Search

Wie verwendet man den KMIP-Client für eine sichere Schlüsselverwaltung?

Zuletzt geändertes Datum 2025-06-09

Betreffende Produkte

  • KMIP-Client
  • QuTS hero h5.3.0 oder höhere Versionen

Über KMIP-Client

Der KMIP-Client ermöglicht es Ihrem NAS, Verschlüsselungsschlüssel für Speicherfunktionen sicher zu speichern und abzurufen, indem er eine Verbindung zu einem entfernten Key Management Interoperability Protocol (KMIP) Server herstellt. Als Agent verwaltet der KMIP-Client die Kommunikation zwischen Speicherfunktionen auf dem NAS, wie z. B. verschlüsselten Freigabeordnern und verschlüsselten LUNs, und dem verbundenen KMIP Server.

Der KMIP-Client unterstützt eine One-to-One Verbindung, so dass jedes NAS jeweils nur mit einem einzigen KMIP Server verbunden werden kann. Nach der Konfiguration bietet er eine zentrale, sichere und konforme Schlüsselverwaltung für Speicherfunktionen und gewährleistet die Integrität und Zugänglichkeit von verschlüsselten Daten.

KMIP-Client Funktionen

  • Externes Speichern und Verwalten von Verschlüsselungsschlüsseln auf einem KMIP Server, um das Risiko eines unbefugten Zugriffs oder Schlüsselverlusts auf NAS-Ebene zu minimieren.
  • Automatisierung des Abrufs und die Anwendung von Verschlüsselungsschlüsseln für verschlüsselte Freigabeordner und LUNs, um die Sicherheit und Benutzererfahrung zu verbessern.
  • Integration mit einem Key Management System (KMS), um die Sicherheits- und Compliance-Standards auf Unternehmensebene für die Speicherverschlüsselung zu erfüllen.
  • Beibehaltung des Zugriffs auf verschlüsselte LUNs und Freigabeordner, selbst nach Systemneustarts, vorausgesetzt, der KMIP-Client und der Server bleiben betriebsbereit.

Installation und Konfiguration des KMIP-Clients

Installieren Sie den KMIP-Client, um die Dienste für die Schlüsselverwaltung zu aktivieren, und konfigurieren Sie ihn, um eine sichere Kommunikation mit einem externen KMIP Server herzustellen.

Voraussetzungen

  • Melden Sie sich als Administrator beim NAS an.
  • Überprüfen Sie, ob Ihr NAS QuTS hero h5.3.0 oder eine höhere Version ausführt.
  • Bestätigen Sie, dass ein KMIP-konformes Key Management System (KMS) ordnungsgemäß eingerichtet und bereit ist, eine Verbindung mit dem NAS herzustellen.
  • Konfigurieren Sie das KMS gemäß den Anweisungen des Anbieters und stellen Sie sicher, dass die KMIP Kommunikation über den entsprechenden Port aktiviert ist, typischerweise 5696, es sei denn, der KMS Anbieter gibt etwas anderes an. Dieser Port wird für die gegenseitige TLS (mTLS) Kommunikation zwischen dem KMIP-Client und dem KMIP Server verwendet.
  • Erstellen oder importieren Sie die erforderlichen Zertifikate in den KMIP Server.

KMIP-Client installieren

  • Melden Sie sich als Administrator beim NAS an.
  • Öffnen Sie App Center.
  • Suchen Sie die App, indem Sie im Suchfeld nach KMIP Client suchen.
  • Klicken Sie auf KMIP-Client.
  • Wählen Sie die Häufigkeit der App-Aktualisierung.
  • Klicken Sie auf Installieren.
    App Center installiert KMIP-Client auf dem Gerät.

Auf KMIP-Client zugreifen

Sie können über die folgenden Optionen auf die Einstellungen des KMIP-Clients zugreifen:

  • Systemsteuerung > System >Sicherheit > KMIP.
  • Öffnen Sie die KMIP-Client Anwendung, die Sie zur KMIP Einstellungsseite in der Systemsteuerung weiterleitet.

KMIP-Client-Zertifikate verwalten

Sie können das KMIP-Client-Zertifikat verwalten, um eine sichere, authentifizierte Kommunikation zwischen Ihrem NAS und einem externem KMIP Server sicherzustellen. Zertifikate sind erforderlich, um die Identität beider Geräte zu überprüfen und die über das Netzwerk ausgetauschten Daten zu verschlüsseln. Sie können zu diesem Zweck ein neues Zertifikat auf Ihrem NAS generieren oder ein vorhandenes Zertifikat von Ihrem lokalen Gerät importieren. Zudem können Sie Zertifikatsdetails wie Status, Ablaufdatum und ausstellende Instanz anzeigen und Aktionen wie Ersetzen, Herunterladen oder Löschen von Zertifikaten durchführen, um sichere, unterbrechungsfreie KMIP-Client Verbindungen aufrechtzuerhalten.

Ein neues KMIP-Client-Zertifikat generieren

  1. Öffnen Sie KMIP-Client.
    KMIP-Client wird Sie zur KMIP Seite in der Systemsteuerung weiterleiten.
  2. Klicken Sie unter KMIP-Client-Zertifikat auf Hinzufügen.
    Das KMIP-Client-Zertifikat hinzufügen Fenster wird angezeigt.
  3. Wählen Sie Neues Zertifikat generieren.
  4. Klicken Sie auf Hinzufügen.
    Das System generiert ein neues KMIP Zertifikat.

Benutzerdefiniertes Zertifikat importieren

  1. Öffnen Sie KMIP-Client.
    KMIP-Client wird Sie zur KMIP Seite in der Systemsteuerung weiterleiten.
  2. Klicken Sie unter KMIP-Client-Zertifikat auf Hinzufügen.
    Das KMIP-Client-Zertifikat hinzufügen Fenster wird angezeigt.
  3. Wählen Sie Zertifikat importieren.
  4. Klicken Sie im Abschnitt zur Zertifikatsverwaltung neben jedem Feld auf Durchsuchen:
    • Zertifikat: Wählen Sie die .pem Zertifikatsdatei.
    • Privater Schlüssel: Wählen Sie die entsprechende .key private Schlüsseldatei.
    • Zwischenzertifikat (optional): Wenn zutreffend, wählen Sie die zwischenzeitliche .pem Zertifikatsdatei aus.
  5. Suchen Sie in allen Fällen die entsprechende Datei im Dialog der Dateiauswahl und klicken Sie auf Öffnen oder die entsprechende Option, um die Auswahl zu bestätigen.
  6. Klicken Sie auf Hinzufügen.
    Das System importiert und fügt das KMIP Zertifikat hinzu.

Zertifikate verwalten

  1. Öffnen Sie KMIP-Client.
    KMIP-Client wird Sie zur KMIP Seite in der Systemsteuerung weiterleiten.
  2. Sie können eine der folgenden Aufgaben ausführen.
    AufgabeBeschreibungAktion
    Zertifikatsstatus anzeigenÜberprüfen Sie den aktuellen Status und das Ablaufdatum des installierten Zertifikats.Zeigen Sie unter KMIP-Client-Zertifikat den Status und das Ablaufdatum an.
    Zertifikat ersetzenLaden Sie ein neues Zertifikat hoch, um Ihr bestehendes zu aktualisieren.
    1. Klicken Sie unter KMIP-Client-Zertifikat auf Ersetzen.
      Das Fenster KMIP-Client-Zertifikat ersetzen wird angezeigt.
    2. Wählen Sie Zertifikat generieren oder Zertifikat importieren aus.
      Für Details zum Importieren eines KMIP-Client-Zertifikats siehe "Benutzerdefiniertes Zertifikat importieren".
    3. Klicken Sie auf Ersetzen.
    Zertifikat herunterladenSpeichern Sie eine Kopie Ihres aktuellen Zertifikats auf Ihrem Gerät.
    1. Klicken Sie unter KMIP-Client-Zertifikat auf Herunterladen.
    2. Wählen Sie eine oder mehrere Dateien zum Herunterladen aus.
    3. Klicken Sie auf Herunterladen.
    Zertifikat löschenEntfernen Sie das installierte Zertifikat aus dem System.
    1. Klicken Sie unter KMIP-Client-Zertifikat auf Löschen.
      Das Bestätigungsfenster für die Löschung erscheint.
    2. Klicken Sie auf Ja.

    Der KMIP-Client führt die angegebene Aktion aus.

KMIP Serververbindungen konfigurieren und verwalten

Zur Gewährleistung einer sicheren Kommunikation zwischen Ihrem NAS und einem externen KMIP Server können Sie die Verbindungseinstellungen des KMIP-Clients konfigurieren und verwalten. Dies ermöglicht es dem System, Verschlüsselungsschlüssel sicher über das KMIP Protokoll zu verwalten. Der Konfigurationsprozess umfasst das Aktivieren oder Deaktivieren des KMIP-Clients sowie das Einrichten, Bearbeiten und Testen der Verbindung zwischen dem NAS und dem KMIP Server. Zudem können Sie die Verbindungseinstellungen des KMIP Servers bei Bedarf löschen, um zu gewährleisten, dass Ihre Sicherheitseinstellungen aktuell bleiben.

Wichtig
  • Die Verbindung kann nicht gespeichert werden, wenn der Server offline oder unerreichbar ist oder kein KMIP Dienst ausgeführt wird. Überprüfen Sie die Serveradresse, den Port (Standard: 5696) und stellen Sie sicher, dass die KMIP Dienste aktiviert sind.
  • Sowohl das NAS als auch der KMIP Server müssen gültige, nicht abgelaufene Zertifikate installiert haben. Die Verbindung wird fehlschlagen, wenn das Client- oder Serverzertifikat fehlt, ungültig oder abgelaufen ist.
  • Die Authentifizierung wird fehlschlagen, wenn das Client-Zertifikat oder die Servereinstellungen falsch konfiguriert sind. Überprüfen Sie die Client-Anmeldeinformationen, die Zertifikatszuweisungen und die Authentifizierungseinstellungen auf beiden Geräten, bevor Sie versuchen, eine Verbindung herzustellen.

KMIP Server Verbindungseinstellungen konfigurieren

  1. Öffnen Sie KMIP-Client.
    KMIP-Client wird Sie zur KMIP Seite in der Systemsteuerung weiterleiten.
  2. Klicken Sie auf Konfigurationsassistent.
    Das KMIP-Server-Verbindungseinstellungen Fenster wird angezeigt.
  3. Geben Sie den Hostnamen oder die IP-Adresse Ihres KMIP Servers ein.
  4. Definieren Sie die Portnummer für KMIP Serververbindungen unter Verwendung von gegenseitigem TLS. Der Standardport ist 5696.
  5. Geben Sie ein identifizierbares Label für den KMIP Server ein, das 0-50 Zeichen lang ist.
  6. Wählen Sie ein vertrauenswürdiges CA Zertifikat aus, um die Identität des KMIP Servers während der Verbindung zu authentifizieren.
    Hinweis
    Dies ist erforderlich, wenn der Server ein selbst signiertes Zertifikat verwendet, das nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.
  7. Klicken Sie auf Verbinden.
    Das Dem KMIP-Server-Zertifikat vertrauen Fenster wird angezeigt.
  8. Hinweis
    Klicken Sie zur Neukonfiguration der Verbindungseinstellungen des KMIP Servers im Abschnitt KMIP Server auf Bearbeiten.
  9. Überprüfen Sie die Details des Zertifikats und klicken Sie dann auf Vertrauen.

KMIP-Client Dienst aktivieren oder deaktivieren

  1. Öffnen Sie KMIP-Client.
    KMIP-Client wird Sie zur KMIP Seite in der Systemsteuerung weiterleiten.
  2. Klicken Sie auf das Kontrollkästchen neben KMIP-Client aktivieren.
    Das System aktiviert oder deaktiviert den KMIP-Client Dienst.  

KMIP Serverkonnektivität testen

  1. Öffnen Sie KMIP-Client.
    KMIP-Client wird Sie zur KMIP Seite in der Systemsteuerung weiterleiten.
  2. Klicken Sie im Abschnitt KMIP Server auf Verbindung testen.
    Das System initiiert einen Verbindungstest zwischen dem Client und dem KMIP Server und aktualisiert das Feld Letzte Verbindung mit dem neuesten Ergebnis.

KMIP Server Verbindungseinstellungen zurücksetzen

Wichtig
Das Zurücksetzen der KMIP Serververbindungseinstellungen verhindert, dass das Gerät auf alle zuvor auf dem konfigurierten KMIP Server gespeicherten Verschlüsselungsschlüssel zugreift. Stellen Sie sicher, dass alle erforderlichen Schlüssel gesichert oder migriert sind, bevor Sie fortfahren.
  1. Öffnen Sie KMIP-Client.
    KMIP-Client wird Sie zur KMIP Seite in der Systemsteuerung weiterleiten.
  2. Klicken Sie im Abschnitt KMIP Server auf Zurücksetzen.
    Es wird eine Bestätigungsmeldung angezeigt.
  3. Klicken Sie auf Bestätigen.
    Das System setzt die KMIP Serververbindungseinstellungen zurück.

Anwendungsfälle für den KMIP-Client mit Speichermanager

  • Verschlüsselungsschlüssel für LUNs und Freigabeordner speichern
    • Aktivieren Sie auf der Seite Globale Einstellungen im Speichermanager die Option Verschlüsselungsschlüssel auf KMIP-Server speichern, um Verschlüsselungsschlüssel auf dem KMIP Server zu speichern. Dies erfordert eine aktive KMIP-Client Verbindung. Wenn aktiviert, können verschlüsselte Freigabeordner und LUNs Verschlüsselungsschlüssel über den KMIP-Client speichern und abrufen und beim Systemstart automatisch über den KMIP Dienst entsperrt werden. Weitere Informationen finden Sie unter dem Thema "Globale Speichereinstellungen" im Kapitel Speichermanager im QuTS hero Benutzerhandbuch.
  • Den gespeicherten KMIP Verschlüsselungsschlüssel automatisch beim Löschen einer verschlüsselten LUN oder eines Freigabeordners entfernen
    • Wenn die Einstellung Verschlüsselungsschlüssel auf KMIP-Server speichern aktiviert ist, wird der zugehörige Verschlüsselungsschlüssel beim Löschen eines verschlüsselten Freigabeordners vom KMIP Server entfernt.
  • Eine verschlüsselte LUN oder Freigabeordner automatisch beim Systemstart entsperren
    • Beim Erstellen einer neuen verschlüsselten LUN oder eines Freigabeordners können Sie wählen, ob diese beim Systemstart über KMIP entsperrt werden sollen. Wenn die Verbindung zum KMIP Server unterbrochen ist, wird die Option Mit dem auf dem KMIP Server gespeicherten Verschlüsselungsschlüssel entsperren deaktiviert. Weitere Informationen finden Sie unter "LUN-Verschlüsselung verwalten" oder "Freigabeordner-Verschlüsselung verwalten" im Kapitel Speichermanager im QuTS hero Benutzerhandbuch.
Wichtig
  • KMIP-Client muss unter Systemsteuerung > Sicherheit und die globale Einstellung im Speichermanager aktiviert werden, damit diese Funktionen ausgeführt werden.
  • Stellen Sie sicher, dass die Verbindung zwischen dem KMIP-Client und dem KMIP Server stabil ist, um Funktionen wie Schlüsselverwaltung, Entsperrung und Verschlüsselungsverwaltung nutzen zu können.
  • Der KMIP-Client kann nicht deaktiviert werden, solange Anwendungen aktiv KMIP Dienste nutzen.
  • Die Verbindungseinstellungen zum KMIP Server können nur gelöscht werden, nachdem der KMIP-Client deaktiviert wurde. Nach dem Löschen werden die entsprechenden Aufzeichnungen zu Verschlüsselungsschlüsseln auf dem NAS unbrauchbar.
  • Nach dem Löschen der Verbindungseinstellungen zum KMIP Server können alle verschlüsselten Freigabeordner, die zuvor ihre Verschlüsselungsschlüssel auf dem KMIP Server gespeichert haben, diese Schlüssel nicht mehr abrufen, selbst wenn der KMIP-Client später wieder aktiviert und mit demselben KMIP Server verbunden wird.

Weitere Informationen

QuTS hero h5.3.0 Benutzerhandbuch

War dieser Artikel hilfreich?

Ja. Nein.
Vielen Dank für Ihre Rückmeldung.

Bitte teilen Sie uns mit, wie dieser Artikel verbessert werden kann:

Wenn Sie zusätzliches Feedback geben möchten, fügen Sie es bitte unten ein.

Wählen Sie die Spezifikation

      Mehr anzeigen Weniger

      Diese Seite in anderen Ländern / Regionen:

      open menu
      back to top