Configuración de cifrado de almacén de claves de KMIP (CLI)
Para configurar el cifrado mediante KMIP, cargue la clave y los certificados, y especifique el servidor de KMIP.
Antes de empezar
Antes de configurar el almacén de claves de KMIP en controladores agrupados, realice los siguientes procedimientos:
-
Para cada nodo de cluster, configure un recurso de red privada que pueda llegar hasta los servidores de KMIP. Esta interfaz de red privada garantiza que cada nodo de cluster se pueda comunicar con el servidor de KMIP en caso de se produzca un failover de las interfaces de red de servicio de datos. Para obtener más información sobre recursos privados, consulte Gestión de recursos de clusters.
-
Configure, de manera adecuada, una ruta para cada servidor de KMIP para el enlace de red privada. Para obtener información sobre la configuración de rutas, consulte Configuración de enrutamiento de red.
 | Precaución - En caso de que estos requisitos previos no se cumplan, se producirá una interrupción del servicio durante las operaciones de toma de control y failback. |
- Vaya a configuration settings certificates system.
-
Cargue la clave privada.
-
Copie el contenido del archivo de formato PEM que contiene la clave privada.
Para Oracle Key Vault, la clave y los certificados están en un archivo jar que debe haber recibido del administrador de Oracle Key Vault. El archivo de la clave privada es el archivo key.pem.
-
Introduzca el comando import. Pegue la clave cuando se le solicite.
hostname:configuration settings certificates system> import ("." to end)> -----BEGIN RSA PRIVATE KEY----- ... ("." to end)> -----END RSA PRIVATE KEY----- ("." to end)> . -
Introduzca el comando list.
La tabla de certificados del sistema tiene una nueva fila con un valor de Tipo key.
hostname:configuration settings certificates system> list CERT TYPE SUBJECT COMMON NAME ISSUER COMMON NAME NOT AFTER cert-001 key RSA-2048
-
Copie el contenido del archivo de formato PEM que contiene la clave privada.
-
Cargue el certificado del sistema.
El certificado del sistema es el archivo en formato PEM que contiene el certificado del cliente para este sistema. Para Oracle Key Vault, el archivo es cert.pem.
Copie el contenido del archivo del certificado, introduzca el comando import y pegue el certificado.
hostname:configuration settings certificates system> import ("." to end)> -----BEGIN CERTIFICATE----- ... ("." to end)> -----END CERTIFICATE----- ("." to end)> . -
Cargue el certificado de anclaje de confianza.
La autoridad de certificación es el emisor del certificado de cliente. Para Oracle Key Vault, el archivo es CA.pem.
- Introduzca el comando up trusted.
-
Copie el contenido del archivo de la autoridad de certificación, introduzca el comando import y pegue el certificado de la autoridad de certificación.
La tabla de certificados de confianza tiene una fila nueva.
hostname:configuration settings certificates trusted> list CERT TYPE SUBJECT COMMON NAME ISSUER COMMON NAME NOT AFTER cert-001 cert CA CA 2022-8-11
-
Defina la propiedad services del certificado en kmip.
hostname:configuration settings certificates trusted> select cert-001 hostname:configuration settings certificates cert-001> get services services = hostname:configuration settings certificates cert-001> set services=kmip services = kmip (uncommitted) hostname:configuration settings certificates cert-001> commit hostname:configuration settings certificates cert-001> done
-
Vaya a shares encryption kmip.
hostname:shares encryption kmip> get server_list = client_cert = host_match = true destroy_key_on_remove = true -
Defina client_cert en el certificado que acaba de cargar.
Por defecto, el comando list muestra los servidores de KMIP. Use el comando list certs para obtener una lista de certificados disponibles.
hostname:shares encryption kmip> list certs CERT TYPE SUBJECT COMMON NAME ISSUER COMMON NAME NOT AFTER cert-001 cert iogo7PmhIY CA 2023-1-25
Defina el valor de client_cert mediante el comando set o el comando client_cert.
hostname:shares encryption kmip> set client_cert=cert-001 hostname:shares encryption kmip> client_cert cert-001
Para la secuencia de comandos, necesita un identificador persistente para el certificado. Use el comando client_cert con finalización con tabulación para mostrar las propiedades de los certificados.
hostname:shares encryption kmip> client_cert tab cert-001 notafter cert-002 notbefore comment sha1fingerprint dns sha256fingerprint ip subject_commonname issuer_commonname subject_countryname issuer_countryname subject_localityname issuer_localityname subject_organizationalunitname issuer_organizationalunitname subject_organizationname issuer_organizationname subject_stateorprovincename issuer_stateorprovincename type key_bits uri key_type uuid
Cada certificado tiene un subject_commonname único, de modo que puede usar el valor de esa propiedad para definir la propiedad client_cert.
hostname:shares encryption kmip> client_cert subject_commonname=tab ip-addr iogo7PmhIY hostname:shares encryption kmip> client_cert subject_commonname=iogo7PmhIY hostname:shares encryption kmip> get client_cert client_cert = cert-001 (uncommitted) -
Defina server_list en el nombre de host o la dirección IP del servidor de KMIP.
El valor recomendado para esta propiedad es el nombre de host del servidor de KMIP. Consulte la discusión sobre la validación de nombre de host en Almacén de claves del protocolo de interoperabilidad de gestión de claves (KMIP).
Si especifica una dirección IP, consulte con su administrador del servidor de KMIP acerca de si debe incluir el número de puerto.
hostname:shares encryption kmip> set server_list=kmip-server-hostname-or-IP-address server_list = kmip-server-hostname-or-IP-address (uncommitted) hostname:shares encryption kmip> commitSi recibe una advertencia que indica que el servidor no pudo validar el certificado, verifique si especificó el nombre de host de servidor correcto en server_list. Si especifica una dirección IP para server_list y el nombre común de asunto del certificado firmado por la autoridad de certificación solo tiene un nombre de dominio, se produce un error en la validación de host del certificado.
Si define el valor de host_match en false, no se realizará la validación de host y la seguridad se debilitará.
-
Verifique las opciones host_match y destroy_key_on_remove.
Por defecto, ambas opciones están definidas en true. Consulte Almacén de claves del protocolo de interoperabilidad de gestión de claves (KMIP) para obtener información sobre lo que hacen estas opciones.
-
Asigne un nombre a la clave.
Cree una clave y defina la propiedad keyname.
hostname:shares encryption kmip> keys hostname:shares encryption keys> list NAME CREATED CIPHER KEYNAME hostname:shares encryption keys> create hostname:shares encryption kmip key-000 (uncommitted)> set keyname=atz-1-27-2021 keyname = atz-1-27-2021 (uncommitted) hostname:shares encryption kmip key-000 (uncommitted)> commit hostname:shares encryption keys> list NAME CREATED CIPHER KEYNAME key-000 2021-1-27 07:14:31 AES atz-1-27-2021 - (Opcional)
Identifique las agrupaciones, los proyectos y los recursos compartidos que están cifrados con esta clave.
Para identificar qué agrupaciones, proyectos y recursos compartidos están cifrados con esta clave, inicie el proceso de supresión de la clave, pero cancele la operación de supresión de clave después de ver la lista de datos que se verán afectados. Al iniciar el proceso de supresión de clave, aparece una advertencia que indica que no se podrá acceder a ninguno de los datos cifrados con esta clave. En la advertencia se muestra una lista de agrupaciones, proyectos y recursos compartidos cifrados con esta clave. Introduzca n para cancelar la supresión de la clave.
hostname:shares encryption keys> destroy key-000 This key has the following dependents: pool-0/local/default/fs-enc Destroying this key will render the data inaccessible. Are you sure? (Y/N) n