Go to main content

Guía de administración de Oracle® ZFS Storage Appliance, versión OS8.8.x

Salir de la Vista de impresión

Actualización: Agosto de 2021
 
 

Configuración de cifrado de almacén de claves de KMIP (CLI)

Para configurar el cifrado mediante KMIP, cargue la clave y los certificados, y especifique el servidor de KMIP.

Antes de empezar

Antes de configurar el almacén de claves de KMIP en controladores agrupados, realice los siguientes procedimientos:

  • Para cada nodo de cluster, configure un recurso de red privada que pueda llegar hasta los servidores de KMIP. Esta interfaz de red privada garantiza que cada nodo de cluster se pueda comunicar con el servidor de KMIP en caso de se produzca un failover de las interfaces de red de servicio de datos. Para obtener más información sobre recursos privados, consulte Gestión de recursos de clusters.

  • Configure, de manera adecuada, una ruta para cada servidor de KMIP para el enlace de red privada. Para obtener información sobre la configuración de rutas, consulte Configuración de enrutamiento de red.


Caution

Precaución  -  En caso de que estos requisitos previos no se cumplan, se producirá una interrupción del servicio durante las operaciones de toma de control y failback.


  1. Vaya a configuration settings certificates system.
  2. Cargue la clave privada.
    1. Copie el contenido del archivo de formato PEM que contiene la clave privada.

      Para Oracle Key Vault, la clave y los certificados están en un archivo jar que debe haber recibido del administrador de Oracle Key Vault. El archivo de la clave privada es el archivo key.pem.

    2. Introduzca el comando import. Pegue la clave cuando se le solicite.
      hostname:configuration settings certificates system> import
      ("." to end)> -----BEGIN RSA PRIVATE KEY-----
      ...
      ("." to end)> -----END RSA PRIVATE KEY-----
      ("." to end)> .
    3. Introduzca el comando list.

      La tabla de certificados del sistema tiene una nueva fila con un valor de Tipo key.

      hostname:configuration settings certificates system> list
      CERT     TYPE SUBJECT COMMON NAME       ISSUER COMMON NAME        NOT AFTER
      cert-001 key  RSA-2048
  3. Cargue el certificado del sistema.

    El certificado del sistema es el archivo en formato PEM que contiene el certificado del cliente para este sistema. Para Oracle Key Vault, el archivo es cert.pem.

    Copie el contenido del archivo del certificado, introduzca el comando import y pegue el certificado.

    hostname:configuration settings certificates system> import
    ("." to end)> -----BEGIN CERTIFICATE-----
    ...
    ("." to end)> -----END CERTIFICATE-----
    ("." to end)> .
  4. Cargue el certificado de anclaje de confianza.

    La autoridad de certificación es el emisor del certificado de cliente. Para Oracle Key Vault, el archivo es CA.pem.

    1. Introduzca el comando up trusted.
    2. Copie el contenido del archivo de la autoridad de certificación, introduzca el comando import y pegue el certificado de la autoridad de certificación.

      La tabla de certificados de confianza tiene una fila nueva.

      hostname:configuration settings certificates trusted> list
      CERT     TYPE SUBJECT COMMON NAME       ISSUER COMMON NAME        NOT AFTER
      cert-001 cert CA                        CA                        2022-8-11
    3. Defina la propiedad services del certificado en kmip.
      hostname:configuration settings certificates trusted> select cert-001
      hostname:configuration settings certificates cert-001> get services
                            services =
      hostname:configuration settings certificates cert-001> set services=kmip
                            services = kmip (uncommitted)
      hostname:configuration settings certificates cert-001> commit
      hostname:configuration settings certificates cert-001> done
  5. Vaya a shares encryption kmip.
    hostname:shares encryption kmip> get
                       server_list =
                       client_cert =
                        host_match = true
             destroy_key_on_remove = true
  6. Defina client_cert en el certificado que acaba de cargar.

    Por defecto, el comando list muestra los servidores de KMIP. Use el comando list certs para obtener una lista de certificados disponibles.

    hostname:shares encryption kmip> list certs
    CERT     TYPE SUBJECT COMMON NAME       ISSUER COMMON NAME        NOT AFTER
    cert-001 cert iogo7PmhIY                CA                        2023-1-25

    Defina el valor de client_cert mediante el comando set o el comando client_cert.

    hostname:shares encryption kmip> set client_cert=cert-001
    hostname:shares encryption kmip> client_cert cert-001

    Para la secuencia de comandos, necesita un identificador persistente para el certificado. Use el comando client_cert con finalización con tabulación para mostrar las propiedades de los certificados.

    hostname:shares encryption kmip> client_cert tab
    cert-001                        notafter
    cert-002                        notbefore
    comment                         sha1fingerprint
    dns                             sha256fingerprint
    ip                              subject_commonname
    issuer_commonname               subject_countryname
    issuer_countryname              subject_localityname
    issuer_localityname             subject_organizationalunitname
    issuer_organizationalunitname   subject_organizationname
    issuer_organizationname         subject_stateorprovincename
    issuer_stateorprovincename      type
    key_bits                        uri
    key_type                        uuid

    Cada certificado tiene un subject_commonname único, de modo que puede usar el valor de esa propiedad para definir la propiedad client_cert.

    hostname:shares encryption kmip> client_cert subject_commonname=tab
    ip-addr                         iogo7PmhIY
    hostname:shares encryption kmip> client_cert subject_commonname=iogo7PmhIY
    hostname:shares encryption kmip> get client_cert
                       client_cert = cert-001 (uncommitted)
  7. Defina server_list en el nombre de host o la dirección IP del servidor de KMIP.

    El valor recomendado para esta propiedad es el nombre de host del servidor de KMIP. Consulte la discusión sobre la validación de nombre de host en Almacén de claves del protocolo de interoperabilidad de gestión de claves (KMIP).

    Si especifica una dirección IP, consulte con su administrador del servidor de KMIP acerca de si debe incluir el número de puerto.

    hostname:shares encryption kmip> set server_list=kmip-server-hostname-or-IP-address
                       server_list = kmip-server-hostname-or-IP-address (uncommitted)
    hostname:shares encryption kmip> commit

    Si recibe una advertencia que indica que el servidor no pudo validar el certificado, verifique si especificó el nombre de host de servidor correcto en server_list. Si especifica una dirección IP para server_list y el nombre común de asunto del certificado firmado por la autoridad de certificación solo tiene un nombre de dominio, se produce un error en la validación de host del certificado.

    Si define el valor de host_match en false, no se realizará la validación de host y la seguridad se debilitará.

  8. Verifique las opciones host_match y destroy_key_on_remove.

    Por defecto, ambas opciones están definidas en true. Consulte Almacén de claves del protocolo de interoperabilidad de gestión de claves (KMIP) para obtener información sobre lo que hacen estas opciones.

  9. Asigne un nombre a la clave.

    Cree una clave y defina la propiedad keyname.

    hostname:shares encryption kmip> keys
    hostname:shares encryption keys> list
    NAME     CREATED               CIPHER KEYNAME
    hostname:shares encryption keys> create
    hostname:shares encryption kmip key-000 (uncommitted)> set keyname=atz-1-27-2021
                           keyname = atz-1-27-2021 (uncommitted)
    hostname:shares encryption kmip key-000 (uncommitted)> commit
    hostname:shares encryption keys> list
    NAME     CREATED               CIPHER KEYNAME
    key-000  2021-1-27 07:14:31    AES    atz-1-27-2021
  10. (Opcional) Identifique las agrupaciones, los proyectos y los recursos compartidos que están cifrados con esta clave.

    Para identificar qué agrupaciones, proyectos y recursos compartidos están cifrados con esta clave, inicie el proceso de supresión de la clave, pero cancele la operación de supresión de clave después de ver la lista de datos que se verán afectados. Al iniciar el proceso de supresión de clave, aparece una advertencia que indica que no se podrá acceder a ninguno de los datos cifrados con esta clave. En la advertencia se muestra una lista de agrupaciones, proyectos y recursos compartidos cifrados con esta clave. Introduzca n para cancelar la supresión de la clave.

    hostname:shares encryption keys> destroy key-000
    This key has the following dependents:
      pool-0/local/default/fs-enc
    Destroying this key will render the data inaccessible. Are you sure? (Y/N) n

Temas relacionados