所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

OceanStor Dorado V3系列 V300R001 硬盘加密用户指南

本产品文档适用于OceanStor Dorado5000 V3, Dorado6000 V3和Dorado18000 V3。本文档主要介绍存储系统使用加密硬盘时,如何安装与配置与其对接的密管服务器。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
初始化配置

初始化配置

密管服务器的初始化包括配置网络和时间、生成System Key、生成CA和SSL证书、导入License、配置NTP服务器和NFS服务器等。

为保证组成集群的两台密管服务器均能提供密钥管理服务器,在两台密管服务器上均需要进行初始化配置。初始化配置需要执行的操作如表3-3所示。

表3-3 初始化配置操作

步骤说明

操作界面

执行该操作的用户角色

配置网络信息

控制台管理界面

Administrator

配置时区

生成System Key

Security Officer

生成CA根证书

生成SSL证书

验证服务状态

创建Auditor用户

web管理界面

Administrator/Security Officer

导入License

Security Officer

配置NTP服务器

Administrator

配置NFS服务器

Security Officer

配置告警通知

Auditor Officer

定时备份配置信息

Security Officer

说明:
  • Administrator角色的默认用户名称为“admin”,默认密码为 “password123”。本文以密管服务器默认用户名为例进行介绍,后续不再说明。
  • Security Officer角色的默认用户名称为“officer”,默认密码为 “password123”。本文以密管服务器默认用户名为例进行介绍,后续不再说明。
  • 密管服务器不存在默认的Audit Officer用户,需要用户自定义创建。

配置网络信息

在使用加密服务器前,需要配置端口等网络信息,以便能正常访问密管服务器。

前提条件

仅支持具有Administrator角色的用户执行该操作。

操作步骤
  1. 使用admin用户通过串口登录密管服务器管理界面,登录方法请参见通过串口登录密管服务器管理界面
  2. 选择“Network”并回车。

    系统弹出“Network Properties”界面,如图3-10所示。

    图3-10 网络属性界面

  3. 设置网络参数。

    1. 在“Management Interface”页签下,分别输入密管服务器的管理网口IP地址、子网掩码和网关。
      说明:

      密管服务器的管理网口IP地址与存储系统的管理网口IP地址能正常通信。

    2. 在“Data Port 1”页签下,分别输入密管服务器的业务网口IP地址、子网掩码和网关。
      说明:

      两台密管服务器的业务网口IP地址能正常通信。

    3. 在“Common Settings”页签下,设置主机名和域名等信息。
    4. 在“Service Settings”页签下,启用SSH、HTTPS和KMIP服务,其端口分别设置为22、443和5696。
    说明:

    如果未导入License或License过期,“KMIP”服务可能无法开启。请参见“导入License”导入License后,重新开启该服务。

  4. 单击“OK”。

    系统出现“Please Wait”提示框。请等待,直到出现“Confirmation”提示框,如图3-11所示。

    图3-11 网络配置成功界面

  5. 单击“OK”。

    网络配置完成。

配置密管服务器时间

配置密管服务器的时区、日期和时间信息,与存储系统的时区保持一致,保证数据的加解密功能正常运行。

前提条件

仅支持具有Administrator角色的用户可执行该操作。

操作步骤
  1. 使用admin用户通过串口登录密管服务器管理界面。
  2. 选择“Date & Time”并回车。

    系统弹出“Date & Time”界面,如图3-12所示。

    图3-12 时间配置界面

  3. 在“Time Zone”、“Date”和“Time”处分别设置时区、日期和时间。

    说明:

    请根据当前的时间进行配置,避免密管服务器安全证书过期。

  4. 选择“OK”并回车。

    系统出现“Please Wait”提示框。请等待,直到出现“Confirmation”提示框,如图3-13所示。

    图3-13 时间配置成功界面

  5. 按“Enter”。

    时间配置完成。

后续处理

配置NTP服务器,保证密管服务器和存储系统时间相同。

生成System Key

System Key用于对密管服务器上的信息加密,对于硬盘加密服务及其重要。System Key生成后存放在密管服务器上。

前提条件

仅支持角色为Security Officer的用户执行该操作。

注意事项

密管服务器自带内置电池,如果外部电源断电5天后,System Key会自动销毁。密管服务器重新上电后,需要进行System Key恢复后,才能正常使用,因此需要及时备份System Key。具体操作请参见备份源密管服务器System Key到Smart Card上

操作步骤
  1. 使用officer用户通过串口登录密管服务器管理界面。

    图3-14所示。

    图3-14 密管服务器管理界面

  2. 选择“System Key”并按“Enter”。

    系统弹出“System Key”界面,如图3-15所示。

    图3-15 System Key生成界面

  3. 选择“Generate New”并单击“OK”。

    系统弹出“Warning”界面。

  4. 单击“Yes”。

    系统出现“Please Wait”提示框。请等待,直到出现“Messages”提示框提示System Key生成成功,如图3-16所示。

    图3-16 System key生成成功界面

  5. 单击“OK”。

    System Key生成成功。

生成CA根证书

CA根证书用于签名密管服务器和存储系统上导出的证书,实现密管服务器与存储系统间的通信认证。

前提条件
  • 仅支持角色为Security Officer的用户执行该操作。
  • 执行该操作前,请先确认密管服务器的时间配置是否正确。检查密管服务器时间配置的操作,请参见配置密管服务器时间
注意事项

根证书的改变会使该密管服务器上的所有证书失效,请慎重操作。

操作步骤
  1. 使用officer用户通过串口登录密管服务器管理界面,如图3-17所示。

    图3-17 密管服务器管理界面

  2. 选择“CA Certificate”并按“Enter”。

    系统弹出“Warning”界面。

  3. 单击“OK”。

    系统弹出“CA Certificate”界面,如图3-18所示。

    图3-18 CA根证书管理界面

  4. 设置CA根证书配置参数,如表3-4所示。

    说明:

    使用“Tab”键移动到下一行进行设置。

    表3-4 CA根证书配置参数

    参数名称

    参数说明

    参数设置

    Country

    CA证书使用者所在国家的ISO国际标准国家代码。

    [示例]

    CN

    State

    CA证书使用者所在的省份。

    [示例]

    SC

    City

    CA证书使用者所在的城市。

    [示例]

    CD

    Organization

    使用CA根证书的组织。

    [示例]

    HW

    Department

    使用CA根证书的部门。

    该参数不支持斜杠,句点和逗号。

    [示例]

    ST

    Common Name

    CA根证书的名称。

    [示例]

    thales170_ssl

    Email

    用于接收CA根证书的邮箱。

    [示例]

    test@thalessec.com

    Days

    CA根证书的有效期。如果证书过期,通信会出现问题, 请及时备案和更新。

    [默认值]

    730

    [推荐值]

    3650

  5. 选择“Generate Certificate”并单击“OK”。

    系统弹出“Confirm”界面。

  6. 单击“OK”。

    系统弹出“Confirmation”界面

  7. 单击“OK”。

    系统出现“Please Wait”提示框。请等待,直到出现“Messages”提示框,如图3-19所示。

    图3-19 CA证书生成成功界面

  8. 单击“OK”。

    CA证书生成成功。

    说明:

    CA证书生成后,密管服务器会同时激活CA服务。

生成SSL证书

SSL证书用于密管服务器与存储系统间通过TLS通信,以及通过Web浏览器访问密管服务器。

前提条件
  • 仅支持角色为Security Officer的用户执行该操作。
  • 执行该操作前,请先确认密管服务器的时间配置是否正确。检查密管服务器时间配置的操作,请参见配置密管服务器时间
操作步骤
  1. 使用officer用户通过串口登录密管服务器管理界面,如图3-20所示。

    图3-20 密管服务器管理界面

  2. 选择“SSL Certificate”并按“Enter”。

    系统弹出“Warning”界面。

  3. 单击“OK”。

    系统弹出“SSL Certificate”界面,如图3-21所示。

    图3-21 SSL证书界面

  4. 设置SSL证书配置参数。

    • “Country”需要设置为所在国家的ISO国际标准国家代码。如CN、US等。
    • “Common Name”设置为SSL证书名称。
    • “Days”设置为证书的有效期,默认为730天,如果证书过期,通信会出现问题,请及时备案和更新。
    说明:

    SSL证书的“Common Name”与CA证书的不能重复,否则会导致HTTPS服务无法启动。

  5. 选择“Generate Certificate”和“Use for web server”并单击“OK”。

    说明:

    如果未选择“Use for web server”,会导致HTTP无法登录密管服务器。

    系统弹出“Confirmation”界面。

  6. 单击“OK”。

    系统出现“Please Wait”提示框。请等待,直到出现“Confirmation”提示框,如图3-22所示。

    图3-22 SSL证书生成成功界面

  7. 单击“OK”。

    SSL证书生成成功。

导入License

密管服务器只有导入了License后,相关功能才能正常使用。

前提条件
  • 仅支持角色为Security Officer的用户执行该操作。
  • 已获取License压缩文件。
  • 每台密管服务器都只能导入与其匹配的License文件。
背景信息

密管服务器的License分为两种形式:

  • Replication与Domain Code合在一个License文件。此时,只需导入一个License文件即可。
  • Replication与Domain Code分别对应一个License文件。此时,需要分别导入两个License文件。
操作步骤
  1. 使用officer用户登录密管服务器Web管理界面,登录方法请参见通过管理网口登录密管服务器管理界面
  2. 选择“Summary”,确认当前密管服务器信息。
  3. 将与该密管服务器匹配的License压缩文件解压,在解压后的.txt文件中获取License文件序列号。

    说明:

    License压缩文件的名称如“EM-002210.rar”,请根据实际情况选择对应的压缩包。

  4. 选择“Licensing”页签。

    界面如图3-23所示。

    图3-23 License导入界面

  5. 在“Add License”区域,在“License Code”中输入与该密管服务器匹配的License文件序列号。
  6. 单击“Add”。

    界面会提示License已导入,并且新导入的License会出现在License列表中。

验证服务状态

只有密管服务器上的相关服务已启用,对应的功能才能正常使用。为确保后续功能正常,请确认相关服务已启用。

前提条件

仅支持角色为Security Officer的用户执行该操作。

操作步骤
  1. 使用officer用户通过串口登录密管服务器管理界面。
  2. 选择“Services”并按“Enter”。

    系统弹出“Services”界面。如图3-24所示。

    图3-24 Services状态界面

  3. 检查各项服务状态,确保与网络配置中的状态一致。

配置NTP服务器

为保证密管服务器和存储系统上的时间相同,需要在密管服务器和存储系统上配置同一个NTP服务器的信息。

前提条件
  • 仅支持角色为Administrator的用户执行该操作。
  • 存储系统侧已经配置NTP服务器。
  • 密管服务器和存储系统使用同一个NTP服务器进行时间同步,确保两者时间一致。
操作步骤
  1. 使用admin用户登录密管服务器Web管理界面。
  2. 选择“Date & Time”页签。

    图3-25所示。

    图3-25 NTP服务器配置界面

  3. 在“NTP Configuration”区域,设置NTP服务器的相关参数。

    1. 勾选“Enable”。
    2. 在“Add Host or IP”中输入NTP服务器的IP地址,并单击“Add”。
    说明:

    如果存储系统上配置了多个NTP服务器,请在密管服务器上也配置相应的NTP服务器。

    添加的NTP服务器将会出现在NTP服务器列表中。

  4. 单击“Save”,保存NTP服务器配置。

配置备份服务器

为提高数据安全性,需要为密管服务器配置备份服务器,用于备份密管服务器的配置信息。

前提条件
  • 仅支持角色为Security Officer的用户执行该操作。
  • 备份服务器已经搭建好,且与密管服务器通信正常。
说明:

系统支持NFS服务器和SCP服务器。NFS服务器上需要完成相应的配置,具体请参见配置Linux NFS服务器配置Solaris NFS服务器

背景信息

两台密管服务器上需要配置形同备份服务器信息。

操作步骤
  1. 使用officer用户通过Web浏览器登录密管服务器管理界面。
  2. 选择“Backup”页签。

    图3-26所示。

    图3-26 NFS服务器配置界面

  3. 在“Device”区域,设置NFS服务器的参数。

    1. 将“Protocol”为“NFS”。
    2. 在“NFS Server”、“Folder”和“User ID”中分别输入NFS服务器的IP地址、备份路径和NFS服务器用户名。

  4. 单击“Test Connection”,测试NFS服务器与密管服务器间的连通性。
  5. 单击“Save Device”,保存NFS服务器配置。

配置告警通知

在业务运行过程中,密管服务器会收集事件及日志信息,并支持配置事件及日志转发到SNMP服务器或Syslog服务器,一旦发现异常能够及时方便地进行分析。

创建Audit用户

创建角色为Auditor Officer的用户,用于后续配置告警通知。

前提条件

请至少创建2个Security Officer角色的用户和2个Recovery Officer角色的用户。以便在忘记officer用户和recovery用户密码的特殊情况下时,能够使用新创建的用户对密管服务器进行配置和管理。

操作步骤
  1. 使用admin用户添加用户。

    1. 使用admin用户登录密管服务器Web管理界面。
    2. 选择“Users”页签,并单击“Add User”。

      系统出现“Add User”界面,如图3-27所示。

      图3-27 创建用户

    3. 配置相关参数。
      表3-5 Unassigned用户参数设置

      名称

      描述

      取值

      Login name

      用户名。

      [取值范围]

      不超过32个字符

      [示例]

      admin2

      Description

      用户描述。

      [示例]

      用户

      Role

      用户的角色,取值包括:

      • Administrator
      • Unassigned

      此处请设置为“Unassigned”。

      [示例]

      Unassigned

      Password expiration

      密码过期时间。

      [示例]

      120天

      Auto-Logout

      自动退出时间。如果系统在该段时间内无操作,用户将自动退出登录。

      [取值范围]

      5~50分钟

      [示例]

      5

      Email address

      新建用户用于接收信息的邮箱地址。

      [示例]

      xxx@xxx.com

      Confirm Email address

    4. 单击“Add User”。

      创建的新用户将会被添加到已存在用户列表中,并且界面会提示所创建用户的随机密码,请记录下随机密码并妥善保存,如图3-28所示。

    图3-28 创建用户成功

  2. 使用officer用户为新增用户分配角色及权限。

    1. 使用officer用户登录密管服务器Web管理界面。
    2. 选择“Users”页签。

      系统出现“Users”界面。

    3. 在用户列表中找到新创建用户,并单击该用户的名称。

      系统弹出“Edit User”界面,如图3-29所示。

      图3-29 设置用户权限

    4. 设置相关参数。
      表3-6 用户权限参数说明

      名称

      描述

      取值

      User smart card authentication

      是否启用用户Smart Card认证。

      [示例]

      不启用

      Role

      指定用户角色。

      • Officer:表示用户角色为Security Officer。
      • Manager:表述用户角色为Group Manager。
      • Recovery:表示用户角色为Recovery Officer。
      • Audit:表示用户角色为Audit Officer。

      [示例]

      Manager

      Manageable group

      选择Group Manager所管理的Group。

      [示例]

      storagepoc.com/kmipgroup2

      Visible group

      选择Group Manager所能看到的Group。Group Manager对这些Group只有只读权限。

      [示例]

      storagepoc.com/kmipgroup

    5. 单击“Save”。

  3. 使用新创建的用户和对应的随机密码登录密管服务器Web管理界面,并按照修改密码的方法修改密码。
配置SNMP服务器

配置SNMP服务器后,密管服务器上产生的事件及日志将被转发到SNMP服务器上。

前提条件
  • SNMP服务器部署完成,且与密管服务器间通信正常。
  • 只有Auditor角色的用户可以执行该操作。
操作步骤
  1. 使用Auditor角色的用户登录密管服务器Web管理界面。
  2. 选择“Remote Notification > SNMP”。

    系统弹出“SNMP Trapsink Configuration”对话框。

  3. 设置SNMP服务器参数,如表3-7所示。

    表3-7 SNMP服务器参数说明

    参数名称

    参数说明

    参数设置

    Host or IP

    SNMP服务器的主机名称或IP地址。

    [示例]

    192.168.20.3

    Community

    SNMP服务团体字。

    [示例]

    public

    Port

    SNMP服务器上用于接收告警信息的端口。

    [示例]

    162

  4. 单击“Add”。

    新增的SNMP服务器信息显示在“SNMP Trapsink Configuration”对话框的SNMP服务器列表中。

  5. 设置需要转发到SNMP服务器上的日志类型和级别。

    说明:

    所有的SNMP服务器使用相同的日志类型和级别设置。

    1. 在“Host or IP”中单击任意一个SNMP服务器的地址。

      系统弹出日志类型和级别设置页面。

    2. 选择“Event Component”和对应的“Severity”。
      • 密管服务器从不同的内部子系统收集日志和事件信息,这些内部子系统被成为“component”。例如,“Event Component”标识为“Backup/Restore”的子系统会触发与备份操作相关的日志和事件信息。
      • 每条事件和日志都需要定义级别,包括“Information”、“Warning”、“Error”、“Critical”和“Emergency”。
      说明:

      建议将“Severity”设置为“Error”以上级别。

    3. 单击“Save”,保存SNMP服务器配置。

后续处理

配置SNMP服务器成功后,可以通过第三方Trap网管查看转发的日志和事件信息。需要将第三方Trap网管的SNMP协议设置为SNMPv2。

配置Syslog通知

配置Syslog服务器后,密管服务器上产生的事件及日志将被转发到Syslog服务器上。

前提条件
  • Syslog服务器部署完成,且与密管服务器间通信正常。
  • 只有Auditor角色的用户可以执行该操作。
操作步骤
  1. 使用Auditor角色的用户录密管服务器Web管理界面。
  2. 选择“Remote Notification > Remote Syslog”。

    系统弹出“Remote Syslog Configuration”对话框。

  3. 在“Add Remote Syslog Server”区域设置Syslog服务器的相关参数,如表3-8所示。

    表3-8 Syslog服务器参数说明

    参数名称

    参数说明

    参数设置

    Host or IP

    Syslog服务器的主机名称或IP地址。

    [示例]

    192.168.20.3

    Secure

    在Syslog服务器和密管服务器间建立安全的TLS连接。

    说明:

    建立TLS连接时,需要在密管服务器上导入通过第三方CA签名的SSL证书。

    [示例]

    启用

  4. 单击“Add”。

    新增的Syslog服务器信息显示在“Remote Syslog Configuration”对话框的Syslog服务器列表中。

  5. 设置需要转发到Syslog服务器上的日志类型和级别。

    说明:

    所有的Syslog服务器使用相同的日志类型和级别设置。

    1. 在“Host or IP”中单击任意一条Syslog服务器的地址。

      系统弹出日志类型和级别设置页面。

    2. 选择“Event Component”和对应的“Severity”。
      • 密管服务器从不同的内部子系统收集日志和事件信息,这些内部子系统被成为“component”。例如,“Event Component”标识为“Backup/Restore”的子系统会触发与备份操作相关的日志和事件信息。
      • 每条事件和日志都需要定义级别,包括“Information”、“Warning”、“Error”、“Critical”和“Emergency”。
      说明:

      建议将“Severity”设置为“Error”以上级别。

    3. 单击“Save”,保存Syslog通知配置。

定时备份密管服务器配置信息

密管服务器配置完成后,需要对密管服务器信息进行定期备份,以便在出现异常的情况下进行恢复。

前提条件

NFS服务器或SCP服务器已成功部署,且与密管服务器间通信正常。

操作步骤
  1. 使用officer用户登录源密管服务器Web管理界面。
  2. 选择“Backup”页签。

    系统弹出“Backup”界面,如图3-30所示。

    图3-30 Backup管理界面

    说明:

    密管服务器支持通过NFS协议或SCP协议将配置信息进行备份。

    • 需要通过NFS协议进行备份时,后续请执行步骤3
    • 需要通过SCP协议进行备份时,后续请执行步骤4

  3. 配置NFS备份服务器及备份时间策略。

    1. 在“Device”区域,设置NFS备份服务器信息,如表3-9所示。
      表3-9 NFS备份服务器配置信息

      参数名称

      参数说明

      参数设置

      Protocol

      将配置信息传输到备份服务器使用的协议。

      [示例]

      NFS

      NFS Server

      NFS服务器的IP地址。

      [示例]

      192.168.17.81

      Folder

      NFS服务器上备份信息的存放路径。

      [示例]

      /kabackup

      User ID

      NFS服务器上所创建用户的用户名。

      [示例]

      710

      配置完成后,单击“Save Device”保存NFS备份服务器设置。

      说明:

      单击“Test Connection”,可以测试NFS备份服务器与密管服务器间的连通性。

    2. 在“Scheduling”区域,设置备份时间策略,如表3-10所示。
    表3-10 备份时间策略

    参数名称

    参数说明

    参数设置

    Days

    指定在每周的某一天进行备份。

    说明:

    如果需要设置一周中的多天,请按Ctrl键并选择。

    [示例]

    Sundays

    Time

    指定在每天的某个时间开始进行备份。

    [示例]

    12 noon

    配置完成后,单击“Save Scheduling”保存NFS备份时间策略。密管服务器会自动在设置的时间点将配置信息备份到NFS服务器上的指定路径。

  4. 配置SCP备份服务器及备份时间策略。

    1. 在“Device”区域,设置SCP备份服务器信息,如表3-11所示。
      表3-11 SCP备份服务器配置信息

      参数名称

      参数说明

      参数设置

      Protocol

      将配置信息传输到备份服务器使用的协议。

      [示例]

      SCP

      SCP Server

      SCP服务器的IP地址。

      [示例]

      192.168.17.81

      Port

      SCP服务器使用的端口。

      [示例]

      22

      Username

      登录SCP服务器的用户名。

      [示例]

      admin

      Password

      登录SCP服务器的密码。

      [示例]

      Admin@123

      Folder

      SCP服务器上存放备份信息的文件夹。

      [示例]

      /home

      配置完成后,单击“Save Device”保存SCP备份服务器设置。

      说明:

      单击“Test Connection”,可以测试SCP备份服务器与密管服务器间的连通性。

    2. 在“Scheduling”区域,设置备份时间策略,如表3-12所示。
    表3-12 备份时间策略

    参数名称

    参数说明

    参数设置

    Days

    指定在每周的某一天进行备份。

    说明:

    如果需要设置一周中的多天,请按Ctrl键并选择。

    [示例]

    Sundays

    Time

    指定在每天的某个时间开始进行备份。

    [示例]

    12 noon

    配置完成后,单击“Save Scheduling”保存SCP备份时间策略。密管服务器会自动在设置的时间点将配置信息备份到SCP服务器上的指定路径。

  5. 设置完成后,单击“Backup Now”立即执行备份操作。
  6. 可选: 单击“Logs”页签,查看在备份时间点生成的备份信息。
翻译
下载文档
更新时间:2018-11-01

文档编号:EDOC1000159241

浏览量:8241

下载量:63

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页