所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

OceanStor Dorado V3系列 V300R001 硬盘加密用户指南

本产品文档适用于OceanStor Dorado5000 V3, Dorado6000 V3和Dorado18000 V3。本文档主要介绍存储系统使用加密硬盘时,如何安装与配置与其对接的密管服务器。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
初始化配置

初始化配置

初始化配置包括初始化密管服务器的网络和时间、导入License、配置KMIP服务器和NTP服务器等。

为保证组成集群的两台密管服务器均能提供密钥管理服务器,在两台密管服务器上均需要进行初始化配置。

初始化密管服务器

在使用加密服务器前,需要对其进行初始化,包括修改管理网口IP地址和时间等。

前提条件
  • 维护终端已通过串口连接到密管服务器。
说明:

如果维护终端上没有串口,请使用USB转串口线缆将维护终端连接到密管服务器串口上。

  • 维护终端上有空闲的能正常使用的串口。
  • 维护终端上已安装支持串口通信的管理软件。本文档以Putty为例进行说明。
背景信息

需要对两台密管服务器都进行初始化配置。

操作步骤
  1. 通过串口登录密管服务器管理界面。

    1. 运行Putty软件。
    2. 选择“Connection > Serial”。

      进入串口设置界面,如图4-6所示。

      图4-6 串口设置界面

    3. 设置“Serial line to connect to”为当前维护终端与密管服务器相连的串口,并将“Speed (baud)”设置为“19200”,然后单击“Open”。

      进入密管服务器CLI管理界面。

  2. 输入“y”并按“Enter”。

    系统提示输入admin用户的密码,如图4-7所示。

    图4-7 设置用户密码

  3. 请为admin用户设置密码,并再次输入密码。

    系统提示超级管理员信息已被更新,如图4-8所示。

    图4-8 设置密码成功

  4. 根据实际设置密管服务器的时区、日期和时间信息。

    系统提示日期和时间等信息已配置成功,如图4-9所示。

    图4-9 设置时区、日期和时间

  5. 依次将“IP address”、“Subnet mask”、“Default gateway”和“Hostname”设置为密管服务器的管理网口IP地址、子网掩码、默认网关和密管服务器名称。

    系统提示再次确认网络配置信息,如图4-10所示。

    图4-10 设置网络

  6. 确认无误后,输入“y”并按“Enter”

    系统提示网络配置成功。

  7. 配置通过Web访问密管服务器的端口号,默认为“9443”,建议保持默认设置。

    图4-11所示。

    图4-11 设置端口

  8. 密管服务器会自动重启,耗时约5分钟~10分钟。重启后提示配置完成。

    密管服务器初始化配置完成,如图4-12所示。

    图4-12 初始化完成

  9. 重复步骤1步骤8,完成另一台密管服务器的初始化配置。

配置密管服务器升级

初始化配置完成,请将密管服务器升级到8.6.0版本,以便可以正常完成后续的配置操作,使密管服务器的相关功能可以正常使用。

前提条件
  • 已将升级文件放到维护终端的本地目录。
    • 升级文件可以从SafeNet的官网下载。登录https://gemalto.service-now.com/,注册帐号后,订阅KeySecure的更新下载即可获取升级文件。
说明:

注册帐号使用的邮箱为购买密管服务器时提供的邮箱。

  • 通过下载的升级文件的名称可以确定版本。例如,文件名称“630-010469-001_KeySecure_Field_Upgrade_PKG_V8.3.0_RevA.zip”,表示升级版本为8.3.0。
  • 下载后的升级文件为“*.zip”,请解压后使用IEU文件进行升级。

  • 集群中的两台密管服务器需要升级到相同版本。
背景信息

当前密管服务器的发货版本为8.0.1,请按照以下的升级路径执行三次升级操作,将密管服务器升级到8.6.0版本:

  1. 8.0.1->8.3.0
  2. 8.3.0->8.5.0
  3. 8.5.0->8.6.0
操作步骤
  1. 使用admin用户登录密管服务器Web管理界面。
  2. 将密管服务器从8.0.1版本升级至8.3.0版本。

    1. 选择“Device > System Information & Upgrade”。

      系统进入“System Information”界面。

    2. 在“Software & License Upgrade/Install”区域,选择“Source”为“Upload from browser”,并单击“选择文件”,从本地目录中上传升级文件。
    3. 单击“Upgrade/Install”。

      系统自动升级并在升级完成后自动重启,耗时约10分钟。

    4. 确认升级后的版本。

      选择“Home”页签,在“System Summary”区域,确认“Software Version”的值与升级的目标版本是否一致。

  3. 重复执行两次配置密管服务器升级配置密管服务器升级,分别将密管服务器从8.3.0版本升级至8.5.0版本,再从8.5.0版本升级至8.6.0版本。

导入License

密管服务器只有导入了License后,相关功能才能正常使用。

前提条件

已获取经过SafeNet公司认证的License文件。登录https://gemalto.service-now.com/,注册帐号后,通过注册帐号使用的邮箱可以接受到License文件。

说明:

注册帐号使用的邮箱为购买密管服务器时提供的邮箱。

背景信息

两台密管服务器均需要导入License文件。

操作步骤
  1. 使用admin用户登录密管服务器Web管理界面。
  2. 选择“Home > Summary”。

    系统弹出的界面如图4-13所示。

    图4-13 查看License

  3. 选择“Device > System Information & Upgrade”。

    系统进入“System Information”界面。

  4. 在“Software & License Upgrade/Install”区域,选择“Source”为“Upload from browser”,并单击“浏览”,从本地目录中上传License文件。
  5. 单击“Upgrade/Install”。

    系统进入“Action Completed”界面,如图4-14所示。

    图4-14 License安装成功

    说明:

    License安装成功后,系统会自动重启,持续时间约为5分钟~10分钟。

  6. 重启后重新登录密管服务器Web管理界面,选择“Home > Summary”,在“System Summary”区域,查看安装的License信息。

    图4-15所示。

    图4-15 确认License信息

    “Licenses in Use”表示已经生效的License的数量。

配置KMIP服务器

本节介绍如何设置KMIP服务器。

前提条件

已经完成密管服务器初始化配置,且已经生成根CA证书。

选择“Security > Device CAs & SSL Certificates > Local CAs”查看根CA证书的信息。

操作步骤
  1. 使用admin用户登录密管服务器Web管理界面。
  2. 依次选择“Device > Device Configuration > Key Server”。

    系统进入“Cryptographic Key Server Configuration”界面。

  3. 在“Cryptographic Key Server Settings”区域的服务器列表下方,单击“Add”。

    列表中会新增一行,图4-16所示。

    图4-16 配置KMIP服务器

  4. 设置KMIP服务器相关参数,如表4-2所示。设置完成后,单击“Save”进行保存。

    表4-2 KMIP服务器相关参数

    参数名称

    参数说明

    参数设置

    Protocol

    KMIP服务器使用的协议。

    [示例]

    KMIP

    IP

    KMIP服务器的管理网口IP地址。

    [示例]

    172.168.100.101

    Port

    KMIP服务器的端口。

    [默认值]

    5696

    Use SSL

    使用SSL进行认证。为保证安装性,建议勾选。

    [示例]

    勾选

    Server Certificate

    KMIP服务器使用的默认证书。

    [示例]

    nae_kmip_server

    KMIP服务器配置完成后,将会出现在密管服务器列表中。

  5. 可选: 在密管服务器列表中,选择已经配置好的密管服务器,单击“Properties”,查看密管服务器属性参数和认证参数。

    如果需要修改密管服务器的属性参数,请执行以下操作:

    修改密管服务器设置会重置该密管服务器的所有连接。

    1. 在“Cryptographic Key Server Properties”区域,单击“Edit”。

      系统弹出的界面如图4-17所示。

      图4-17 配置服务器属性

    2. 修改密管服务器属性参数,如表4-3所示。
      表4-3 密管服务器属性参数说明

      名称

      描述

      取值

      IP

      密管服务器的管理网口IP地址。可以设置为ALL或具体的IP地址。

      说明:

      从安全性角度出发,建议设置为指定的管理网口IP地址。

      示例

      172.168.100.101

      Port

      密管服务器的通信端口。建议保持默认设置。

      默认值

      5696

      Use SSL

      是否启用SSL协议。

      示例

      启用

      Server Certificate

      密管服务器证书,可以设置为None或nae_kmip_server,建议设置为nae_kmip_server。

      示例

      nae_kmip_server

      Connection Timeout (sec)

      表示密管服务器关闭连接前,允许客户端上多长时间无操作。

      示例

      默认为3600

      Allow Key and Policy Configuration Operations

      表示密管服务器是否允许密钥创建、密钥删除和密钥导入操作。

      示例

      启用

      Allow Key Export

      表示密管服务器是否允许密钥导出操作。

      示例

      启用

    3. 单击“Save”。

    如果需要修改密管服务器的认证参数,请执行以下操作:

    1. 在“Authentication Settings”区域,单击“Edit”。

      系统弹出的界面如图4-18所示。

      图4-18 设置密管服务器认证参数

    2. 修改认证参数,如表4-4
      表4-4 密管服务器认证参数说明

      名称

      描述

      取值

      Password Authentication

      是否采用密码认证。

      示例

      Not Used

      Client Certificate Authentication

      客户端证书认证方式。

      示例

      Used for SSL session and username (most secure)

      Trusted CA List Profile

      受信任的证书列表。

      示例

      hsm_mgmt_ca_profile

      Username Field in Client Certificate

      客户端证书中的用户名字段。

      说明:

      请设置为“OU (Orgranization Unit)”。

      示例

      OU (Orgranization Unit)

      Require Client Certificate to Contain Source IP

      是否启用要求客户端证书中包含源与客户端一致的IP地址。

      示例

      不启用。

    3. 单击“Save”。

配置NTP服务器

为保证密管服务器和存储系统上的时间相同,需要在密管服务器和存储系统上配置同一个NTP服务器的信息。

前提条件
  • 存储系统侧已经配置NTP服务器。
  • 密管服务器和存储系统使用同一个NTP服务器进行时间同步,确保两者时间一致。
操作步骤
  1. 使用admin用户登录密管服务器Web管理界面。
  2. 选择“Device > Device Configuration > Date & Time”页签。

    图4-19所示。

    图4-19 NTP服务器配置界面

  3. 在“NTP Settings”区域,单击“Edit”。

    系统出现NTP服务器设置界面,如图4-20所示。

    图4-20 NTP服务器设置

  4. 设置NTP服务器相关的参数。

    1. 勾选“Enable NTP”,启用NTP服务。
    2. 在“NTP Server 1”中设置NTP服务器的IP地址。
      说明:
      • 密管服务器上设置的NTP服务器IP地址需跟存储系统上设置的NTP服务器IP地址一致。
      • 如果存储系统上配置了多个NTP服务器,请在密管服务器上也配置相应的NTP服务器。此时,需要配置“NTP Server 2”或“NTP Server 3”。
    3. 在“Poll Interval (min)”中设置轮询间隔时间,即每达到一个轮询间隔时间,系统会自动检查密管服务器与NTP服务器的时间是否一致。如果不一致,会自动将NTP服务器的时间同步到密管服务器。该参数的默认值为5分钟,建议使用默认配置。

  5. 单击“Save”。

创建定时备份

密管服务器配置完成后,需要对密管服务器信息进行定期备份,以便在出现异常的情况下进行恢复。

前提条件
  • SCP服务器已配置好。
  • SCP服务器已配置且与密管服务器通信正常。
  • 两台密管服务器均需要配置定时备份。
背景信息

本文以部署在Linux CentOS主机上的SCP服务器为例进行介绍。

说明:

支持SSH协议的Linux CentOS主机可以直接用作SCP服务器。

操作步骤
  1. 使用admin用户登录密管服务器Web管理界面。
  2. 选择“Device > Backup & Restore > Create Backup”。

    进入“Security Items”设置界面,如图4-21所示。

    图4-21 安全性备份项目设置

  3. 在“Security Items”设置界面,单击“Select All”,选中所有的安全性项目,然后单击“Continue”。

    进入“Device Items”设置界面,如图4-22所示。

    图4-22 设备备份项目设置

  4. 在“Device Items”设置界面,单击“Select All”,并取消勾选“Network”。然后单击“Continue”。

    进入“Backup Settings”设置界面,如图4-23所示。

    图4-23 备份设置

  5. “Backup Settings”设置界面,设置自动备份相关的参数。

    1. 设置备份的基本参数,包括“Backup Name”、“Backup Description”、“Backup Password”和“Confirm Backup Password”。
    2. 将“Destination”设置为“SCP”,系统会进行自动远程备份,并将备份文件存放到SCP服务器上。
    3. 设置SCP备份相关的参数,如表4-5所示。
      表4-5 SCP备份相关参数

      参数名称

      参数说明

      参数设置

      Host

      SCP服务器的IP地址

      [示例]

      192.168.20.3

      Directory Name

      备份文件的存放路径

      [示例]

      BackupDirectory

      Username

      登录SCP服务器的用户名

      [示例]

      Admin

      Authentication

      SCP服务器的鉴权方式

      [示例]

      Password

      Password

      登录SCP服务器的密码

      当“Authentication”设置为“Password”时,该参数有效。

      [示例]

      XXX

    4. 单击“Save Settings for Automated Remote Backup”。

      弹出“Confirmation Required”对话框,如图4-24所示。

      图4-24 自动备份设置确认

    5. 阅读对话框中的提示信息后,单击“Confirm”。
    6. 单击“Continue”。

      弹出“Action Completed”界面。

  6. 设置备份策略。

    1. 单击“Continue”。

      弹出“Automated Remote Backup Schedule”界面。

    2. 单击“Edit”。

      界面如图4-25所示。

      图4-25 设置备份策略

    3. 设置备份周期和时间,然后单击“Save”。

      设置的定时备份开始执行,配置的定时备份策略将会更新到“Last Automated Remote Backup Status”中。

  7. 重复创建定时备份创建定时备份,为另一台密管服务器配置定时备份。
后续处理

设置定时备份后,要定期去检查SCP服务器是否有足够的存储空间。建议定期清理老的备份文件,避免空间不足导致备份失败。

翻译
下载文档
更新时间:2018-11-01

文档编号:EDOC1000159241

浏览量:8324

下载量:63

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页