所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

OceanStor Dorado V3系列 V300R001 硬盘加密用户指南

本产品文档适用于OceanStor Dorado5000 V3, Dorado6000 V3和Dorado18000 V3。本文档主要介绍存储系统使用加密硬盘时,如何安装与配置与其对接的密管服务器。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
对接密管服务器与存储阵列

对接密管服务器与存储阵列

密管服务器集群创建好后,需要将密管服务器与存储系统对接,从而为存储系统提供硬盘加密服务。

创建Domain

通过创建Domain,可以保护和限制归属于Domian的Group和客户端中的密钥和安全对象的使用。Domain可以在逻辑上隔离不同设备间的密钥管理操作。

前提条件

创建的Domain数量不超过License支持的数量。具体可通过Security Officer用户officer登录查看Licensing中的数量。

背景信息

只需在集群中的任意一台密管服务器上执行创建Domain的操作。创建成功后,Domain的信息会自动同步到另一台密管服务器上。

操作步骤
  1. 使用officer用户登录任意一台密管服务器的Web管理界面。
  2. 选择“Domains”页签。

    系统出现“Domains”界面。

  3. 单击“Add Domain”。

    系统出现“Add Domain”界面,如图3-66所示。

    图3-66 创建Domain

  4. 在“Name”和“Description”中分别设置Domain名称及描述。

    Domain名称的命名规则如下:

    • Domain名称最多支持192个字符。
    • Domain名称可以由多级域名构成,格式为“node1.node2.nodeN.TLD”。其中TLD表示顶级域名,例如com,org等。
    • TLD至少包含两个字符长度。
    • 每级域名最多支持63个字符,且必须以字母或者数字开始和结束。
    说明:

    “Name”设置的示例为“storage.huawei.com”。

  5. 单击“Add Domain”。

    新创建的Domain将会出现在Domain列表中。

创建Group

Group用于在逻辑上对密钥和KMIP客户端进行组织和管理。

前提条件

密管服务器上已创建Domain。

背景信息

只需在集群中的任意一台密管服务器上执行创建Group的操作。创建成功后,Group的信息会自动同步到另一台密管服务器上。

操作步骤
  1. 使用officer用户登录密管服务器的Web管理界面。
  2. 选择“Groups”页签。

    系统出现“Groups”界面。

  3. 单击“Add Group”。

    系统出现“Add Groups”界面,如图3-67所示。

    图3-67 创建Group

  4. 设置Group参数。

    表3-16 Group参数说明

    名称

    描述

    取值

    Group type

    Group类型,包括KMIP和P1619。对于华为存储设备,仅支持KMIP类型。

    [示例]

    KMIP

    Name

    Group名称

    [取值范围]

    • 包含5到255个字符,包括字母、数字、破折号和下划线。
    • 支持十六进制字符串,但必须包含大写字母。

    [示例]

    admin

    Description

    Group的描述

    [示例]

    group

    Domain

    为Group指定归属的Domain。

    [示例]

    test.com

  5. 单击“Add Group”。

    新创建的Group将会出现在Group列表中。

创建Group Manager

Group Manager用户用于注册和管理KMIP客户端。

前提条件
  • 密管服务器上已创建Group。
  • 每个Group Manager用户必须被分配给至少一个Group。
背景信息

集群中的两台密管服务器需要分别执行创建Group Manager的操作。

操作步骤
  1. 使用admin用户添加Group Mananger用户。

    1. 使用admin用户登录密管服务器Web管理界面。
    2. 选择“Users”页签,并单击“Add User”。

      系统出现“Add User”界面,如图3-68所示。

      图3-68 创建Group Manager用户

    3. 配置相关参数。
      表3-17 Unassigned用户参数设置

      名称

      描述

      取值

      Login name

      用户名。

      [取值范围]

      不超过32个字符。

      [示例]

      groupmanager2

      Description

      用户描述。

      [示例]

      user

      Role

      用户的角色。此处请设置为“Unassigned”。

      [示例]

      Unassigned

      Password expiration

      密码过期时间。

      [示例]

      Never

      Auto-Logout

      自动退出时间。如果系统在该段时间内无操作,用户将自动退出登录。

      [示例]

      5

      Email address

      新建用户用于接收信息的邮箱地址。

      [示例]

      xxx@xxx.com

      Confirm Email address

    4. 单击“Add User”。

      创建的新用户将会被添加到已存在用户列表中,并且界面会提示所创建用户的随机密码,请记录下随机密码并妥善保存,如图3-69所示。

    图3-69 创建Group Manager用户成功

  2. 使用officer用户为新增用户分配角色及权限。

    1. 使用officer用户登录密管服务器Web管理界面。
    2. 选择“Users”页签。

      系统出现“Users”界面。

    3. 在用户列表中找到新创建用户,并单击该用户的名称。

      系统弹出“Edit User”界面,如图3-70所示。

      图3-70 设置用户权限

    4. 设置相关参数。
      表3-18 设置用户权限参数说明

      名称

      描述

      取值

      User smart card authentication

      是否启用用户Smart Card认证。

      [示例]

      不启用

      Role

      指定用户角色。

      • Officer:表示用户角色为Security Officer。
      • Manager:表述用户角色为Group Manager。
      • Recovery:表示用户角色为Recovery Officer。
      • Audit:表示用户角色为Audit Officer。

      此处请设置为“Manager”。

      [示例]

      Manager

      Manageable group

      选择Group Manager所管理的Group。

      [示例]

      storagepoc.com/kmipgroup

      Visible group

      选择Group Manager所能看到的Group。Group Manager对这些Group只有只读权限。

      [示例]

      storagepoc.com/kmipgroup2

    5. 单击“Save”。

  3. 修改新创建的Group Manager角色的用户的密码。

    1. 使用新创建的Group Manager角色的用户的用户名和记录下的随机密码登录Web管理界面。
    2. 选择“Users”页签。

      系统进入“Change User Password”界面,如图3-71所示。

      图3-71 修改密码

    3. 在“Old password”处输入当前登录的密码,在“New password”和“Confirm password”处输入新密码。然后单击“Change Password”。

      完成密码修改。

创建KMIP Client

在密管服务器配置中,存储设备作为KMIP客户端,需要通过Web管理界面添加到密管服务器上。

前提条件

添加的KMIP客户端数量不超过所购买License支持的KMIP客户端数量。

背景信息

集群中的两台密管服务器需要分别执行创建KMIP Client的操作。

操作步骤
  1. 以Group Manager角色用户登录密管服务器Web管理界面。
  2. 依次选择“Clients > KMIP Clients”。

    系统弹出“KMIP Clients”界面。

  3. 单击“Add Clients”。

    系统出现“KMIP Clients”界面,如图3-72所示。

    图3-72 创建KMIP客户端

  4. 配置相关参数。

    表3-19 KMIP客户端参数设置

    名称

    描述

    取值

    Name

    客户端名称。

    [取值范围]

    不超过32个字符

    [示例]

    KMIP_Client_1

    Group

    客户端所归属的Group。一个KMIP客户端只能归属于一个Group,且指定后无法修改。

    [示例]

    kmipdomian1/kmipD1G1

    Description

    客户端描述。

    [示例]

    Adding KMIP Client to Group kmipD1G1

    Password

    用于连接客户端的密码。

    [示例]

    KMIPClient_1

    Verify password

    确认设置的用于连接客户端的密码。

    [示例]

    KMIPClient_1

    Profile

    在列表中选择存储设备的生产厂商。此处请设置为“Huawei OceanStor”。

    [示例]

    Huawei OceanStor

  5. 单击“Add Client”。

    创建的新客户端将会被添加到客户端列表中。

证书签名认证

在存储系统和密管服务器上完成证书签名认证,确保能正常使用硬盘加密服务。

存储系统侧导出证书

本章介绍如何在存储系统侧生成并导出硬盘加密功能所需的证书文件。

背景信息

存储系统侧生成的证书文件为未签名的证书,需要在密管服务器上进行签名才能生效。

操作步骤
  1. 登录DeviceManager。
  2. 选择“设置 >存储设置 > 增值服务设置 > 证书管理”。
  3. 选择证书类型为“密钥管理中心证书”,并选择证书密钥算法为“RSA 2048”或“RSA 4096”,然后单击“生成并导出”。
密管服务器证书签名和导出

本节介绍将存储系统侧生成的证书在密管服务器上进行签名和导出的具体操作。

证书签名
  1. 使用Group Manager角色用户登录密管服务器Web管理界面。
  2. 单击“Clients”页签,进入“Clients”界面。
  3. 单击签入按钮导入待签名的证书。

  4. 导入存储系统侧生成的待签名证书,并单击“Sign”。

  5. 导出已签名的证书。

导出CA证书
  1. 使用officer用户登录密管服务器Web管理界面。
  2. 单击“Certificate”页签,进入“Certificate”界面。
  3. 单击“CA Certificate”页签。
  4. 在“View/Export Certificate”区域,单击“Export Certificate”,导出密管服务器的CA证书。

存储系统侧导入并激活证书

本章介绍如何在存储系统侧导入并激活证书文件,从而使硬盘加密功能生效。

操作步骤
  1. 登录DeviceManager。
  2. 选择“设置 >存储设置 > 增值服务设置 > 证书管理”。
  3. 导入并激活证书。

    1. 将导出的证书通过服务器签名后,单击“导入并激活”。

      系统弹出“导入证书”对话框。

    2. 将证书类型设置为“密钥管理中心证书”,并导入签名后的证书文件和CA证书文件。相关参数如表3-20所示。
      表3-20 添加证书参数说明

      参数名称

      参数说明

      参数设置

      证书类型

      证书的类型。

      [示例]

      密钥管理中心证书

      证书文件

      导出并签名后的证书文件。

      [示例]

      signed.crt

      CA证书文件

      服务器的证书文件。

      [示例]

      hsm.mgmt_ca.crt

      私钥文件

      设备私钥文件。

      [示例]

    3. 单击“确定”。

      弹出“警告”对话框。

    4. 仔细阅读并确认对话框中的内容,勾选“我已阅读上述信息,了解执行此操作带来的后果”,并单击“确定”。

      弹出“成功”对话框。

    5. 单击“确定”。

      成功导入并激活证书文件,在“证书管理”区域查看密钥管理中心证书的“状态”、“过期时间”和“过期预警天数”。

存储系统侧配置密管服务器

在存储系统上配置密管服务器后,存储系统与密管服务器建立连接,从而使硬盘加密服务生效。

背景信息

存储系统需配置2台密管服务器。

操作步骤
  1. 登录DeviceManager。
  2. 选择“设置 >存储设置 > 增值服务设置 > 密钥服务”。
  3. 选择“启用外置密钥管理服务”。
  4. 增加密管服务器。

    说明:

    每个存储设备最多与两台密管服务器连接,且这两台密管服务器构成集群。以下操作以增加集群中的任意一台密管服务器为例进行说明。

    1. 单击“增加”。

      系统弹出“增加密钥服务器”对话框。

    2. 输入密钥服务器的参数,相关参数如表3-21所示。
      表3-21 密钥服务器参数说明

      参数名称

      参数说明

      参数设置

      服务器类型

      密钥服务器的类型。

      [示例]

      Thales KMIP

      服务器地址

      密钥服务器的域名或业务网口IP地址。

      说明:

      此处设置的密管服务器的业务网口IP地址与配置网络信息时“Data Port 1”区域设置的业务网口IP地址一致。

      [示例]

      192.168.100.11

      端口

      密管服务器IP地址的端口信息。

      说明:

      此处设置的密管服务器的端口与配置网络信息时“Service Settings”区域设置的“KMIP Server Port”一致。

      [取值范围]

      1~65535

      [示例]

      5696

    3. 单击“确定”。
    4. 单击“保存”。

      系统弹出“执行结果”对话框。

    5. 单击“关闭”。

  5. 重复执行存储系统侧配置密管服务器增加集群中的另一台密管服务器。
  6. 选择需要测试的密钥服务器单击“测试”,可以测试密钥服务器是否配置成功。
翻译
下载文档
更新时间:2018-11-01

文档编号:EDOC1000159241

浏览量:8285

下载量:63

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页