Search

Comment utiliser le Client KMIP pour une gestion sécurisée des clés ?

Date de la dernière modification : 2025-06-09

Produits applicables

  • Client KMIP
  • QuTS hero h5.3.0 ou versions ultérieures

À propos du Client KMIP

Le Client KMIP permet à votre NAS de stocker et de récupérer en toute sécurité les clés de chiffrement pour les fonctions de stockage en se connectant à un serveur KMIP (Key Management Interoperability Protocol) distant. En tant qu’agent, le Client KMIP gère la communication entre les fonctionnalités de stockage du NAS, telles que les dossiers partagés chiffrés et les LUN chiffrés, et le serveur KMIP connecté.

Le Client KMIP prend en charge une connexion un-à-un, permettant à chaque NAS de se connecter à un seul serveur KMIP à la fois. Une fois configuré, il offre une gestion centralisée, sécurisée et conforme des clés de chiffrement pour les fonctions de stockage, garantissant ainsi l’intégrité et l’accessibilité des données chiffrées.

Fonctionnalités du Client KMIP

  • Stockez et gérez les clés de chiffrement à distance sur un serveur KMIP, minimisant ainsi le risque d’accès non autorisé ou de perte de clés au niveau du NAS.
  • Automatisez la récupération et l’application des clés de chiffrement pour les dossiers partagés et les LUN chiffrés, améliorant ainsi la sécurité et l’expérience utilisateur.
  • Intégrez un système de gestion des clés (KMS) afin de respecter les normes de sécurité et de conformité de niveau entreprise en matière de chiffrement du stockage.
  • Maintenez l’accès aux LUN chiffrés et aux dossiers partagés même après le redémarrage du système, à condition que le Client KMIP et le serveur restent opérationnels.

Installer et configurer le Client KMIP

Installez le Client KMIP pour activer les services de gestion des clés de chiffrement, puis configurez-le pour établir une communication sécurisée avec un serveur KMIP distant.

Prérequis

  • Connectez-vous au NAS en tant qu’administrateur.
  • Vérifiez que votre NAS exécute QuTS hero h5.3.0 ou une version ultérieure.
  • Confirmez qu’un système de gestion des clés (KMS) compatible KMIP est correctement configuré et prêt à se connecter au NAS.
  • Configurez le KMS conformément aux instructions du fournisseur et assurez-vous que la communication KMIP est activée sur le port approprié, généralement 5696, sauf indication contraire du fournisseur du KMS. Ce port est utilisé pour la communication TLS mutuelle (mTLS) entre le Client KMIP et le serveur KMIP.
  • Créez ou importez les certificats nécessaires dans le serveur KMIP.

Installer le Client KMIP

  • Connectez-vous au NAS en tant qu’administrateur.
  • Ouvrez l’App Center.
  • Localisez l’appli en recherchant KMIP Client dans le champ de recherche.
  • Cliquez sur Client KMIP.
  • Sélectionnez la fréquence de mise à jour de l’appli.
  • Cliquez sur Installer.
    L’App Center installe le Client KMIP sur l’appareil.

Accéder au Client KMIP

Vous pouvez accéder aux paramètres du Client KMIP via les options suivantes :

  • Panneau de configuration > Système > Sécurité > KMIP.
  • Ouvrez l’application Client KMIP, qui vous redirigera vers la page des paramètres KMIP dans le Panneau de configuration.

Gérer les certificats Client KMIP

Vous pouvez gérer le certificat Client KMIP afin de garantir une communication sécurisée et authentifiée entre votre NAS et un serveur KMIP distant. Des certificats sont nécessaires pour vérifier l’identité des deux appareils et chiffrer les données échangées sur le réseau. Vous pouvez générer un nouveau certificat sur votre NAS à cette fin ou importer un certificat existant depuis votre appareil local. De plus, vous pouvez afficher les détails des certificats, tels que leur statut, leur date d’expiration et l’autorité qui les a émis, et effectuer des actions telles que le remplacement, le téléchargement ou la suppression de certificats afin de garantir la sécurité et la continuité des connexions des clients KMIP.

Générer un nouveau certificat Client KMIP

  1. Ouvrez le Client KMIP.
    Le Client KMIP vous redirigera vers la page KMIP dans le Panneau de configuration.
  2. Cliquez sur Ajouter, sous Certificat client KMIP.
    La fenêtre Ajouter un certificat client KMIP apparaît.
  3. Sélectionnez Générer un nouveau certificat.
  4. Cliquez sur Ajouter.
    Le système génère un nouveau certificat KMIP.

Importer un certificat personnalisé

  1. Ouvrez le Client KMIP.
    Le Client KMIP vous redirigera vers la page KMIP dans le Panneau de configuration.
  2. Cliquez sur Ajouter, sous Certificat client KMIP.
    La fenêtre Ajouter un certificat client KMIP apparaît.
  3. Sélectionnez Importer un certificat.
  4. Dans la section Gestion des certificats, cliquez sur Parcourir à côté de chaque champ :
    • Certificat : Sélectionnez le fichier de certificat .pem.
    • Clé privée : Sélectionnez le fichier de clé privée .key correspondante.
    • Certificat intermédiaire (optionnel) : S’il y a lieu, sélectionnez le fichier de certificat .pem intermédiaire.
  5. Dans chaque cas, localisez le fichier approprié dans la boîte de dialogue de sélection de fichiers et cliquez sur Ouvrir ou sur l’option équivalente pour confirmer la sélection.
  6. Cliquez sur Ajouter.
    Le système importe et ajoute le certificat KMIP.

Gérer les certificats

  1. Ouvrez le Client KMIP.
    Le Client KMIP vous redirigera vers la page KMIP dans le Panneau de configuration.
  2. Vous pouvez effectuer les tâches suivantes.
    TâcheDescriptionAction
    Afficher l’état du certificatVérifiez l’état actuel et la date d’expiration du certificat installé.Sous Certificat client KMIP, affichez l’état et la date d’expiration.
    Remplacer le certificatTransférez un nouveau certificat pour mettre à jour celui qui existe déjà.
    1. Sous Certificat client KMIP, cliquez sur Remplacer.
      La fenêtre Remplacer le certificat client KMIP apparaît.
    2. Sélectionnez Générer un certificat ou Importer un certificat.
      Pour des détails sur l’importation d’un certificat client KMIP, voir « Importer un certificat personnalisé ».
    3. Cliquez sur Remplacer.
    Télécharger le certificatEnregistrez une copie de votre certificat actuel sur votre appareil.
    1. Sous Certificat client KMIP, cliquez sur Télécharger.
    2. Sélectionnez un ou plusieurs fichiers à télécharger.
    3. Cliquez sur Télécharger.
    Supprimer le certificatSupprimez le certificat installé du système.
    1. Sous Certificat client KMIP, cliquez sur Supprimer.
      La fenêtre de confirmation de suppression apparaît.
    2. Cliquez sur Oui.

    Le Client KMIP effectue l’action spécifiée.

Configurer et gérer les connexions au serveur KMIP

Pour garantir la sécurité des communications entre votre NAS et un serveur KMIP distant, vous pouvez configurer et gérer les paramètres de connexion du Client KMIP. Cela permet au système de gérer en toute sécurité les clés de chiffrement via le protocole KMIP. Le processus de configuration comprend l’activation ou la désactivation du client KMIP, ainsi que la configuration, l’édition et le test de la connexion entre le NAS et le serveur KMIP. De plus, vous pouvez effacer les paramètres de connexion au serveur KMIP quand cela est nécessaire afin de garantir que vos paramètres de sécurité restent actuels.

Important
  • La connexion ne peut pas être enregistrée si le serveur est hors ligne, inaccessible ou n’exécute pas de service KMIP. Vérifiez l’adresse du serveur, le port (par défaut : 5696) et assurez-vous que les services KMIP sont activés.
  • Le NAS et le serveur KMIP doivent tous deux disposer de certificats valides et non expirés. La connexion échouera si le certificat du client ou du serveur est manquant, invalide ou expiré.
  • L’authentification échouera si le certificat du client ou les paramètres du serveur sont mal configurés. Vérifiez les identifiants du client, les affectations de certificats et les paramètres d’authentification sur les deux appareils avant de tenter la connexion.

Configurer les paramètres de connexion au serveur KMIP

  1. Ouvrez le Client KMIP.
    Le Client KMIP vous redirigera vers la page KMIP dans le Panneau de configuration.
  2. Cliquez sur Assistant de configuration.
    La fenêtre Paramètres de connexion au serveur KMIP apparaît.
  3. Entrez le nom d’hôte ou l’adresse IP de votre serveur KMIP.
  4. Définissez le numéro de port pour les connexions au serveur KMIP à l’aide du protocole TLS mutuel. Le numéro du port par défaut est 5696.
  5. Entrez un nom identifiable pour le serveur KMIP, composé de 0 à 50 caractères.
  6. Sélectionnez un certificat CA de confiance pour authentifier l’identité du serveur KMIP lors de la connexion.
    Remarque
    Ceci est nécessaire si le serveur utilise un certificat auto-signé, qui n’est pas émis par une autorité de certification de confiance.
  7. Cliquez sur Connecter.
    La fenêtre Faire confiance au certificat du serveur KMIP apparaît.
  8. Remarque
    Pour reconfigurer les paramètres de connexion au serveur KMIP, cliquez sur Modifier dans la section du serveur KMIP.
  9. Vérifiez les détails du certificat, puis cliquez sur Confiance.

Activer ou désactiver le service Client KMIP

  1. Ouvrez le Client KMIP.
    Le Client KMIP vous redirigera vers la page KMIP dans le Panneau de configuration.
  2. Cliquez sur la case à cocher à côté de Activer Client KMIP.
    Le système active ou désactive le service Client KMIP.  

Tester la connectivité du serveur KMIP

  1. Ouvrez le Client KMIP.
    Le Client KMIP vous redirigera vers la page KMIP dans le Panneau de configuration.
  2. Cliquez sur Tester la connexion dans la section Serveur KMIP.
    Le système lance un test de connexion entre le client et le serveur KMIP, puis met à jour le champ Dernière connexion avec le dernier résultat.

Réinitialiser les paramètres de connexion au serveur KMIP

Important
Réinitialiser les paramètres de connexion au serveur KMIP empêchera à l’appareil d’accéder aux clés de chiffrement précédemment stockées sur le serveur KMIP configuré. Assurez-vous que toutes les clés requises ont été sauvegardées ou migrées de manière sécurisée avant de continuer.
  1. Ouvrez le Client KMIP.
    Le Client KMIP vous redirigera vers la page KMIP dans le Panneau de configuration.
  2. Cliquez sur Réinitialiser dans la section du serveur KMIP.
    Un message de confirmation apparaît.
  3. Cliquez sur Confirmer.
    Le système réinitialise les paramètres de connexion au serveur KMIP.

Cas d’utilisation du client KMIP avec le Gestionnaire de stockage

  • Stocker les clés chiffrées pour les LUN et les dossiers partagés
    • Dans la page Paramètres globaux du Gestionnaire de stockage, activez l’option Stocker la clé de chiffrement sur le serveur KMIP pour stocker les clés de chiffrement sur le serveur KMIP. Cela nécessite une connexion Client KMIP active. Quand c’est activé, les dossiers partagés chiffrés et les LUN peuvent stocker et récupérer des clés de chiffrement via le client KMIP et être déverrouillés automatiquement au démarrage grâce au service KMIP. Pour des détails, voir le sujet « Paramètres globaux de stockage » dans le chapitre Gestionnaire de stockage dans le Guide de l’utilisateur de QuTS hero.
  • Supprimer automatiquement la clé de chiffrement KMIP stockée quand vous supprimez un dossier partagé ou LUN chiffré
    • Si le paramètre Stocker la clé de chiffrement sur le serveur KMIP est activé, quand un dossier partagé chiffré est supprimé, la clé de chiffrement associée est supprimée du serveur KMIP.
  • Déverrouiller automatiquement un dossier partagé ou LUN chiffré au démarrage du système
    • Quand vous créez un nouveau dossier partagé ou LUN chiffré, vous pouvez choisir de le déverrouiller au démarrage via KMIP. Si la connexion au serveur KMIP est interrompue, l’option Déverrouiller avec la clé de chiffrement stockée sur le serveur KMIP est désactivée. Pour des détails, voir « Gestion du chiffrement de LUN » ou « Gestion du chiffrement des dossiers partagés » dans le chapitre Gestionnaire de stockage dans le Guide de l’utilisateur de QuTS hero.
Important
  • Le Client KMIP doit être activé dans Panneau de configuration > Sécurité et le paramètre global doit être activé dans Gestionnaire de stockage pour que ces fonctionnalités puissent fonctionner.
  • Assurez-vous que la connexion entre le Client KMIP et le serveur KMIP est stable pour pouvoir utiliser des fonctions telles que le stockage de clés, le déverrouillage et la gestion du chiffrement.
  • Le Client KMIP ne peut pas être désactivé tant que des fonctions d’application utilisent activement les services KMIP.
  • Les paramètres de connexion au serveur KMIP ne peuvent être effacés qu’après la désactivation du Client KMIP. Une fois effacés, les clés de chiffrement associées sur le NAS deviennent inutilisables.
  • Après avoir effacé les paramètres de connexion au serveur KMIP, tous les dossiers partagés chiffrés qui stockaient auparavant leurs clés de chiffrement sur le serveur KMIP ne pourront plus récupérer ces clés, même si le client KMIP est réactivé ultérieurement et reconnecté au même serveur KMIP.

Lectures complémentaires

Guide de l'utilisateur de QuTS hero h5.3.0

Est-ce que cet article a été utile ?

Oui. Non.
Merci pour votre commentaire.

Veuillez nous indiquer comment améliorer cet article :

Si vous souhaitez fournir un commentaire supplémentaire, veuillez l’inclure ci-dessous.

Choisissez une spécification

      En voir davantage Moins

      Ce site est disponible dans d'autres pays/régions :

      open menu
      back to top