Para configurar el cifrado mediante KMIP, cargue la clave y los certificados, y especifique el servidor de KMIP.
Antes de empezar
Antes de configurar el almacén de claves de KMIP en controladores agrupados, realice los siguientes procedimientos:
Para cada nodo de cluster, configure un recurso de red privada que pueda llegar hasta los servidores de KMIP. Esta interfaz de red privada garantiza que cada nodo de cluster se pueda comunicar con el servidor de KMIP en caso de se produzca un failover de las interfaces de red de servicio de datos. Para obtener más información sobre recursos privados, consulte Gestión de recursos de clusters.
Configure, de manera adecuada, una ruta para cada servidor de KMIP para el enlace de red privada. Para obtener información sobre la configuración de rutas, consulte Configuración de enrutamiento de red.
![]() | Precaución - En caso de que estos requisitos previos no se cumplan, se producirá una interrupción del servicio durante las operaciones de toma de control y failback. |
Navegue hasta la ubicación en la que están almacenados sus certificados y su clave.
Para Oracle Key Vault, la clave y los certificados están en un archivo jar que debe haber recibido del administrador de Oracle Key Vault.
Para Oracle Key Vault, el archivo es key.pem.
En la tabla Sistema aparecerá una nueva fila con el valor de Tipo key.
Seleccione el archivo de formato PEM que contiene el certificado de cliente para este sistema. Para Oracle Key Vault, el archivo es cert.pem.
Siga los mismos pasos que usó para cargar la clave privada.
La fila que tenía un valor de Tipo key cambia de modo que ahora tiene un valor de Tipo cert. Se confronta el certificado con la clave existente y se lo combina en un solo objeto en el dispositivo. Se completan los campos Asunto, Emitido por (CN) y Caduca. Haga clic en el ícono de información
en la fila para ver los valores completos de estos campos y obtener más información.
La autoridad de certificación es el emisor del certificado de cliente.
Seleccione el archivo de formato PEM que contiene el certificado de la autoridad de certificación que emitió el certificado de cliente. Para Oracle Key Vault, el archivo es CA.pem.
En la tabla De confianza aparece una nueva fila.
En la fila de la tabla, ahora, aparece kmip en la columna Servicio.
El valor recomendado que se debe usar es el nombre de host del servidor de KMIP. Consulte la discusión sobre la validación de nombre de host en Almacén de claves del protocolo de interoperabilidad de gestión de claves (KMIP).
Si especifica una dirección IP, consulte con su administrador del servidor de KMIP acerca de si debe incluir el número de puerto.
Por defecto, estas opciones están activadas (marcadas). Consulte Almacén de claves del protocolo de interoperabilidad de gestión de claves (KMIP) para obtener información sobre lo que hacen estas opciones.
Si recibe una advertencia que indica que el servidor no pudo validar en el certificado, haga clic en Cancelar en el cuadro de diálogo de la advertencia y verifique si especificó el nombre de host de servidor correcto en el campo KMIP Server (Servidor de KMIP). Si especifica una dirección IP para el servidor de KMIP y el nombre común de asunto del certificado firmado por la autoridad de certificación solo tiene un nombre de dominio, se produce un error en la validación de host del certificado.
Si anula la selección de la opción de confrontación de nombre de host, no se realizará la validación de host y la seguridad se debilitará.
Para identificar qué agrupaciones, proyectos y recursos compartidos están cifrados con esta clave, inicie el proceso de supresión de la clave, pero cancele la operación de supresión de clave después de ver la lista de datos que se verán afectados. Al iniciar el proceso de supresión de clave, aparece una advertencia que indica que no se podrá acceder a ninguno de los datos cifrados con esta clave. En la advertencia se muestra una lista de agrupaciones, proyectos y recursos compartidos cifrados con esta clave. Para cancelar la supresión de la clave, haga clic en el botón Cancelar, no en el botón Aceptar. Para obtener más detalles, consulte Supresión de una clave de cifrado (BUI).