所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

OceanStor Dorado V3系列 V300R001 硬盘加密用户指南

本产品文档适用于OceanStor Dorado5000 V3, Dorado6000 V3和Dorado18000 V3。本文档主要介绍存储系统使用加密硬盘时,如何安装与配置与其对接的密管服务器。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
对接密管服务器与存储阵列

对接密管服务器与存储阵列

密管服务器集群创建好后,需要将密管服务器与存储系统对接,从而为存储系统提供硬盘加密服务。

存储系统侧导出证书

本章介绍如何在存储系统侧生成并导出硬盘加密功能所需的证书文件。

背景信息

存储系统侧生成的证书文件为未签名的证书,需要在密管服务器上进行签名才能生效。

操作步骤
  1. 登录DeviceManager。
  2. 选择“设置 >存储设置 > 增值服务设置 > 证书管理”。
  3. 选择证书类型为“密钥管理中心证书”,并选择证书密钥算法为“RSA 2048”或“RSA 4096”,然后单击“生成并导出”。

创建本地用户

本节介绍如何创建本地用户。密管服务器通过KMIP协议认证存储系统时,通过该用户识别存储系统身份。

前提条件

为保证密管服务器能成功识别存储系统,密管服务器创建的本地用户的用户名需要与存储系统侧签名后的证书文件中OU取值一致,取值设置为“Storage”。

查询“OU”取值的操作如下:

  1. 双击打开证书文件。
  2. 单击“详细信息”页签,选择“使用者”,在下方的详细信息区域查看“OU”的取值。

背景信息

请至少创建1个本地用户。

操作步骤
  1. 使用admin用户登录密管服务器Web管理界面。
  2. 选择“Security > Users & Groups > Local Authentication > Local Users & Groups”。

    进入“User & Group Configuration”界面,如图4-35

    图4-35 本地用户界面

  3. 在“Local User”区域,单击“Add”。

    系统显示的界面如图4-36所示。

    图4-36 本地用户信息设置界面

  4. 设置新创建用户信息。

    表4-7 用户相关参数

    参数名称

    参数说明

    参数设置

    Username

    新创建用户的用户名。建议设置为“Storage”。

    [示例]

    Storage

    Password

    新创建用户的密码。

    [示例]

    admin@123

    User Administration Permission

    赋予用户创建、修改和删除用户或组的权限。

    [示例]

    不勾选

    [推荐配置]

    建议保持默认设置,即不勾选。

    Change Password Permission

    赋予用户修改自己密码的权限。

    [示例]

    不勾选

    [推荐配置]

    建议保持默认设置,即不勾选。

  5. 单击“Save”。

    新创建的用户将会出现在用户列表中。

密管服务器证书签名和导出

本节介绍将存储系统侧生成的证书在密管服务器上进行签名和导出的具体操作。

证书签名
  1. 使用admin用户登录密管服务器Web管理界面。
  2. 选择“Security > Device CAs & SSL Certificates > Local CAs”。

    进入“Certificate and CA Configuration”界面,如图4-37所示。

    图4-37 CA证书列表

  3. 选择默认的CA证书,并单击“Sign Request”。

    进入“Sign Certificate Request”界面,如图4-38所示。

    图4-38 签名证书

  4. 设置证书请求相关的参数。

    1. 将“Sign with Certificate Authority”设置为默认值“hsm_mgmt_ca (maximum xxxx days)”。
    2. 将“Certificate Purpose”设置为“Client”。
    3. 将“Certificate Duration (days)”设置为证书有效期。该参数的取值需要小于或等于“hsm_mgmt_ca (maximum xxxx days)”中“xxx”的取值。
    4. 将存储系统侧导出的证书文件中的内容拷贝到“Certificate Request”下方的文本框中。
    5. 单击“Sign Request”。

      进入“CA Certificate Information”界面,显示CA证书相关的信息,如图4-39所示。

    图4-39 CA证书信息

  5. 单击“Dowmnload”,导出已签名的证书。

    签名后的证书文件名为“signed.crt”。

导出CA证书
  1. 使用admin用户登录密管服务器Web管理界面。
  2. 选择“Security > Local CAs”。

    进入“Certificate and CA Configuration”界面,如图4-40所示。

    图4-40 CA证书列表

  3. 单击“Download”,导出密管服务器的CA证书。

存储系统侧导入并激活证书

本章介绍如何在存储系统侧导入并激活证书文件,从而使硬盘加密功能生效。

操作步骤
  1. 登录DeviceManager。
  2. 选择“设置 >存储设置 > 增值服务设置 > 证书管理”。
  3. 导入并激活证书。

    1. 将导出的证书通过服务器签名后,单击“导入并激活”。

      系统弹出“导入证书”对话框。

    2. 将证书类型设置为“密钥管理中心证书”,并导入签名后的证书文件和CA证书文件。相关参数如表4-8所示。
      表4-8 添加证书参数说明

      参数名称

      参数说明

      参数设置

      证书类型

      证书的类型。

      [示例]

      密钥管理中心证书

      证书文件

      导出并签名后的证书文件。

      [示例]

      signed.crt

      CA证书文件

      服务器的证书文件。

      [示例]

      hsm.mgmt_ca.crt

      私钥文件

      设备私钥文件。

      [示例]

    3. 单击“确定”。

      弹出“警告”对话框。

    4. 仔细阅读并确认对话框中的内容,勾选“我已阅读上述信息,了解执行此操作带来的后果”,并单击“确定”。

      弹出“成功”对话框。

    5. 单击“确定”。

      成功导入并激活证书文件,在“证书管理”区域查看密钥管理中心证书的“状态”、“过期时间”和“过期预警天数”。

存储系统侧配置密管服务器

在存储系统上配置密管服务器后,存储系统与密管服务器建立连接,从而使硬盘加密服务生效。

背景信息

存储系统需配置2台密管服务器。

操作步骤
  1. 登录DeviceManager。
  2. 选择“设置 >存储设置 > 增值服务设置 > 密钥服务”。
  3. 选择“启用外置密钥管理服务”。
  4. 增加密管服务器。

    说明:

    每个存储设备最多与两台密管服务器连接,且这两台密管服务器构成集群。以下操作以增加集群中的任意一台密管服务器为例进行说明。

    1. 单击“增加”。

      系统弹出“增加密钥服务器”对话框。

    2. 输入密钥服务器的参数,相关参数如表4-9所示。
      表4-9 密钥服务器参数说明

      参数名称

      参数说明

      参数设置

      服务器类型

      密钥服务器的类型。

      [示例]

      SafeNet KMIP

      服务器地址

      密钥服务器的域名或业务网口IP地址。

      说明:

      密管服务器的业务网口地址与初始化密管服务器时设置的管理网口IP地址一致。

      [示例]

      8.46.141.128

      端口

      密管服务器IP地址的端口信息。

      [取值范围]

      1~65535

      [默认值]

      9443

    3. 单击“确定”。
    4. 单击“保存”。

      系统弹出“执行结果”对话框。

    5. 单击“关闭”。

  5. 重复执行存储系统侧配置密管服务器增加集群中的另一台密管服务器。
  6. 选择需要测试的密钥服务器单击“测试”,可以测试密钥服务器是否配置成功。
后续处理

存储系统与密管服务器建立连接后,请等到2分钟~3分钟再执行后续步骤。

翻译
下载文档
更新时间:2018-11-01

文档编号:EDOC1000159241

浏览量:8287

下载量:63

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页