Search

Come usare il client KMIP per la gestione della chiave di sicurezza?

Ultima data di modifica 2025-06-09

Prodotti applicabili

  • Client KMIP
  • QuTS hero h5.3.0 o versioni successive

Informazioni sul client KMIP

Il client KMIP consente al NAS di archiviare e recuperare in modo sicuro le chiavi di crittografia per le funzioni di archiviazione tramite il collegamento a un server KMIP (Key Management Interoperability Protocol) remoto. Agendo da agente, il client KMIP gestisce la comunicazione tra le funzioni di archiviazione sul NAS, come ad esempio le cartelle condivise crittografate e il LUN crittografati, e il server KMIP collegato.

Il client KMIP supporta la connessione uno a uno che consente a ciascun NAS di collegarsi a un singolo server KMIP alla volta. Una volta configurato, offre una gestione delle chiave di crittografia centralizzata, sicura e conforme per le funzioni di archiviazione, garantendo l’integrità e l’accessibilità dei dati crittografati.

Funzioni del client KMIP

  • Archiviare e gestire le chiavi di crittografia da remoto su un server KMIP per ridurre il rischio di accesso non autorizzato o la perdita della chiave a livello NAS.
  • Recupero e applicazione automatica della chiave di crittografia per le cartelle condivise e LUN crittografati per migliorare le sicurezza e l’esperienza utente.
  • Integrazione con un KMS (Key Management System) per soddisfare gli standard di sicurezza e conformità a livello enterprise per la crittografia dell’archiviazione.
  • Mantenere l’accesso ai LUN e cartelle condivise crittografate anche dopo il riavvio del sistema, a condizione che il client KMIP e il server restino operativi.

Installare e configurare il client KMIP

Installare il client KMIP per abilitare i servizi di gestione della chiave di crittografia e configurarli per creare una comunicazione sicura con un server KMIP remoto.

Prerequisiti

  • Accedere al NAS come amministratore.
  • Verificare che sul NAS sia in esecuzione QuTS hero h5.3.0 o successivo.
  • Confermare che il KMS (Key Management System) conforme a KMIP sia configurato e pronto per il collegamento con il NAS.
  • Configurare il KMS seguendo le istruzioni del fornitore, e assicurarsi che la comunicazione KMIP sia abilitata tramite la porta adeguata, in genere 5696, a meno di diversamente specificato dal fornitore del KMS. Questa porta è utilizzata per la comunicazione TLS (mTLS) reciproca tra il client KMIP e il server KMIP.
  • Creare o importare i certificati necessari nel server KMIP.

Installare il client KMIP

  • Accedere al NAS come amministratore.
  • Aprire App Center.
  • Individuare l’app cercando KMIP Client nel campo di ricerca.
  • Fare clic su client KMIP.
  • Selezionare la frequenza di aggiornamento dell’applicazione.
  • Fare clic su Installa.
    App Center installa il client KMIP sul dispositivo.

Accedere al client KMIP

È possibile accedere alle impostazioni del client KMIP con le seguenti opzioni:

  • Pannello di controllo > Sistema > Sicurezza > KMIP
  • Aprire l'applicazione client KMIP che reindirizza alla pagina impostazioni KMIP nel Pannello di controllo.

Gestire i certificati del client KMIP

È possibile gestire il certificato client KMIP per garantire una comunicazione sicura e autenticata tra il NAS e il server KMIP remoto. I certificati sono richiesti per verificare l’identità di entrambi i dispositivi e crittografare i dati scambiati tramite la rete. È possibile generare un nuovo certificato sul NAS per questo scopo, o importare un certificato esistente dal dispositivo locale. Inoltre, è possibile visualizzare i dettagli del certificato come lo stato, la data di scadenza e l’autorità di emissione, ed eseguire azioni come la sostituzione, download o eliminazione dei certificati per mantenere le connessioni client KMIP sicure e senza interruzioni.

Generare un nuovo certificato client KMIP

  1. Aprire il client KMIP.
    Il client KMIP reindirizza alla pagina KMIP nel Pannello di controllo.
  2. Fare clic su Aggiungi, in Certificato client KMIP.
    Viene visualizzata la finestra Aggiungi certificato client KMIP.
  3. Selezionare Genera nuovo certificato.
  4. Fare clic su Aggiungi.
    Il sistema genera un nuovo certificato KMIP.

Importare un certificato personalizzato

  1. Aprire il client KMIP.
    Il client KMIP reindirizza alla pagina KMIP nel Pannello di controllo.
  2. Fare clic su Aggiungi, in Certificato client KMIP.
    Viene visualizzata la finestra Aggiungi certificato client KMIP.
  3. Selezionare Importa certificato.
  4. Nella sezione per la gestione del certificato, fare clic su Sfoglia accanto a ciascun campo:
    • Certificato: selezionare il file del certificato .pem.
    • Chiave privata: selezionare il file della chiave privata .key corrispondente.
    • Certificato intermedio (opzionale): se applicabile, selezionare il file del certificato intermedio .pem.
  5. In ogni caso, individuare il file adeguato nella finestra di selezione del file e fare clic su Apri od opzione equivalente per confermare la selezione.
  6. Fare clic su Aggiungi.
    Il sistema importa e aggiunge il certificato KMIP.

Gestire i certificati

  1. Aprire il client KMIP.
    Il client KMIP reindirizza alla pagina KMIP nel Pannello di controllo.
  2. È possibile eseguire le seguenti attività.
    AttivitàDescrizioneAzione
    Visualizzare lo stato del certificatoVerificare lo stato attuale e la data di scadenza del certificato installato.In Certificato client KMIP, visualizzare lo stato e la data di scadenza.
    Sostituire il certificatoCaricare un nuovo certificato per aggiornare quello esistente.
    1. In Certificato client KMIP, fare clic su Sostituisci.
      Viene visualizzata la finestra Sostituisci certificato client KMIP.
    2. Selezionare Genera certificato o Importa certificato.
      Per i dettagli sull’importazione di un certificato client KMIP, consultare “Importare un certificato personalizzato”.
    3. Fare clic su Sostituisci.
    Scaricare il certificatoSalvare una copia del certificato attuale sul dispositivo.
    1. In Certificato client KMIP, fare clic su Scarica.
    2. Selezionare uno o più file da scaricare.
    3. Fare clic su Scarica.
    Eliminare un certificatoRimuovere il certificato installato dal sistema.
    1. In Certificato client KMIP, fare clic su Elimina.
      Viene visualizzata la finestra di conferma dell’eliminazione.
    2. Fare clic su .

    Il client KMIP esegue l'azione specificata.

Configurare e gestire le connessioni del server KMIP

Per garantire una comunicazione sicura tra il NAS e un server KMIP remoto, è possibile configurare e gestire le impostazioni della connessione del client KMIP. Ciò consente al sistema di gestire in modo sicuro le chiavi di crittografia tramite il protocollo KMIP. Il processo di configurazione include l’abilitazione o disabilitazione del client KMIP, oltre alla configurazione, modifica e test della connessione tra il NAS e il server KMIP. Inoltre, è possibile eliminare le impostazioni di connessione del server KMIP quando necessario per garantire che le impostazioni di sicurezza siano attuali.

Importante
  • La connessione non può essere salvata se il server è offline, non raggiungibile o non è in esecuzione un servizio KMIP. Verificare l’indirizzo del server, la porta (predefinita: 5696), e assicurarsi che i servizi KMIP siano abilitati.
  • Sia sul NAS che sul server KMIP devono essere installati certificati validi e non scaduti. La connessione sarà assente se il certificato del client o del server è mancante, non valido o scaduto.
  • L’autenticazione non riesce se il certificato client o le impostazioni del server non sono configurate correttamente. Verificare le credenziali del client, le assegnazioni dei certificati e le impostazioni di autenticazione su entrambi i dispositivi prima di tentare la connessione.

Configurare le impostazioni di connessione del server KMIP

  1. Aprire il client KMIP.
    Il client KMIP reindirizza alla pagina KMIP nel Pannello di controllo.
  2. Fare clic su Procedura guidata di configurazione.
    Viene visualizzata la finestra Impostazioni connessione server KMIP.
  3. Inserire nome host e indirizzo IP del server KMIP.
  4. Definire il numero di porta per le connessioni del server KMIP usando TLS reciproco. La porta predefinita è 5696.
  5. Inserire un etichetta di identificazione per il server KMIP lunga da 0 a 50 caratteri.
  6. Selezionare un certificato CA attendibile per autenticare l’identità del server KMIP durante la connessione.
    Nota
    È necessario se il server utilizza un certificato auto firmato che non è emesso da un autorità di certificazione affidabile.
  7. Fare clic su Connetti.
    Viene visualizzata la finestra Rendere attendibile il certificato server KMIP.
  8. Nota
    Per configurare nuovamente le impostazioni della connessione del server KMIP, fare clic su Modifica nella sezione server KMIP.
  9. Rivedere i dettagli del certificato e fare clic su Rendi attendibile.

Abilitare o disabilitare il servizio client KMIP

  1. Aprire il client KMIP.
    Il client KMIP reindirizza alla pagina KMIP nel Pannello di controllo.
  2. Fare clic sulla casella di spunta accanto a Abilita client KMIP.
    Il sistema abilita o disabilita il servizio client KMIP.  

Testare la connettività del server KMIP

  1. Aprire il client KMIP.
    Il client KMIP reindirizza alla pagina KMIP nel Pannello di controllo.
  2. Fare clic su Test connessione nella sezione del server KMIP.
    Il sistema inizializza un test di connessione tra il client e il server KMIP e aggiorna il campo Ultima connessione con l’ultimo risultato.

Reimpostare le impostazioni di connessione del server KMIP

Importante
Il ripristino delle impostazioni di connessione del server KMIP impedisce al dispositivo di accedere a qualsiasi chiave di crittografia archiviata in precedenza sul server KMIP configurato. Assicurarsi di aver eseguito il backup e la migrazione di tutte le chiavi richieste prima di continuare.
  1. Aprire il client KMIP.
    Il client KMIP reindirizza alla pagina KMIP nel Pannello di controllo.
  2. Fare clic su Reimposta nella sezione del server KMIP.
    Viene visualizzato un messaggio di conferma.
  3. Fare clic su Conferma.
    Il sistema ripristina le impostazioni di connessione del server KMIP.

Casi di utilizzo del client KMIP con Gestione archiviazione

  • Archiviare le chiavi crittografate per LUN e cartelle condivise
    • Nella pagina Impostazioni globali in Gestione archiviazione, abilitare l’opzione Archivia la chiave di crittografia sul server KMIP per archiviare le chiavi di crittografia sul server KMIP. Richiede una connessione client KMIP attiva. Una volta abilitata, le cartelle condivise e i LUN crittografati possono essere archiviare e recuperare le chiavi di crittografia tramite il client KMIP e possono essere sbloccate automaticamente all’avvio tramite il servizio KMIP. Per informazioni, consultare “Impostazioni globali dell'archiviazione” nel capitolo Gestione archiviazione nella Guida utente QuTS hero.
  • Rimuovere automaticamente la chiave di crittografia KMIP archiviata quando si elimina un LUN o cartella condivisa crittografata
    • Se è abilitata l’impostazione Archivia la chiave di crittografia sul server KMIP, quando viene eliminata una cartella condivisa crittografata, la chiave di crittografia associata sarà rimossa dal server KMIP.
  • Sbloccare automaticamente una cartella condivisa o LUN crittografato all’avvio del sistema
    • Durante la creazione di un nuovo LUN o cartella condivisa crittografata, è possibile scegliere di sbloccarla all’avvio tramite KMIP. Se la connessione con il server KMIP è disattiva, l’opzione Sblocca con la chiave di crittografia archiviata nel server KMIP sarà disabilitata. Per informazioni, consultare “Gestione della crittografia LUN” o “Gestione della crittografia di cartelle condivise” nel capitolo Gestione archiviazione nella Guida utente QuTS hero.
Importante
  • Il client KMIP deve essere abilitato in Pannello di controllo > Sicurezza e le impostazioni globali devono essere attivate in Gestione archiviazione per usare queste funzioni.
  • Assicurarsi che la connessione tra il client KMIP e il server KMIP sia stabile per usare funzioni come l’archiviazione della chiave, lo sblocco e la gestione della crittografia.
  • Il client KMIP non può essere disabilitato mentre le funzioni dell’applicazione stanno utilizzando attivamente i servizi KMIP.
  • Le impostazioni di connessione del server KMIP possono essere cancellate solo dopo aver disabilitato il client KMIP. Una volta cancellate, i record della chiave di crittografia associata sul NAS non saranno utilizzabili.
  • Una volta cancellate le impostazioni di connessione del server KMIP, qualsiasi cartella condivisa crittografata le cui chiavi di crittografia erano archiviate sul server KMIP non potranno recuperare queste chiavi, anche se il client KMIP viene riabilitato e riconnesso allo stesso server KMIP.

Ulteriori letture

Guida utente QuTS hero h5.3.0

Questo articolo è stato utile?

Sì. No.
Grazie per il feedback.

Informarci su come può essere migliorato l'articolo:

Per offrire un’ulteriore feedback, includerlo di seguito.

Scegliere le caratteristiche

      Mostra di più Meno

      Questo sito in altre nazioni/regioni

      open menu
      back to top