如何將 KMIP 用戶端作為安全金鑰管理?
最後修訂日期:
2025-06-09
適用產品
- KMIP 用戶端
- QuTS hero h5.3.0 以上版本
關於 KMIP 用戶端
KMIP 用戶端可讓 NAS 經由連線至遠端金鑰管理交互作業能力通訊協定 (KMIP) 伺服器,安全儲存並擷取用於儲存功能的加密金鑰。同時 KMIP 用戶端作為代理,會進行管理 NAS 儲存功能 (例如加密共用資料夾與加密 LUN) 與連線 KMIP 伺服器間的通訊。
KMIP 用戶端支援一對一連線,允許每個 NAS 一次連線至單一 KMIP 伺服器。一旦設置完成,其能夠為儲存功能提供集中、安全、合規的加密金鑰管理,確保加密資料的完整性與存取性。
KMIP 用戶端功能
- 在 KMIP 伺服器遠端儲存與管理加密金鑰,最大程度降低在 NAS 層級未經授權存取或金鑰遺失的風險。
- 自動擷取與應用加密共用資料夾及 LUN 的加密金鑰,提高安全性和使用者體驗。
- 整合金鑰管理系統 (KMS),滿足儲存加密的企業級安全性與合規標準。
- 只要 KMIP 用戶端與伺服器維持運作,即便在系統重新啟動後,也能保持對加密 LUN 及共用資料夾的存取。
安裝並配置 KMIP 用戶端
安裝 KMIP 用戶端以啟用加密金鑰管理服務,並與遠端 KMIP 伺服器建立安全通訊。
必備條件
- 請以管理員身分登入 NAS。
- 確認 NAS 是否執行 QuTS hero h5.3.0 以上版本。
- 確認符合 KMIP 的金鑰管理系統 (KMS) 已正確設定並預備與 NAS 連線。
- 根據供應商的說明配置 KMS,並確保透過適當的連接埠 (通常為 5696) 啟用 KMIP 通訊,除非 KMS 供應商另有規定。此連接埠用於 KMIP 用戶端與 KMIP 伺服器之間的雙向 TLS (mTLS) 通訊。
- 建立或匯入必要的憑證至 KMIP 伺服器。
安裝 KMIP 用戶端
- 請以管理員身分登入 NAS。
- 開啟[App Center]。
- 在搜尋欄位搜尋「
KMIP Client」以找到應用程式。 - 按一下[KMIP 用戶端]。
- 選擇應用程式更新頻率。
- 按一下[安裝]。
App Center 隨即在裝置安裝 KMIP 用戶端。
存取 KMIP 用戶端
您可以透過下列選項存取 KMIP 用戶端設定:
- [控制台]>[系統]>[安全性]>[KMIP]。
- 開啟 KMIP 用戶端應用程式,其會將您重新導向至控制台的 KMIP 設定頁面。
管理 KMIP 用戶端憑證
您可以透過管理 KMIP 用戶端憑證,確保 NAS 與遠端 KMIP 伺服器通訊的安全性並且通過驗證。兩個裝置的身分以及透過網路交換的加密資料,需透過憑證來驗證。為此,您可以在 NAS 產生新憑證,或從本機裝置匯入現有憑證。此外,您還可以查看憑證詳細資訊 (例如狀態、到期日與頒發機構),並執行替換、下載或刪除憑證等操作,以便維護安全性、保持不間斷的 KMIP 用戶端連線。
產生新 KMIP 用戶端憑證
- 開啟[KMIP 用戶端]。
[KMIP 用戶端]隨即重新導向至控制台的 KMIP 頁面。 - 按一下[KMIP 用戶端憑證]下的[新增]。
[新增 KMIP 用戶端憑證]視窗隨即顯示。
- 選擇[產生新憑證]。
- 按一下[新增]。
系統隨即產生新 KMIP 憑證。
匯入自訂憑證
- 開啟[KMIP 用戶端]。
[KMIP 用戶端]隨即重新導向至控制台的 KMIP 頁面。 - 按一下[KMIP 用戶端憑證]下的[新增]。
[新增 KMIP 用戶端憑證]視窗隨即顯示。 - 選擇[匯入憑證]。
- 在憑證管理區域,按一下每個欄位旁的[瀏覽]:
- 憑證:選擇
.pem憑證檔案。 - 私人金鑰:選擇對應的
.key私人金鑰檔案。 - 中繼憑證 (選用):如適用,選擇中繼
.pem憑證檔案。
- 憑證:選擇
- 在每個不同情況下,在檔案選擇對話方塊找到相應的檔案,然後按一下[開啟](或同等選項) 以確認選擇。
- 按一下[新增]。
系統隨即匯入並新增 KMIP 憑證。
管理憑證
- 開啟[KMIP 用戶端]。
[KMIP 用戶端]隨即重新導向至控制台的 KMIP 頁面。 - 您可以執行以下任一個任務。
任務 說明 動作 查看憑證狀態 檢查已安裝憑證的當前狀態與到期日。 查看[KMIP 用戶端憑證]底下的狀態與到期日。 取代憑證 上傳新憑證以更新現有憑證。 - 按一下[KMIP 用戶端憑證]下方的[替換]。
[替換 KMIP 用戶端憑證]視窗隨即顯示。 - 選擇[產生憑證]或[匯入憑證]。
關於匯入 KMIP 用戶端憑證的詳細資訊,請參閱「匯入自訂憑證」。 - 按一下[替換]。
下載憑證 儲存當前憑證副本至您的裝置。 - 按一下[KMIP 用戶端憑證]下方的[下載]。
- 選擇一或多個檔案來下載。
- 按一下[下載]。
刪除憑證 從系統移除已安裝的憑證。 - 按一下[KMIP 用戶端憑證]下方的[刪除]。
刪除確認視窗隨即顯示。 - 按一下[是]。
KMIP 用戶端隨即執行指定的動作。 - 按一下[KMIP 用戶端憑證]下方的[替換]。
配置並管理 KMIP 伺服器連線
為確保 NAS 與遠端 KMIP 伺服器之間的安全通訊,您可以設置並管理 KMIP 用戶端連線設定,讓系統能夠透過 KMIP 協定安全處理加密金鑰。設置流程包括啟用或停用 KMIP 用戶端,以及設定、編輯與測試 NAS 與 KMIP 伺服器之間的連線。此外,您可以在必要時清除 KMIP 伺服器連線設定,以確保您的安全性設定保持在最新狀態。
重要事項
- 如果伺服器處於離線、無法存取或未執行 KMIP 服務,則無法儲存連線。驗證伺服器位址、連接埠 (預設:5696),並確保 KMIP 服務已啟用。
- NAS 與 KMIP 伺服器都必須安裝有效、未過期的憑證。如果用戶端或伺服器憑證遺失、無效或過期,連線將會失敗。
- 如果用戶端憑證或伺服器設置錯誤,身分驗證將會失敗。請在嘗試連線之前,先行驗證兩個裝置的用戶端憑證、憑證指派與驗證設定。
配置 KMIP 伺服器連線設定
- 開啟[KMIP 用戶端]。
[KMIP 用戶端]隨即重新導向至控制台的 KMIP 頁面。 - 按一下[設定精靈]。
[KMIP 伺服器連線設定]視窗隨即顯示。
- 輸入 KMIP 伺服器的主機名稱或 IP 位址。
- 定義使用雙向 TLS 的 KMIP 伺服器連接埠號。預設通訊埠為 5696。
- 輸入 KMIP 伺服器的可識別標籤,長度為 0 至 50 個字元。
- 選擇受信任 CA 憑證,以在連線期間驗證 KMIP 伺服器的身分。備註如果伺服器使用非可信憑證授權機關所核發的自我簽署憑證,這是必要的步驟。
- 按一下[連線]。
[信任 KMIP 伺服器憑證]視窗隨即顯示。 - 備註若要重新編輯 KMIP 伺服器連線設定,請按一下 KMIP 伺服器區域的[編輯]。
- 檢視憑證詳細資訊,然後按一下[信任]。
啟用或停用 KMIP 用戶端服務
測試 KMIP 伺服器連線
- 開啟[KMIP 用戶端]。
[KMIP 用戶端]隨即重新導向至控制台的 KMIP 頁面。 - 按一下 KMIP 伺服器區域的[測試連線]。
系統隨即在用戶端與 KMIP 伺服器之間啟動連線測試,並以最新結果更新[上次連線]欄位。
重設 KMIP 伺服器連線設定
重要事項
重設 KMIP 伺服器連線設定將阻止裝置存取先前儲存在已配置 KMIP 伺服器的任何加密金鑰。請在繼續操作前,確保所有必要的金鑰都已安全備份或移轉。
- 開啟[KMIP 用戶端]。
[KMIP 用戶端]隨即重新導向至控制台的 KMIP 頁面。 - 按一下 KMIP 伺服器區域的[重設]。
確認訊息隨即顯示。 - 按一下[確認]。
系統隨即重設 KMIP 伺服器連線設定。
KMIP 用戶端與儲存空間總管的使用案例
- 儲存 LUN 與共用資料夾的加密金鑰
- 在儲存空間總管的[全域設定]頁面,啟用[在 KMIP 伺服器儲存加密金鑰]選項,以便在 KMIP 伺服器儲存加密金鑰。這需要有效的 KMIP 用戶端連線。當已啟用該選項時,加密的共用資料夾與 LUN 可以透過 KMIP 用戶端儲存並擷取加密金鑰,並透過 KMIP 服務在啟動時自動解鎖。如需詳細資訊,請參閱《QuTS hero 使用手冊》儲存空間總管章節的〈儲存空間全域設定〉。
- 在儲存空間總管的[全域設定]頁面,啟用[在 KMIP 伺服器儲存加密金鑰]選項,以便在 KMIP 伺服器儲存加密金鑰。這需要有效的 KMIP 用戶端連線。當已啟用該選項時,加密的共用資料夾與 LUN 可以透過 KMIP 用戶端儲存並擷取加密金鑰,並透過 KMIP 服務在啟動時自動解鎖。如需詳細資訊,請參閱《QuTS hero 使用手冊》儲存空間總管章節的〈儲存空間全域設定〉。
- 刪除加密的 LUN 或共用資料夾時,會自動移除儲存的 KMIP 加密金鑰
- 如果啟用[在 KMIP 伺服器儲存加密金鑰]設定,刪除加密共用資料夾時,關聯的加密金鑰將從 KMIP 伺服器移除。
- 在系統啟動時自動解鎖加密或 LUN 共用資料夾
- 建立新的加密 LUN 或共用資料夾時,您可以選擇在啟動時透過 KMIP 解鎖。如果與 KMIP 伺服器的連線中斷,則[使用儲存在 KMIP 伺服器的加密金鑰解鎖]選項將被停用。如需詳細資訊,請參閱《QuTS hero 使用手冊》儲存空間總管章節的〈管理 LUN 加密〉或〈管理共用資料夾加密〉。
- 建立新的加密 LUN 或共用資料夾時,您可以選擇在啟動時透過 KMIP 解鎖。如果與 KMIP 伺服器的連線中斷,則[使用儲存在 KMIP 伺服器的加密金鑰解鎖]選項將被停用。如需詳細資訊,請參閱《QuTS hero 使用手冊》儲存空間總管章節的〈管理 LUN 加密〉或〈管理共用資料夾加密〉。
重要事項
- [KMIP 用戶端]必須在[控制台]>[安全性]中啟用,且全域設定必須於[儲存空間總管]啟動,才能使這些功能正常運作。
- 確認 KMIP 用戶端與 KMIP 伺服器之間的連線穩定,以使用金鑰儲存、解鎖與加密管理等功能。
- 若任何應用程式正在主動使用 KMIP 服務,將無法停用 KMIP 用戶端。
- 僅在停用 KMIP 用戶端後,才能清除 KMIP 伺服器連線設定。一旦清除,NAS 的相關加密金鑰記錄將變得不可用。
- 在清除 KMIP 伺服器連線設定後,即使 KMIP 用戶端稍後重啟並重新連線至同一個 KMIP 伺服器,任何先前在 KMIP 伺服器儲存其加密金鑰的加密共用資料夾,都將無法再擷取這些金鑰。
