Guide d'administration d'Oracle^® ZFS Storage Appliance, version OS8.8.x

Configuration du chiffrement par le keystore KMIP (BUI)

Pour configurer le chiffrement à l'aide de KMIP, téléchargez la clé et les certificats, puis spécifiez le serveur KMIP.

Avant de commencer

Avant de configurer le keystore KMIP sur les contrôleurs clusterisés, exécutez les procédures suivantes :

• Pour chaque noeud du cluster, configurez une ressource réseau privée capable de joindre les serveurs KMIP. Cette interface réseau privée garantit que chaque noeud du cluster peut communiquer avec le serveur KMIP, en cas de basculement des interfaces réseau des services de données. Pour plus d'informations sur les ressources privées, reportez-vous à la section Gestion des ressources du cluster.

• Configurez une route appropriée vers chaque serveur KMIP pour la liaison réseau privée. Pour plus d'informations sur la configuration des routes, reportez-vous à la section Configuration du routage réseau.

---

Mise en garde  -  Le non-respect de ces conditions entraîne une interruption de service au cours des opérations de reprise et de restauration.

---

1. Accédez à Configuration > Paramètres > Certificats.
2. Téléchargez la clé privée.
   1. Cliquez sur l'icône de téléchargement à gauche de Système.
   2. Cliquez sur Parcourir.

      Accédez à l'emplacement où sont stockés votre clé et vos certificats.

      Pour Oracle Key Vault, la clé et les certificats se trouvent dans un fichier jar que vous a envoyé l'administrateur Oracle Key Vault.

   3. Sélectionnez le fichier au format PEM contenant la clé privée.

      Pour Oracle Key Vault, il s'agit du fichier key.pem.

   4. Cliquez sur le bouton UPLOAD.

      Une nouvelle ligne de type key s'affiche dans la table Système.

3. Téléchargez le certificat du système.

   Sélectionnez le fichier au format PEM contenant le certificat client du système. Pour Oracle Key Vault, il s'agit du fichier cert.pem.

   Suivez les mêmes étapes que pour télécharger la clé privée.

   La ligne dont le type était key change et son type est désormais cert. Le certificat est mis en correspondance avec la clé existante et combiné en un objet unique dans l'appareil. Les champs Objet, Emis par (CN) et Expire le sont alimentés. Cliquez sur l'icône d'information sur la ligne pour afficher les valeurs complètes de ces champs et des informations supplémentaires.

4. Téléchargez le certificat d'ancre de confiance.

   Le certificat CA est l'émetteur du certificat client.

   Sélectionnez le fichier au format PEM qui contient le certificat CA ayant émis le certificat client. Pour Oracle Key Vault, il s'agit du fichier CA.pem.

   1. Cliquez sur l'onglet De confiance.
   2. Cliquez sur l'icône de téléchargement à gauche de Sécurisé.
   3. Cliquez sur Parcourir.
   4. Sélectionnez le fichier CA.pem.
   5. Cliquez sur le bouton UPLOAD.

      Une nouvelle ligne s'affiche dans la table Sécurisé.

   6. Cliquez sur l'icône de modification sur la nouvelle ligne.
   7. En bas de la boîte de dialogue Détails du certificat, cochez la case kmip et cliquez sur OK.

      Sur la ligne de la table, la colonne Service affiche désormais kmip.

5. Accédez à Partages > Chiffrement > KMIP.
6. Dans le menu déroulant Certificat, sélectionnez le certificat que vous venez de télécharger.
7. Entrez le nom d'hôte ou l'adresse IP du serveur KMIP.

   La valeur recommandée est le nom d'hôte du serveur KMIP. Reportez-vous à la description de la validation du nom d'hôte dans Keystore KMIP (Key Management Interoperability Protocol).

   Si vous spécifiez une adresse IP, vérifiez auprès de l'administrateur du serveur KMIP si vous devez indiquer le numéro de port.

8. Vérifiez les options Correspondance du nom d'hôte et Suppression d'une clé.

   Par défaut, ces deux options sont activées (cochées). Pour plus d'informations sur le rôle de ces options, reportez-vous à la section Keystore KMIP (Key Management Interoperability Protocol).

9. Cliquez sur APPLIQUER.

   Si un avertissement s'affiche, indiquant que le serveur n'a pas pu valider le certificat, cliquez sur Annuler dans la boîte de dialogue, puis vérifiez que vous avez spécifié le nom d'hôte correct dans le champ Serveur KMIP. Si vous indiquez une adresse IP pour le serveur KMIP, et que le nom commun du sujet du certificat signé par une CA comporte uniquement un nom de domaine, la validation de l'hôte pour le certificat échoue.

   Si vous désélectionnez l'option Correspondance du nom d'hôte, la validation de l'hôte n'est pas effectuée, ce qui affaiblit la sécurité.

10. Donnez un nom à la clé.
    1. Cliquez sur l'icône d'ajout à gauche de Clés.
    2. Entrez un nom de clé et cliquez sur ADD.
11. (Facultatif) Identifiez les pools, les projets et les partages qui sont chiffrés à l'aide de cette clé.

    Pour identifier les pools, les projets et les partages qui sont chiffrés à l'aide de cette clé, lancez le processus de suppression de la clé et annulez-le après avoir consulté la liste des données affectées par la suppression. Lorsque vous commencez à supprimer la clé, un avertissement s'affiche, indiquant que toutes les données chiffrées à l'aide de cette clé deviendront inaccessibles. Ce message d'avertissement répertorie les pools, les projets et les partages qui sont chiffrés à l'aide de cette clé. Cliquez sur le bouton Annuler, et non sur OK, pour annuler la suppression de la clé. Pour plus de détails, reportez-vous à la section Suppression d'une clé de chiffrement (BUI).

Rubriques connexes

• Keystore KMIP (Key Management Interoperability Protocol)

• Configuration du chiffrement par le keystore LOCAL (BUI)

• Configuration du chiffrement par le keystore OKM (BUI)

• Configuration du chiffrement par le keystore KMIP (CLI)

• Création d'un pool chiffré (BUI)

• Création d'un projet chiffré (BUI)