Search

Använda KMIP-klient för säker nyckelhantering

Senaste ändringsdatum: 2025-06-09

Berörda produkter

  • KMIP-klient
  • QuTS hero h5.3.0 eller senare versioner

Om KMIP-klient

KMIP-klient gör det möjligt för NAS-enheten att lagra och hämta krypteringsnycklar för lagringsfunktioner säkert genom att ansluta till en fjärrserver för Key Management Interoperability Protocol (KMIP). KMIP-klient agerar som agent när den hanterar kommunikationen mellan lagringsfunktioner på NAS-enheten, såsom krypterade delade mappar och krypterade LUN-enheter och den anslutna KMIP-servern.

KMIP-klient stöder en till en-anslutning, vilket gör att varje NAS-enhet kopplar upp sig mot en enda KMIP-server åt gången. När den är konfigurerad tillhandahåller den centraliserad, säker och kompatibel hantering av krypteringsnycklar för lagringsfunktioner och säkerställer integritet och tillgänglighet för krypterad data.

KMIP-klientfunktioner

  • Fjärrlagra och fjärrhantera krypteringsnycklar på en KMIP-server för att minimera risken för obehörig åtkomst eller nyckelförlust på NAS-nivå.
  • Automatisera hämtning och användning av krypteringsnycklar för krypterade delade mappar och LUN-enheter för ökad säkerhet och användarvänlighet.
  • Integrera med ett KMS (nyckelhanteringssystem) för att uppfylla säkerhets- och efterlevnadsstandarder på företagsnivå för lagringskryptering.
  • Upprätthåll åtkomst till krypterade LUN-enheter och delade mappar även efter systemomstarter, förutsatt att KMIP-klient och servern förblir i drift.

Installera och konfigurera KMIP-klient

Installera KMIP-klient för att aktivera hanteringstjänster för krypteringsnycklar och konfigurera den för att upprätta säker kommunikation till en fjärransluten KMIP-server.

Krav

  • Logga in på NAS-enheten som administratör.
  • Kontrollera att NAS-enheten kör QuTS hero h5.3.0 eller senare.
  • Bekräfta att ett KMIP-kompatibelt KMS (nyckelhanteringssystem) är korrekt konfigurerat och klart att ansluta till NAS-enheten.
  • Konfigurera KMS enligt leverantörens anvisningar och säkerställ att KMIP-kommunikation är aktiverad över lämplig port, vanligen 5696, om inte KMS-leverantören inte anger annat. Den här porten används till mTLS-kommunikation (mutual TLS) mellan KMIP-klient och KMIP-servern.
  • Skapa eller importera nödvändig certifikat på KMIP-servern.

Installera KMIP-klient

  • Logga in på NAS-enheten som administratör.
  • Öppna App Center.
  • Hitta appen genom att söka efter KMIP-klient i sökfältet.
  • Klicka på KMIP-klient.
  • Välj appens uppdateringsfrekvens.
  • Klicka på Installera.
    App Center installerar KMIP-klient på enheten.

Åtkomst till KMIP-klient

Det går att få åtkomst till KMIP-klients inställningar med följande alternativ:

  • Kontrollpanelen > System Säkerhet > KMIP
  • Öppna programmet KMIP-klient som omdirigerar dig till KMIP-inställningssidan på Kontrollpanelen.

Hantera KMIP-klientcertifikat

Det går att hantera KMIP-klientcertifikatet för att säkerställa säker och autentiserad kommunikation mellan NAS-enheten och en fjärransluten KMIP-server. Certifikat krävs för att bekräfta identiteten för både enheter och kryptera data som utbyts över nätverket. Det går att generera ett nytt certifikat på NAS-enheten i det här syftet eller att importera ett befintligt certifikat på den lokala enheten. Det går även att visa certifikatinformation såsom status, utgångsdatum och utfärdande myndighet och utföra åtgärder såsom att ersätta, ladda ned eller radera certifikat för att upprätthålla säkra och oavbrutna KMIP-klientanslutningar.

Generera ett nytt KMIP-klientcertifikat

  1. Öppna KMIP-klienten.
    KMIP-klienten dirigerar om till sidan KMIP på Kontrollpanelen.
  2. Klicka på Lägg till under KMIP-klientcertifikat.
    Fönstret Lägg till KMIP-klientcertifikat öppnas.
  3. Välj Generera nytt certifikat.
  4. Klicka på Lägg till.
    Systemet genererar ett nytt KMIP-certifikat.

Importera anpassat certifikat

  1. Öppna KMIP-klienten.
    KMIP-klienten dirigerar om till sidan KMIP på Kontrollpanelen.
  2. Klicka på Lägg till under KMIP-klientcertifikat.
    Fönstret Lägg till KMIP-klientcertifikat öppnas.
  3. Välj Importera certifikat.
  4. Klicka på Bläddra intill varje fält i certifikathanteringsavsnittet:
    • Certifikat: Välj certifikatfilen .pem.
    • Privat nyckel: Välj motsvarande privata nyckelfil .key.
    • Mellanliggande certifikat (valfritt): Välj den mellanliggande certifikatfilen .pem, om tillämpligt.
  5. Sök i varje fall efter den lämpliga filen i filvalsdialogrutan och klicka på Öppna eller motsvarande alternativ för att bekräfta valet.
  6. Klicka på Lägg till.
    Systemet importerar och lägger till KMIP-certifikatet.

Hantera certifikat

  1. Öppna KMIP-klienten.
    KMIP-klienten dirigerar om till sidan KMIP på Kontrollpanelen.
  2. Det går att utföra följande uppgifter.
    UppgiftBeskrivningÅtgärd
    Visa certifikatstatusKontrollera det installerade certifikatets aktuella status och utgångsdatum.Visa status och utgångsdatum under KMIP-klientcertifikat.
    Ersätta säkerhetscertifikatetLadda upp ett nytt certifikat för att uppdatera det befintliga.
    1. Klicka på Ersätta under KMIP-klientcertifikat.
      Fönstret Ersätt KMIP-klientcertifikat öppnas.
    2. Välj Skapa certifikat eller Importera certifikat.
      Mer information om att importera KMIP-klientcertifikat finns i Importera anpassat certifikat.
    3. Klicka på Ersätt.
    Ladda ned certifikatetSpara en kopia av det aktuella certifikatet på enheten.
    1. Klicka på Ladda ned under KMIP-klientcertifikat.
    2. Markera en eller flera filer att ladda ned.
    3. Klicka på Ladda ned.
    Radera certifikatetTa bort det installerade certifikatet från systemet.
    1. Klicka på Radera under KMIP-klientcertifikat.
      Bekräftelsefönstret för radering öppnas.
    2. Klicka på Ja.

    KMIP-klient utför den angivna åtgärden.

Konfigurera och hantera KMIP-serveranslutningar

Säkerställ säker kommunikation mellan NAS-enheten och fjärr-KMIP-servern genom att konfigurera och hantera KMIP-klientanslutningens inställningar. Det här gör det möjligt för systemet att hantera krypteringsnycklar säkert genom KMIP-protokollet. Konfigurationen inkluderar att aktivera eller inaktivera KMIP-klient, samt att ställa in, redigera och testa anslutningen mellan NAS-enheten och KMIP-servern. Det går även att rensa KMIP-serveranslutningens inställningar när det blir nödvändigt för att säkerställa att säkerhetsinställningarna förblir aktuella.

Viktigt!
  • Det går inte att spara anslutningen om servern är offline, inte går att nå eller inte kör KMIP-tjänsten. Verifiera serveradressen, port (standard: 5696) och säkerställ att KMIP-tjänster är aktiverade.
  • Både NAS-enheten och KMIP-servern måste ha giltiga, icke-utgångna certifikat installerade. Anslutningen går inte att upprätta om klientens eller serverns certifikat saknas, är ogiltigt eller har gått ut.
  • Det går inte att autentisera om klientcertifikatet eller serverinställningarna är felkonfigurerade. Bekräfta klientens autentiseringsuppgifter, certifikattilldelningar och autentiseringsinställningar på båda enheterna innan du försöker ansluta.

Konfigurera KMIP-serverns anslutningsinställningar

  1. Öppna KMIP-klienten.
    KMIP-klienten dirigerar om till sidan KMIP på Kontrollpanelen.
  2. Klicka på Konfigurationsguiden.
    Fönstret KMIP-serveranslutningsinställningar öppnas.
  3. Ange KMIP-serverns värdnamn eller IP-adress.
  4. Definiera KMIP-serveranslutningarnas portnummer genom ömsesidig TLS. Standardporten är 5696.
  5. Ange en identifierbar etikett för KMIP-servern som är 0-50 tecken lång.
  6. Välj ett betrott CA-certifikat för att autentisera KMIP-serverns identitet under anslutning.
    Obs!
    Det här är nödvändigt om servern använder ett självsignerat certifikat som inte har utfärdats av en betrodd certifikatutfärdare.
  7. Klicka på Anslut.
    Fönstret Gör KMIP-servercertifikatet betrott öppnas.
  8. Obs!
    Konfigurera om KMIP-serverns anslutningsinställningar genom att klicka på Redigera i avsnittet KMIP-server.
  9. Granska certifikatinformationen och klicka sedan på Gör betrodd.

Aktivera eller inaktivera tjänsten KMIP-klient

  1. Öppna KMIP-klienten.
    KMIP-klienten dirigerar om till sidan KMIP på Kontrollpanelen.
  2. Klicka i kryssrutan intill Aktivera KMIP-klient.
    Systemet aktiverar eller inaktiverar tjänsten KMIP-klient.  

Testa KMIP-serverns anslutning

  1. Öppna KMIP-klienten.
    KMIP-klienten dirigerar om till sidan KMIP på Kontrollpanelen.
  2. Klicka på Testa anslutning i avsnittet KMIP-server.
    Systemet startar ett anslutningstest mellan klienten och KMIP-servern och uppdaterar fältet Senaste anslutning med det senaste resultatet.

Återställa KMIP-serverns anslutningsinställningar

Viktigt!
Om KMIP-serverns anslutningsinställningar återställs förhindras enheten från åtkomst till tidigare lagrade krypteringsnycklar på den konfigurerade KMIP-servern. Säkerställ att alla nödvändiga nycklar är säkerhetskopierade eller migrerade innan du fortsätter.
  1. Öppna KMIP-klienten.
    KMIP-klienten dirigerar om till sidan KMIP på Kontrollpanelen.
  2. Klicka på Återgå i avsnittet KMIP-server.
    Ett bekräftelsemeddelande visas.
  3. Klicka på Bekräfta.
    Systemet återställer KMIP-serverns anslutningsinställningar.

Användningsfall för KMIP-klient med Lagringshanteraren

  • Lagra krypterade nycklar till LUN-enheter och delade mappar
    • Aktivera alternativet Lagra krypteringsnyckeln på KMIP-servern på sidan Globala Inställningar i Lagringshanteraren för att lagra krypteringsnycklar på KMIP-servern. Det här kräver en aktiv KMIP-klientanslutning. När funktionen är aktiverad kan krypterade delade mappar och LUN-enheter lagra och hämta krypteringsnycklar genom KMIP-klient och låsas upp automatiskt vid uppstart genom KMIP-tjänsten. Mer information finns i ämnet Lagra globala inställningar i kapitlet Lagringshanteraren i QuTS heros bruksanvisning.
  • Ta automatiskt bort den lagrade KMIP-krypteringsnyckeln när du raderar en krypterad LUN eller delad mapp
    • Om inställningen Lagra krypteringsnyckeln på KMIP-servern är aktiverad tas den tillhörande krypteringsnyckeln bort från KMIP-servern när en krypterad delad mapp raderas.
  • Låsa upp en krypterad LUN eller delad mapp automatiskt vid systemstart
    • Det går att välja att låsa upp den vid uppstart genom KMIP när du skapar en ny krypterad LUN eller delad mapp. Om anslutningen till KMIP-servern ligger nere är alternativet Lås upp med krypteringsnyckel lagrad på KMIP-server inaktiverat. Mer information finns i Hantera LUN-kryptering eller Hantera kryptering av delade mappar i kapitlet Lagringshanteraren i QuTS heros bruksanvisning.
Viktigt!
  • KMIP-klient måste vara aktiverat i Kontrollpanelen > Säkerhet och den globala inställningen måste aktiveras i Lagringshanteraren för att aktivera dessa funktioner.
  • Säkerställ att anslutningen mellan KMIP-klient och KMIP-servern är stabil för att använda funktioner såsom nyckellagring, upplåsning och krypteringshantering.
  • Det går inte att inaktivera KMIP-klient när programfunktioner använder KMIP-tjänster aktivt.
  • Det går endast att rensa KMIP-serverns anslutningsinställningar när KMIP-klient har inaktiverats. När de har rensats blir associerade krypteringsnyckelposter på NAS-enheten oanvändbara.
  • När KMIP-serverns anslutningsinställningar har rensats kan inte krypterade delade mappar som tidigare lagrade sina krypteringsnycklar på KMIP-servern inte längre hämta dessa nycklar, även om KMIP-klient återaktiveras och återansluts till samma KMIP-server senare.

Läs mer

Bruksanvisning till QuTS hero h5.3.0

Var den här artikeln till hjälp?

Ja. Nej.
Tack för din feedback.

Berätta för oss hur vi kan förbättra artikeln:

Ge oss fler synpunkter genom att skriva dem nedan.

Välj specifikation

      Visa fler Färre

      Denna webbplats i andra länder/regioner:

      open menu
      back to top