Extern sleutelbeheer configureren op standalone rackservers

Downloadopties

  • PDF     (667.8 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (588.6 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (336.4 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:9 december 2020
Document-id:216517

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft de configuratie van het Key Management Interoperability Protocol (KMIP) op zelfstandige rackservers.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Cisco Integrated Management Controller (CIMC)
    • Zelfcoderende schijf (SED) 
    • KMIP

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • UCSC-C220-M4S, CIMC Versie: 4.1 (1h)
    • SED-stations
    • 800GB SAS SED SSD (10 FWPD) voor bedrijfsprestaties - MTFDJAK800MBS
    • Deel-ID station: UCS-SD800GBEK9
    • Verkoper: MICRON
    • Model: S650DC-800FIPS
    • Vormetric als externe sleutelbeheerder

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    De KMIP is een uitbreidbaar communicatieprotocol dat berichtformaten definieert voor de manipulatie van cryptografische sleutels op een sleutelbeheerserver. Dit vergemakkelijkt de gegevenscodering omdat het beheer van coderingssleutels wordt vereenvoudigd.

    SED-stations

    Een SED is een harde schijf (HDD) of solid-state schijf (SSD) met een coderingscircuit ingebouwd in de schijf. Het versleutelt alle gegevens die naar het medium zijn geschreven en decodeert, wanneer ontgrendeld, alle gegevens die van het medium zijn gelezen.

    In een SED verlaten de encryptiesleutels zelf nooit de grenzen van de SED-hardware en zijn ze daarom veilig voor aanvallen op OS-niveau.

    Werkstroom SED-schijven:

    1. SED drive flow1. SED-aandrijfstroom

    Het wachtwoord voor het ontgrendelen van de schijf kan lokaal worden verkregen met de configuratie Local Key Management, waarbij de gebruiker verantwoordelijk is voor het onthouden van de belangrijkste informatie. Het kan ook worden verkregen met Remote Key Management, waarbij de beveiligingssleutel wordt gemaakt en opgehaald van een KMIP-server en de verantwoordelijkheid van de gebruiker is om de KMIP-server in CIMC te configureren.

    Configureren

    Een persoonlijke sleutel en clientcertificaat voor de client maken

    Deze opdrachten moeten worden ingevoerd op een Linux-machine met het OpenSSL-pakket, niet in de Cisco IMC. Zorg ervoor dat de algemene naam hetzelfde is in het Root CA-certificaat en in het clientcertificaat.

    Opmerking: zorg ervoor dat de Cisco IMC-tijd is ingesteld op de huidige tijd.

    1. Maak een 2048-bits RSA-sleutel.

    openssl genrsa –out client_private.pem 2048

     2. Maak een zelf ondertekend certificaat met de reeds gemaakte sleutel.

    openssl req -new -x509 -key client_private.pem -out client.pem -days 365

     3. Raadpleeg de documentatie van de KMIP-leverancier voor meer informatie over het verkrijgen van het Root CA-certificaat.

    Opmerking: Vormetric vereist dat de algemene naam in het RootCa-certificaat overeenkomt met de hostnaam van de Vormetric-host.

    Opmerking: u moet een account hebben om toegang te krijgen tot de configuratiehandleidingen voor de KMIP-leveranciers:
    SafeNet
    vormetrisch

    KMIP-server configureren op de CIMC

    1. Navigeer naar Beheer > Beveiligingsbeheer > Beveiligd sleutelbeheer.

    Een duidelijke configuratie toont Export/Delete buttons grayed out, only Download buttons are active.

    image-1

    2. Klik op het IP-adres en stel het IP-adres in voor de KMIP-server, zorg ervoor dat u het kunt bereiken en als de standaardpoort wordt gebruikt, hoeft er niets anders te worden gewijzigd, en sla de wijzigingen vervolgens op.

    image-2

    3. Download de certificaten en de privésleutel naar de server. U kunt de .pem file or just paste the content.

    image-3

    4. Wanneer u de certificaten uploadt, ziet u dat certificaten worden weergegeven als Beschikbaar, voor de ontbrekende certificaten die niet zijn geüpload, ziet u Niet beschikbaar.

    U kunt de verbinding alleen testen als alle certificaten en privésleutels met succes zijn gedownload naar de CIMC.

    image-4

    5. (Optioneel) Zodra u alle certificaten hebt, kunt u optioneel de gebruiker en het wachtwoord voor de KMIP-server toevoegen. Deze configuratie wordt alleen ondersteund voor SafeNet als een KMIP-server van derden.

    6. Test de verbinding en als de certificaten correct zijn en u de KMIP-server kunt bereiken via de geconfigureerde poort, ziet u een succesvolle verbinding.

    image-5

    7. Zodra onze verbinding met KMIP succesvol is, kunt u extern sleutelbeheer inschakelen.

    Navigeer naar Netwerken > Modulaire RAID-controller > Controllerinformatie.

    Selecteer Stationsbeveiliging inschakelen en vervolgens Extern sleutelbeheer.

    Opmerking: Als eerder Local Key Management was ingeschakeld, wordt u gevraagd om de huidige sleutel om te wijzigen voor extern beheer

    image-6

    Verifiëren

    Gebruik deze sectie om te controleren of uw configuratie goed werkt.

    Vanuit de CLI kunt u de configuratie controleren.

    1. Controleer of KMIP is ingeschakeld.

    C-Series-12# scope kmip
C-Series-12 /kmip # show detail
    Enabled: yes

    2. Controleer het IP-adres, de poort en de time-out.

    C-Series-12 /kmip # show kmip-server
Server number Server domain name or IP address Port   Timeout
------------- -------------------------------- ------ ------
1             10.104.253.26                    5696   5
2                                              5696   5

    3. Controleer of de certificaten beschikbaar zijn.

    C-Series-12 /kmip # show kmip-client-certificate
    KMIP Client Certificate Available: 1
C-Series-12 /kmip # show kmip-client-private-key
     KMIP Client Private Key Available: 1
C-Series-12 /kmip # show kmip-root-ca-certificate
    KMIP Root CA Certificate Available: 1

    4. Controleer de inloggegevens.

    C-Series-12 /kmip # show kmip-login
Use KMIP Login             Login name to KMIP server  Password to KMIP server
-------------------------- -------------------------- --------------------
no                                                    ******

    5. Test de verbinding.

    C-Series-12 /kmip #
C-Series-12 /kmip # scope kmip-server 1
C-Series-12 /kmip/kmip-server # test-connectivity
Result of test-connectivity: query on kmip-server run successfully!

    Problemen oplossen

    Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.

    Als de testverbinding met de KMIP-server niet succesvol is, controleert u of u de server kunt pingen.

    image-7

    Controleer of poort 5696 is geopend op de CIMC- en KMIP-server. U kunt een NMAP-versie op onze pc installeren, omdat deze opdracht niet beschikbaar is op CIMC.

    U kunt NMAP op uw lokale systeem installeren om te testen of de poort is geopend. Gebruik deze opdracht onder de map waarin het bestand is geïnstalleerd:

    nmap <ipAddress> -p <port>

    De uitvoer toont een open poort voor de KMIP-service:

    image-8

    De uitvoer toont een gesloten poort voor de KMIP-service:

    image-9

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    10-Dec-2020
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Ana Montenegro
      Cisco TAC
    • Alejandra Ortiz
      Cisco TAC

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco