui affaiblit la sécurité.

  8. Vérifiez les options host_match et destroy_key_on_remove.

    Par défaut, ces options sont définies sur true. Pour plus d'informations sur le rôle de ces options, reportez-vous à la section Keystore KMIP (Key Management Interoperability Protocol).

  9. Donnez un nom à la clé.

    Créez une clé et définissez la propriété keyname.

    hostname:shares encryption kmip> keys
    hostname:shares encryption keys> list
    NAME     CREATED               CIPHER KEYNAME
    hostname:shares encryption keys> create
    hostname:shares encryption kmip key-000 (uncommitted)> set keyname=atz-1-27-2021
                           keyname = atz-1-27-2021 (uncommitted)
    hostname:shares encryption kmip key-000 (uncommitted)> commit
    hostname:shares encryption keys> list
    NAME     CREATED               CIPHER KEYNAME
    key-000  2021-1-27 07:14:31    AES    atz-1-27-2021
  10. (Facultatif) Identifiez les pools, les projets et les partages qui sont chiffrés à l'aide de cette clé.

    Pour identifier les pools, les projets et les partages qui sont chiffrés à l'aide de cette clé, lancez le processus de suppression de la clé et annulez-le après avoir consulté la liste des données affectées par la suppression. Lorsque vous commencez à supprimer la clé, un avertissement s'affiche, indiquant que toutes les données chiffrées à l'aide de cette clé deviendront inaccessibles. Ce message d'avertissement répertorie les pools, les projets et les partages qui sont chiffrés à l'aide de cette clé. Entrez n pour annuler la suppression de la clé.

    hostname:shares encryption keys> destroy key-000
    This key has the following dependents:
      pool-0/local/default/fs-enc
    Destroying this key will render the data inaccessible. Are you sure? (Y/N) n

Rubriques connexes