Search

Hoe kan ik de KMIP-client gebruiken voor veilig sleutelbeheer?

Laatst gewijzigd op: 2025-06-09

Van toepassing zijnde producten

  • KMIP-client
  • QuTS hero h5.3.0 of latere versies

Over KMIP-client

Met KMIP-client kan uw NAS veilig encryptiesleutels voor opslagfuncties opslaan en ophalen door verbinding te maken met een externe KMIP-server (Key Management Interoperability Protocol). KMIP-client beheert als een agent de communicatie tussen opslagfuncties op de NAS, zoals gecodeerde gedeelde mappen en gecodeerde LUN's, maar ook de verbonden KMIP-server.

KMIP-client ondersteunt een één-op-één-verbinding, waardoor elke NAS tegelijk met een enkele KMIP-server verbinding kan maken. Na configuratie ervan, biedt het gecentraliseerd, veilig en conform beheer van encryptiesleutels voor opslagfuncties. Zo worden de integriteit en de toegankelijkheid van gecodeerde gegevens gewaarborgd.

Functies van KMIP-client

  • Remote opslaan en beheren van encryptiesleutels op een KMIP-server. Hiermee beperkt u het risico op onbevoegde toegang of verlies van sleutels op NAS-niveau.
  • Automatisch ophalen en toepassen van encryptiesleutels voor gecodeerde gedeelde mappen en LUN's, waardoor de beveiliging en gebruikerservaring worden verbeterd.
  • Integratie met een Key Management System (KMS) voor beveiligings- en nalevingsnormen op ondernemingsniveau voor codering van opslag.
  • Behoud van toegang tot gecodeerde LUN's en gedeelde mappen, zelfs na het opnieuw opstarten van het systeem, op voorwaarde dat KMIP-client en -server operationeel blijven.

KMIP-client installeren en configureren

Installeer de KMIP-client voor het inschakelen van services voor beheer van encryptiesleutels en configureer hem om beveiligde communicatie met een externe KMIP-server tot stand te brengen.

Vereisten

  • Meld aan op de NAS als beheerder.
  • Controleer of uw NAS draait op QuTS hero h5.3.0 of later.
  • Controleer of een KMIP-compatibel Key Management System (KMS) correct is geconfigureerd en klaar is om verbinding te maken met de NAS.
  • Configureer de KMS volgens de instructies van de leverancier en zorg dat KMIP-communicatie is ingeschakeld via de juiste poort, meestal 5696, tenzij anders opgegeven door de KMS-leverancier. Deze poort wordt gebruikt voor wederzijdse TLS (mTLS)-communicatie tussen KMIP-client en de KMIP-server.
  • Maak of importeer de vereiste certificaten op de KMIP-server.

KMIP-client installeren

  • Meld aan op de NAS als beheerder.
  • Open App Center.
  • Zoek de app met KMIP-client in het zoekveld.
  • Klik op KMIP-client.
  • Selecteer de frequentie voor update van app.
  • Klik op Installeren.
    App Center installeert KMIP-client op het apparaat.

KMIP-client openen

U heeft toegang tot de instellingen van KMIP-client, op de volgende manieren:

  • Configuratiescherm > Systeem Beveiliging > KMIP
  • Open KMIP-client. U wordt doorgestuurd naar de pagina met KMIP-instellingen in het Configuratiescherm.

KMIP-client-certificaten beheren

U kunt het KMIP-clientcertificaat beheren voor veilige, geverifieerde communicatie tussen uw NAS en een externe KMIP-server. Certificaten zijn nodig om de identiteit van beide apparaten te verifiëren en de via het netwerk uitgewisselde gegevens te coderen. U kunt hiervoor een nieuw certificaat op uw NAS genereren of een bestaand certificaat van uw lokale apparaat importeren. U kunt ook certificaatgegevens bekijken, zoals de status, vervaldatum en uitgevende instantie, en acties uitvoeren, zoals certificaten vervangen, downloaden of verwijderen voor veilige, ononderbroken KMIP-clientverbindingen.

Genereer een nieuw KMIP-clientcertificaat

  1. Open KMIP-client.
    KMIP-client stuurt u door naar de pagina van KMIP in het Configuratiescherm.
  2. Klik op Toevoegen, onder KMIP-clientcertificaat.
    Het venster KMIP-clientcertificaat toevoegen verschijnt.
  3. Selecteer Nieuw certificaat genereren.
  4. Klik op Toevoegen.
    Het systeem genereert een nieuw KMIP-certificaat.

Een aangepast certificaat importeren

  1. Open KMIP-client.
    KMIP-client stuurt u door naar de pagina van KMIP in het Configuratiescherm.
  2. Klik op Toevoegen, onder KMIP-clientcertificaat.
    Het venster KMIP-clientcertificaat toevoegen verschijnt.
  3. Selecteer Certificaat importeren.
  4. Klik in het gedeelte certificaatbeheer op Bladeren naast elk veld:
    • Certificaat: Selecteer het .pem certificaatbestand.
    • Persoonlijke sleutel: Selecteer het bijbehorende .key-bestand.
    • Tussenliggend certificaat (optioneel): Selecteer indien van toepassing, het tussencertificaatbestand .pem.
  5. Zoek in elk geval het juiste bestand in het dialoogvenster Bestandsselectie en klik op Open of de gelijkwaardige optie om de selectie te bevestigen.
  6. Klik op Toevoegen.
    Het systeem importeer het KMIP-certificaat en voegt het toe.

Certificaten beheren

  1. Open KMIP-client.
    KMIP-client stuurt u door naar de pagina van KMIP in het Configuratiescherm.
  2. U kunt de volgende taken uitvoeren.
    TaakBeschrijvingActie
    De status van certificaat bekijkenControleer de actuele status en de vervaldatum van het geïnstalleerde certificaat.Bekijk onder KMIP-clientcertificaat, de status en vervaldatum.
    Het certificaat vervangenUpload een nieuw certificaat om het huidige te vervangen.
    1. Klik onder KMIP-clientcertificaat op Vervangen.
      Het venster KMIP-clientcertificaat vervangen verschijnt.
    2. Kies Certificaat genereren of Certificaat importeren.
      Raadpleeg "Een aangepast certificaat importeren" voor meer informatie over het importeren van een KMIP-clientcertificaat.
    3. Klik op Vervangen.
    Het certificaat downloadenBewaar een kopie van uw actuele certificaat op uw apparaat.
    1. Klik onder KMIP-clientcertificaat, op Downloaden.
    2. Selecteer een of meer bestanden om te downloaden.
    3. Klik op Downloaden.
    Het certificaat verwijderenVerwijder het geïnstalleerde certificaat van het systeem.
    1. Klik onder KMIP-clientcertificaat op Verwijderen.
      Het venster voor bevestiging van de verwijdering verschijnt.
    2. Klik op Ja.

    KMIP-client voert de opgegeven actie uit.

Configureer en beheer uw verbindingen met KMIP-server.

Voor veilige communicatie tussen uw NAS en een externe KMIP-server, kunt u de instellingen voor KMIP-clientverbindingen configureren en beheren. Hierdoor kan het systeem encryptiesleutels veilig verwerken via het KMIP-protocol. De configuratie omvat het in- of uitschakelen van de KMIP Client, maar ook het instellen, bewerken en testen van de verbinding tussen de NAS en de KMIP-server. U kunt indien nodig ook de verbindingsinstellingen van de KMIP-server wissen om te zorgen dat uw beveiligingsinstellingen actueel blijven.

Belangrijk
  • De verbinding kan niet opgeslagen worden als de server offline of onbereikbaar is of geen KMIP-service uitvoert. Controleer het serveradres en de poort (standaard: 5696) en zorg dat KMIP-services ingeschakeld zijn.
  • Zowel op de NAS als op de KMIP-server moeten geldige, niet-verlopen certificaten zijn geïnstalleerd. De verbinding zal mislukken als het client- of servercertificaat ontbreekt, ongeldig is of verlopen is.
  • Verificatie zal mislukken als het clientcertificaat of de serverinstellingen verkeerd zijn geconfigureerd. Verifieer de clientreferenties, certificaattoewijzingen en verificatie-instellingen op beide apparaten voordat u verbinding probeert te maken.

De verbindingsinstellingen van de KMIP-server configureren

  1. Open KMIP-client.
    KMIP-client stuurt u door naar de pagina van KMIP in het Configuratiescherm.
  2. Klik op Configuratiewizard.
    Het venster Verbindingsinstellingen van KMIP-server verschijnt.
  3. Voer de hostnaam of het IP-adres van uw KMIP-server in
  4. Bepaal het poortnummer voor verbindingen met de KMIP-server met behulp van wederzijdse TLS. De standaard poort is 5696.
  5. Geef een herkenbaar label voor de KMIP-server op dat 0-50 tekens lang is.
  6. Kies een vertrouwd CA-certificaat om de identiteit van de KMIP-server tijdens de verbinding te verifiëren.
    Opmerking
    Dit is nodig als de server een zelfondertekend certificaat gebruikt dat niet is uitgegeven door een vertrouwde certificeringsinstantie.
  7. Klik op Verbinden.
    Het venster KMIP-servercertificaat vertrouwen verschijnt.
  8. Opmerking
    Klik op Bewerken in het gedeelte KMIP-server, om de verbindingsinstellingen van de KMIP-server opnieuw te configureren.
  9. Bekijk de details van certificaat en klik daarna op Vertrouwen.

De KMIP-clientservice in- of uitschakelen

  1. Open KMIP-client.
    KMIP-client stuurt u door naar de pagina van KMIP in het Configuratiescherm.
  2. Klik op het selectievakje naast KMIP-client inschakelen.
    Het systeem zal de KMIP-client-service inschakelen of uitschakelen.  

Test de connectiviteit met de KMIP-server

  1. Open KMIP-client.
    KMIP-client stuurt u door naar de pagina van KMIP in het Configuratiescherm.
  2. Klik op Verbinding testen in het gedeelte KMIP-server.
    Het systeem zal een verbindingstest initiëren tussen de client en de KMIP-server en werkt het veld Laatste verbinding bij met het laatste resultaat.

De verbindingsinstellingen van de KMIP-server opnieuw instellen

Belangrijk
Met het opnieuw instellen van de verbindingsinstellingen van de KMIP-server, zal het apparaat geen toegang meer hebben tot encryptiesleutels die eerder op de geconfigureerde KMIP-server zijn opgeslagen. Zorg dat er een veilige reservekopie of migratie van alle vereiste sleutels is gemaakt voordat u doorgaat.
  1. Open KMIP-client.
    KMIP-client stuurt u door naar de pagina van KMIP in het Configuratiescherm.
  2. Klik op Opnieuw instellen in het gedeelte KMIP-server.
    Er verschijnt een bevestigingsbericht.
  3. Klik op Bevestigen.
    Het systeem zal de verbindingsinstellingen van de KMIP-server opnieuw instellen.

Gebruikscenario's voor KMIP-client met Opslagbeheer

  • Bewaar encryptiesleutels voor LUN's en gedeelde mappen
    • Schakel in de pagina Algemene instellingen in Opslagbeheer, de optie Bewaar de encryptiesleutel op KMIP Server om encryptiesleutels te bewaren op de KMIP-server. Dit vereist een actieve verbinding met KMIP-client. Als deze optie is ingeschakeld, kunnen gecodeerde gedeelde mappen en LUN's encryptiesleutel opslaan en ophalen via de KMIP-client. Deze sleutels kunnen dan automatisch worden ontgrendeld bij het opstarten via de KMIP-service. Raadpleeg voor meer informatie, het onderwerp "Algemene instellingen voor opslag" in het hoofdstuk Opslagbeheer in de QuTS hero Gebruikershandleiding.
  • De opgeslagen KMIP-encryptiesleutel automatisch verwijderen bij het verwijderen van een gecodeerde LUN of gedeelde map
    • Als de instelling Bewaar de encryptiesleutel op KMIP Server is ingeschakeld, zal als een gecodeerde gedeelde map wordt verwijderd, de bijbehorende encryptiesleutel van de KMIP-server worden verwijderd.
  • Een gecodeerde of LUN-gedeelde map automatisch ontgrendelen bij het opstarten van het systeem
    • Bij het maken van een nieuwe gecodeerde LUN of gedeelde map, kunt u ervoor kiezen om deze bij het opstarten te ontgrendelen via KMIP. Als de verbinding met de KMIP-server offline is, zal de optie Ontgrendelen met een encryptiesleutel opgeslagen op de KMIP-server uitgeschakeld worden. Raadpleeg "LUN-codering beheren" of "Codering van gedeelde map beheren" in het hoofdstuk Opslagbeheer in de QuTS hero Gebruikershandleiding.
Belangrijk
  • KMIP-client moet ingeschakeld zijn in Configuratiescherm > Beveiliging en de algemene instelling moet geactiveerd zijn in Opslagbeheer. Anders kunnen deze functies niet werken.
  • Zorg dat de verbinding tussen KMIP-client en de KMIP-server stabiel is, zodat u functies als sleutelopslag, ontgrendeling en encryptiebeheer kunt gebruiken.
  • KMIP-client kan niet uitgeschakeld worden als toepassingsfuncties actief gebruikmaken van KMIP-services.
  • De verbindingsinstellingen van de KMIP-server kunnen alleen worden gewist als KMIP Client is uitgeschakeld. Na het wissen, zijn de bijbehorende encryptiesleutels op de NAS onbruikbaar.
  • Na het wissen van de verbindingsinstellingen van de KMIP-server, kunnen gecodeerde gedeelde mappen waarvan de encryptiesleutels eerder op de KMIP-server waren opgeslagen, deze sleutels niet meer ophalen. Dit kan ook niet als de KMIP Client later opnieuw wordt ingeschakeld en opnieuw verbinding maakt met die KMIP-server.

Meer informatie

QuTS hero h5.3.0 Gebruikershandleiding

Was dit artikel nuttig?

Ja. Nee.
Bedankt voor uw feedback.

Vertel ons a.u.b. hoe we dit artikel kunnen verbeteren.

Hieronder kunt u eventuele aanvullende feedback toevoegen.

Kies specificatie

      Toon meer Minder

      Deze website in andere landen/regio's:

      open menu
      back to top