Go to main content

Guía de administración de Oracle® ZFS Storage Appliance, versión OS8.8.x

Salir de la Vista de impresión

Actualización: Agosto de 2021
 
 

Configuración de cifrado de almacén de claves de KMIP (BUI)

Para configurar el cifrado mediante KMIP, cargue la clave y los certificados, y especifique el servidor de KMIP.

Antes de empezar

Antes de configurar el almacén de claves de KMIP en controladores agrupados, realice los siguientes procedimientos:

  • Para cada nodo de cluster, configure un recurso de red privada que pueda llegar hasta los servidores de KMIP. Esta interfaz de red privada garantiza que cada nodo de cluster se pueda comunicar con el servidor de KMIP en caso de se produzca un failover de las interfaces de red de servicio de datos. Para obtener más información sobre recursos privados, consulte Gestión de recursos de clusters.

  • Configure, de manera adecuada, una ruta para cada servidor de KMIP para el enlace de red privada. Para obtener información sobre la configuración de rutas, consulte Configuración de enrutamiento de red.


Caution

Precaución  -  En caso de que estos requisitos previos no se cumplan, se producirá una interrupción del servicio durante las operaciones de toma de control y failback.


  1. Vaya a Configuración > Valores de configuración > Certificados.
  2. Cargue la clave privada.
    1. Haga clic en icono de carga image:Imagen en la que se muestra el ícono de carga ubicado a la izquierda de Sistema.
    2. Haga clic en Browse (Examinar).

      Navegue hasta la ubicación en la que están almacenados sus certificados y su clave.

      Para Oracle Key Vault, la clave y los certificados están en un archivo jar que debe haber recibido del administrador de Oracle Key Vault.

    3. Seleccione el archivo de formato PEM que contiene la clave privada.

      Para Oracle Key Vault, el archivo es key.pem.

    4. Haga clic en el botón CARGAR.

      En la tabla Sistema aparecerá una nueva fila con el valor de Tipo key.

  3. Cargue el certificado del sistema.

    Seleccione el archivo de formato PEM que contiene el certificado de cliente para este sistema. Para Oracle Key Vault, el archivo es cert.pem.

    Siga los mismos pasos que usó para cargar la clave privada.

    La fila que tenía un valor de Tipo key cambia de modo que ahora tiene un valor de Tipo cert. Se confronta el certificado con la clave existente y se lo combina en un solo objeto en el dispositivo. Se completan los campos Asunto, Emitido por (CN) y Caduca. Haga clic en el ícono de información image:Imagen que muestra el ícono de información. en la fila para ver los valores completos de estos campos y obtener más información.

  4. Cargue el certificado de anclaje de confianza.

    La autoridad de certificación es el emisor del certificado de cliente.

    Seleccione el archivo de formato PEM que contiene el certificado de la autoridad de certificación que emitió el certificado de cliente. Para Oracle Key Vault, el archivo es CA.pem.

    1. Haga clic en el separador De confianza.
    2. Haga clic en el icono de carga image:Imagen en la que se muestra el ícono de carga ubicado a la izquierda de De confianza.
    3. Haga clic en Browse (Examinar).
    4. Seleccione el archivo CA.pem.
    5. Haga clic en el botón CARGAR.

      En la tabla De confianza aparece una nueva fila.

    6. Haga clic en el ícono de edición image:Imagen que muestra el ícono de edición. en la fila nueva.
    7. En la parte inferior del cuadro de diálogo Detalles de certificado, verifique el cuadro kmip y haga clic en Aceptar.

      En la fila de la tabla, ahora, aparece kmip en la columna Servicio.

  5. Vaya a Recursos compartidos > Cifrado> KMIP.
  6. En el menú desplegable Certificado, seleccione el certificado que acaba de cargar.
  7. Introduzca el nombre de host o la dirección IP del servidor de KMIP.

    El valor recomendado que se debe usar es el nombre de host del servidor de KMIP. Consulte la discusión sobre la validación de nombre de host en Almacén de claves del protocolo de interoperabilidad de gestión de claves (KMIP).

    Si especifica una dirección IP, consulte con su administrador del servidor de KMIP acerca de si debe incluir el número de puerto.

  8. Verifique las opciones de confrontación de nombre de host y eliminación de una clave.

    Por defecto, estas opciones están activadas (marcadas). Consulte Almacén de claves del protocolo de interoperabilidad de gestión de claves (KMIP) para obtener información sobre lo que hacen estas opciones.

  9. Haga clic en Aplicar.

    Si recibe una advertencia que indica que el servidor no pudo validar en el certificado, haga clic en Cancelar en el cuadro de diálogo de la advertencia y verifique si especificó el nombre de host de servidor correcto en el campo KMIP Server (Servidor de KMIP). Si especifica una dirección IP para el servidor de KMIP y el nombre común de asunto del certificado firmado por la autoridad de certificación solo tiene un nombre de dominio, se produce un error en la validación de host del certificado.

    Si anula la selección de la opción de confrontación de nombre de host, no se realizará la validación de host y la seguridad se debilitará.

  10. Asigne un nombre a la clave.
    1. Haga clic en el ícono de adición image:Imagen que muestra el ícono de adición. ubicado a la izquierda de Claves.
    2. Introduzca un nombre de clave y haga clic en AGREGAR.
  11. (Opcional) Identifique las agrupaciones, los proyectos y los recursos compartidos que están cifrados con esta clave.

    Para identificar qué agrupaciones, proyectos y recursos compartidos están cifrados con esta clave, inicie el proceso de supresión de la clave, pero cancele la operación de supresión de clave después de ver la lista de datos que se verán afectados. Al iniciar el proceso de supresión de clave, aparece una advertencia que indica que no se podrá acceder a ninguno de los datos cifrados con esta clave. En la advertencia se muestra una lista de agrupaciones, proyectos y recursos compartidos cifrados con esta clave. Para cancelar la supresión de la clave, haga clic en el botón Cancelar, no en el botón Aceptar. Para obtener más detalles, consulte Supresión de una clave de cifrado (BUI).

Temas relacionados