使用 Oracle Cloud VMware 解決方案設定 Entrust KeyControl 5.4

簡介

本教學課程提供如何部署及設定 Entrust KeyControl 5.4 解決方案和 Oracle Cloud VMware Solution 軟體定義資料中心 (SDDC) 叢集的作業簡介。本教學課程的重點在於提供部署步驟、組態選項，並反白使用 Entrust KeyControl 與 Oracle Cloud VMware Solution 所需的「如何」步驟。

Oracle 和 VMware 已開發出一個經過完整認證且支援的 SDDC 解決方案，稱為 Oracle Cloud VMware 解決方案。此解決方案使用 Oracle Cloud Infrastructure (OCI) 代管高可用性 VMware SDDC。此外，也能將企業內部部署的 VMware SDDC 工作負載順暢移轉到 OCI。

加密工作負載有助於企業確保資料安全無虞，即使資料落入錯誤手中也是如此。工作負載加密的其中一項挑戰就是針對可能在不同平台代管的工作負載，管理上萬個加密金鑰。

關於 Entrust KeyControl

Entrust KeyControl 可讓企業安全、大規模地管理所有加密金鑰，包括輪換和共用金鑰的頻率。完整的 KeyControl 功能包括：

VMware 認證的金鑰管理伺服器 (KMS)，用於：
- VMware vSphere 6.5、6.7 及 7.0
- VMware vSphere 信任授權單位 7.0
金鑰管理互通性協定 (KMIP) 相容加密代理程式的通用金鑰管理
企業擴充性與效能
可以在作用中、高可用性叢集中執行
FIPS 140-2 等級 1 驗證
與 nShield ® FIPS 140-2 等級 3 HSM 無縫整合，提供高水準保證
完整的工作負載生命週期加密和原則型金鑰管理、以角色為基礎的存取控制和產品工作負載的零停機加密
適用於工作負載的多重雲端加密解決方案

必要條件

委託 KeyControl OVA v5.4
執行 VMware 的 Oracle Cloud VMware Solution 部署 vSphere 6.5 或更新版本
2 個 vCPU、8GB RAM、每個 Entrust KeyControl 節點 60GB 磁碟
網路位址資訊，像是：
IP 位址 (每個節點一個)
子網路遮罩
閘道位址
DNS 伺服器資訊
每個節點的 DNS 註冊主機名稱

目標

在 VMware 工作負載內使用加密功能，部署並設定 Entrust KeyControl 5.4 叢集搭配 Oracle Cloud VMware 解決方案。

作業 1：部署第一個 Entrust KeyControl 設備

登入 Oracle Cloud VMware Solution Virtual Center Appliance (VCSA)。
用滑鼠右鍵按一下並選取部署 OVF 範本。
按一下上傳檔案，然後瀏覽至您放置 Entrust KeyControl OVA 的目錄，加以選取，然後按一下開啟。
按下一步。
輸入 Entrust KeyControl 設備的名稱，選取部署位置，然後按一下下一步。
選取 VMware vSphere 叢集或主機，然後按一下下一步。
複查詳細資訊，然後按一下下一步。
接受授權合約，然後按一下下一步。
從清單中選取所需的組態，然後按一下下一步。
為設備選取適當的儲存體與磁碟格式，然後按一下下一步 (Next) 。
選取適當的網路，然後按下一步。
提供必要的資訊，然後按一下下一步。
複查摘要畫面。若所有項目正確，按一下完成。

您已順利部署第一個 Entrust KeyControl 節點。

作業 2：部署第二個 Entrust KeyControl 設備

注意：

為達到 Entrust KMS HA，您必須部署第二個 Keycontor Node 來設定 KMS 解決方案的 HA 設計。請再次遵循任務 1 的相同步驟，並部署第二個 Entrust KeyControl 虛擬設備。

作業 3：設定第一個 Entrust KeyControl 設備

在 VMware vCenter 中尋找新部署的 Entrust KeyControl 設備。開啟電源，然後開啟某個主控台。
在設備上設定命令行介面 (CLI) 系統主控台帳號使用者 htadmin 的密碼。
使用 Tab 鍵，移至確定 (OK) ，然後按 Enter。
注意：
- 此密碼控制對 Entrust KeyControl 系統主控台的存取，讓使用者執行某些授權的 Entrust KeyControl 管理作業。
- 按下確定後，即會設定網路和其他子系統。這可能會花幾分鐘的時間。
完成設定後，視窗將會顯示設備的管理 IP 位址。記下管理 IP 位址，因為您需要在下一個步驟中。頁籤至確定，然後按 Enter。

作業 4：使用 WebGUI 設定第一個 Entrust KeyControl 設備

啟動 Web 瀏覽器，並瀏覽至第一個 Entrust KeyControl 設備的管理 IP 位址的 IP 位址或完整網域名稱。使用預設的 secroot 帳戶使用者名稱與密碼。
按一下 我同意 以接受 EULA。
由於這是第一個 KeyControl 節點，請按一下繼續作為獨立節點。
輸入 secroot 帳戶的新密碼，確保遵循密碼複雜性規則，然後按一下更新密碼。
輸入電子郵件地址和電子郵件伺服器的相關資訊，來設定電子郵件和郵件伺服器設定值。然後按一下更新郵件設定值。
在下載管理金鑰頁面中，確定您已閱讀該文字，然後按一下下載。

警告：您必須下載管理金鑰，並妥善保存在安全的地方以供日後使用。如果您沒有管理金鑰，之後就無法執行任何設備復原作業。
如果您正在執行 Entrust KeyControl Vitals 的試用，則無法停用報表。否則，您可以在套用購買的授權後停用 Vitals Reporting。按一下繼續。

將會顯示主要的 WebGUI。您已順利完成設定 Entrust KeyControl 叢集的第一個節點。移至下一個步驟，將第二個節點新增至叢集。

作業 5：將第二個 Entrust KeyControl 設備新增至叢集

在 VMware vCenter 中尋找第二個已部署的 Entrust KeyControl 設備。開啟電源，然後開啟某個主控台。
- 在設備上設定命令行介面 (CLI) 系統主控台帳號 htadmin 的密碼。
- 完成設定後，視窗將會顯示設備的管理 IP 位址。請注意管理 IP 位址，因為您需要下一個步驟。
啟動 Web 瀏覽器，瀏覽第二個設備之管理 IP 位址的 IP 位址或完整網域名稱 (FQDN)。使用預設的 secroot 帳戶使用者名稱與密碼。
按一下 我同意 以接受 EULA。
由於這是第二個 Entrust KeyControl 設備，請按一下加入現有叢集。
您會發現設定第二個節點的工作流程非常不同。複查資訊，然後按一下繼續。
按一下產生及下載 CSR。這會將 .csr.pem 檔案儲存在 Downloads 目錄中。我們在步驟 10 中需要這個檔案。
按一下繼續。
此時，您必須開啟新的瀏覽器視窗或新的頁籤，然後登入第一個 Entrust KeyControl 節點。
登入第一個 Entrust KeyControl 節點之後，按一下頂端功能表中的叢集。接下來，按一下動作，然後選取新增節點。
按一下載入檔案，然後從步驟 6 選取 .csr.pem 檔案。接下來，請輸入長度至少為 12 個字元的密碼片語。步驟 13 需要此密碼詞組。
- 按一下儲存並下載搭售品。壓縮檔儲存在下載目錄中。Zip 檔案包含。p12 格式的加密 SSL 憑證和 .pem 格式的 CA 憑證。
按一下確定，然後切換回第二個節點的瀏覽器視窗或瀏覽器頁籤，您正在新增叢集。
按一下繼續。
在「節點」頁面中：
- 在上傳 SSL 憑證底下，按一下載入檔案，然後選取加密的 SSL 憑證。SSL 憑證是沒有 .pem 副檔名的檔案。
- 在上傳 CA 憑證底下，按一下載入檔案，然後選取 CA 憑證。這是副檔名為 .pem 的檔案 (cacert.pem)。
- 輸入您建立步驟 9 的密碼詞組。
- 按一下結合。
結合進度會顯示加入節點至叢集所需的步驟。此處理期間將重新啟動第二個節點。
成功重新啟動節點之後，請按一下登入並登入新結合的節點。使用您在第一個 Entrust KeyControl 節點組態期間建立的新密碼。