Configure Remote Key Management on Standalone Rack Servers

Options de téléchargement

  • PDF     (648.7 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (508.9 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (340.5 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:9 décembre 2020
ID du document:216517

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de la traduction

Cisco peut fournir des traductions du présent contenu dans la langue locale pour certains endroits. Veuillez noter que des traductions sont fournies à titre informatif seulement et, en cas d’incohérence, la version anglaise du présent contenu prévaudra.

    Introduction

    Ce document décrit la configuration du protocole KMIP (Key Management Interoperability Protocol) sur des serveurs rack autonomes.

    Conditions préalables

    Conditions requises

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Contrôleur de gestion intégré Cisco (CIMC)
    • Lecteur à chiffrement automatique (SED) 
    • KMIP

    Components Used

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • UCSC-C220-M4S, CIMC Version : 4.1(1h)
    • Lecteurs SED
    • SSD SAS SED hautes performances 800 Go (10 FWPD) - MTFDJAK800 MBS
    • ID de pièce de lecteur : UCS-SD800GBEK9
    • Fournisseur : MICRON
    • Modèle : S650DC-800FIPS
    • Vormetric comme gestionnaire de clés tiers

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales

    Le protocole KMIP est un protocole de communication extensible qui définit des formats de message pour la manipulation de clés cryptographiques sur un serveur de gestion de clés. Cela facilite le chiffrement des données car simplifie la gestion des clés de chiffrement.

    Lecteurs SED

    Un SED est un disque dur (HDD) ou un disque SSD (Solid State Drive) avec un circuit de cryptage intégré dans le lecteur. Il chiffre de manière transparente toutes les données écrites sur le support et, lorsqu'il est déverrouillé, déchiffre de manière transparente toutes les données lues sur le support.

    Dans un SED, les clés de cryptage elles-mêmes ne quittent jamais les limites du matériel SED et sont donc à l'abri des attaques au niveau du système d'exploitation.

    Workflow des lecteurs SED :

    1. SED drive flow1. Flux d'entraînement SED

    Le mot de passe pour déverrouiller le lecteur peut être obtenu localement avec la configuration de gestion de clé locale où la responsabilité de l'utilisateur est de mémoriser les informations de clé. Il peut également être obtenu avec Remote Key Management où la clé de sécurité est créée et récupérée à partir d'un serveur KMIP et où la responsabilité de l'utilisateur est de configurer le serveur KMIP dans CIMC.

    Configuration

    Créer une clé privée client et un certificat client

    Ces commandes doivent être entrées sur une machine Linux avec le package OpenSSL, et non dans l'IMC Cisco. Assurez-vous que le nom commun est identique dans le certificat de l'autorité de certification racine et dans le certificat du client.

    Note: Assurez-vous que l'heure Cisco IMC est définie sur l'heure actuelle.

    1. Créez une clé RSA de 2 048 bits.

    openssl genrsa –out client_private.pem 2048

     2. Créez un certificat auto-signé avec la clé déjà créée.

    openssl req -new -x509 -key client_private.pem -out client.pem -days 365

     3. Reportez-vous à la documentation du fournisseur KMIP pour obtenir des détails sur l'obtention du certificat d'autorité de certification racine.

    Note: Le Vormetric nécessite que le nom commun dans le certificat RootCa corresponde au nom d'hôte de l'hôte Vormetric.

    Note: Vous devez disposer d'un compte pour accéder aux guides de configuration des fournisseurs KMIP :
    SafeNet
    Vormétrique

    Configurer le serveur KMIP sur CIMC

    1. Accédez à Admin > Security Management > Secure Key Management.

    Une configuration claire indique Export/Delete buttons grayed out, only Download buttons are active.

    image-1

    2. Cliquez sur l'adresse IP et définissez l'adresse IP pour le serveur KMIP, assurez-vous que vous êtes en mesure de l'atteindre et dans le cas où le port par défaut est utilisé rien d'autre ne doit être modifié, puis enregistrez les modifications.

    image-2

    3. Téléchargez les certificats et la clé privée sur le serveur. Vous pouvez télécharger le .pem file or just paste the content.

    image-3

    4. Lorsque vous téléchargez les certificats, vous voyez que les certificats s'affichent comme Disponibles, pour les certificats manquants qui ne sont pas téléchargés, vous voyez Non disponible.

    Vous ne pouvez tester la connexion que lorsque tous les certificats et toutes les clés privées ont été téléchargés sur le CIMC.

    image-4

    5. (Facultatif) Une fois que vous disposez de tous les certificats, vous pouvez éventuellement ajouter l'utilisateur et le mot de passe du serveur KMIP. Cette configuration n'est prise en charge que pour SafeNet en tant que serveur KMIP tiers.

    6. Testez la connexion et si les certificats sont corrects et que vous pouvez atteindre le serveur KMIP via le port configuré, vous voyez une connexion réussie.

    image-5

    7. Une fois votre connexion avec KMIP établie, vous pouvez activer la gestion des clés à distance.

    Accédez à Networking > Modular Raid Controller > Controller Info.

    Sélectionnez Enable Drive Security, puis Remote Key Management.

    Note: Si la gestion des clés locales était activée précédemment, vous êtes invité à saisir la clé actuelle afin de modifier la gestion à distance

    image-6

    Vérification

    Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

    Vous pouvez vérifier la configuration à partir de l'interface de ligne de commande.

    1. Vérifiez si KMIP est activé.

    C-Series-12# scope kmip
C-Series-12 /kmip # show detail
    Enabled: yes

    2. Vérifiez l’adresse IP, le port et le délai d’attente.

    C-Series-12 /kmip # show kmip-server
Server number Server domain name or IP address Port   Timeout
------------- -------------------------------- ------ ------
1             10.104.253.26                    5696   5
2                                              5696   5

    3. Vérifiez si les certificats sont disponibles.

    C-Series-12 /kmip # show kmip-client-certificate
    KMIP Client Certificate Available: 1
C-Series-12 /kmip # show kmip-client-private-key
     KMIP Client Private Key Available: 1
C-Series-12 /kmip # show kmip-root-ca-certificate
    KMIP Root CA Certificate Available: 1

    4. Vérifiez les détails de connexion.

    C-Series-12 /kmip # show kmip-login
Use KMIP Login             Login name to KMIP server  Password to KMIP server
-------------------------- -------------------------- --------------------
no                                                    ******

    5. Testez la connexion.

    C-Series-12 /kmip #
C-Series-12 /kmip # scope kmip-server 1
C-Series-12 /kmip/kmip-server # test-connectivity
Result of test-connectivity: query on kmip-server run successfully!

    Dépannage

    Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

    Si le test de connexion avec le serveur KMIP échoue, assurez-vous que vous pouvez envoyer une requête ping au serveur.

    image-7

    Assurez-vous que le port 5696 est ouvert sur le CIMC et le serveur KMIP. Vous pouvez installer une version NMAP sur votre PC, car cette commande n'est pas disponible sur CIMC.

    Vous pouvez installer NMAP sur votre machine locale, pour tester si le port est ouvert ; sous le répertoire dans lequel le fichier a été installé, utilisez cette commande :

    nmap <ipAddress> -p <port>

    Le résultat montre un port ouvert pour le service KMIP :

    image-8

    Le résultat montre un port fermé pour le service KMIP :

    image-9

    Informations connexes

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    10-Dec-2020
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Ana Montenegro
      TAC Cisco
    • Alejandra Ortiz
      TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco