Configure Remote Key Management on Standalone Rack Servers

Opzioni per il download

PDF (649.5 KB)
Visualizza con Adobe Reader su diversi dispositivi
ePub (509.0 KB)
Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (340.7 KB)
Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi

Aggiornato:9 dicembre 2020

ID documento:216517

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni sulle traduzioni

Per alcuni Paesi, Cisco potrebbe rendere disponibile la traduzione del presente contenuto nella lingua locale. Le traduzioni vengono fornite esclusivamente a scopo informativo; in caso di incongruenze, prevale la versione in inglese.

Introduzione

Questo documento descrive la configurazione del protocollo KMIP (Key Management Interoperability Protocol) sui server rack standalone.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

Cisco Integrated Management Controller (CIMC)
Unità SED (Self-Encrypting Drive)
KMIP

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

UCS-C220-M4S, versione CIMC: 4.1(1h)
Unità SED
Unità a stato solido SAS SED da 800 GB a elevate prestazioni (10 FWPD) - MTFDJAK800 MBS
ID parte unità: UCS-SD800GBEK9
Fornitore: MICRON
Modello: S650DC-800FIPS
Vormetrico come key manager di terze parti

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

Il KMIP è un protocollo di comunicazione estensibile che definisce i formati dei messaggi per la modifica delle chiavi di crittografia in un server di gestione delle chiavi. Ciò semplifica la crittografia dei dati perché semplifica la gestione delle chiavi di crittografia.

Unità SED

Un SED è un'unità disco rigido (HDD) o a stato solido (SSD) con un circuito di crittografia integrato nell'unità. Crittografa in modo trasparente tutti i dati scritti sul supporto e, quando sbloccato, decrittografa in modo trasparente tutti i dati letti dal supporto.

In un SED, le chiavi di crittografia non superano mai i confini dell'hardware SED e sono quindi al sicuro da attacchi a livello di sistema operativo.

Flusso di lavoro unità SED:

1. SED drive flow 1. Flusso dell'unità SED

La password per sbloccare l'unità può essere ottenuta localmente con la configurazione di Local Key Management in cui l'utente è responsabile di ricordare le informazioni chiave. Può essere ottenuto anche con Gestione remota chiavi, in cui la chiave di protezione viene creata e recuperata da un server KMIP e l'utente ha la responsabilità di configurare il server KMIP in CIMC.

Configurazione

Creare una chiave privata e un certificato client

Questi comandi devono essere immessi su un computer Linux con il pacchetto OpenSSL, non su Cisco IMC. Verificare che il nome comune sia lo stesso nel certificato CA radice e nel certificato client.

Nota: Verificare che l'ora Cisco IMC sia impostata sull'ora corrente.

1. Creare una chiave RSA a 2048 bit.

openssl genrsa –out client_private.pem 2048

2. Creare un certificato autofirmato con la chiave già creata.

openssl req -new -x509 -key client_private.pem -out client.pem -days 365

3. Per ulteriori informazioni sul recupero del certificato CA radice, consultare la documentazione del fornitore del KMIP.

Nota: Vormetric richiede che il nome comune nel certificato RootCa corrisponda al nome host dell'host Vormetric.

Nota: Per accedere alle guide alla configurazione per i fornitori KMIP, è necessario disporre di un account:
SafeNet
Vormetrico

Configurazione del server KMIP su CIMC

1. Passare a Amministrazione > Gestione sicurezza > Gestione chiavi protette.

Una configurazione chiara mostra Export/Delete buttons grayed out, only Download buttons are active.

2. Fare clic sull'indirizzo IP e impostare l'indirizzo IP per il server KMIP, accertarsi di essere in grado di raggiungerlo e, nel caso in cui venga utilizzata la porta predefinita, non è necessario apportare altre modifiche, quindi salvare le modifiche.

3. Scaricare i certificati e la chiave privata nel server. È possibile scaricare .pem file or just paste the content.

4. Quando si caricano i certificati, viene visualizzato il messaggio Disponibile per i certificati mancanti che non sono stati caricati, viene visualizzato Non disponibile.

È possibile eseguire il test della connessione solo dopo che tutti i certificati e le chiavi private sono stati scaricati correttamente in CIMC.

5. (facoltativo) Dopo aver ottenuto tutti i certificati, è possibile aggiungere l'utente e la password per il server KMIP. Questa configurazione è supportata solo per SafeNet come server KMIP di terze parti.

6. Verificare la connessione. Se i certificati sono corretti e si è in grado di raggiungere il server KMIP tramite la porta configurata, la connessione verrà stabilita correttamente.

7. Una volta stabilita la connessione con KMIP, sarà possibile abilitare la gestione remota delle chiavi.

Selezionare Rete > Controller RAID modulare > Informazioni controller.

Selezionare Abilita sicurezza unità, quindi Gestione chiavi remote.

Nota: Se in precedenza è stata attivata la gestione delle chiavi locali, verrà richiesto di specificare la chiave corrente per modificare la gestione remota

Verifica

Fare riferimento a questa sezione per verificare che la configurazione funzioni correttamente.

Dalla CLI è possibile verificare la configurazione.

1. Verificare se KMIP è abilitato.

C-Series-12# scope kmip
C-Series-12 /kmip # show detail
    Enabled: yes

2. Verificare indirizzo IP, porta e timeout.

C-Series-12 /kmip # show kmip-server
Server number Server domain name or IP address Port   Timeout
------------- -------------------------------- ------ ------
1             10.104.253.26                    5696   5
2                                              5696   5

3. Verificare se i certificati sono disponibili.

C-Series-12 /kmip # show kmip-client-certificate
    KMIP Client Certificate Available: 1
C-Series-12 /kmip # show kmip-client-private-key
     KMIP Client Private Key Available: 1
C-Series-12 /kmip # show kmip-root-ca-certificate
    KMIP Root CA Certificate Available: 1

4. Verificare i dettagli di accesso.

C-Series-12 /kmip # show kmip-login
Use KMIP Login             Login name to KMIP server  Password to KMIP server
-------------------------- -------------------------- --------------------
no                                                    ******

5. Verificare la connessione.

C-Series-12 /kmip #
C-Series-12 /kmip # scope kmip-server 1
C-Series-12 /kmip/kmip-server # test-connectivity
Result of test-connectivity: query on kmip-server run successfully!

Risoluzione dei problemi

Al momento non sono disponibili informazioni specifiche per la risoluzione dei problemi di questa configurazione.

Se la connessione di prova con il server KMIP ha esito negativo, verificare che sia possibile eseguire il ping del server.

Verificare che la porta 5696 sia aperta sul CIMC e sul server KMIP. È possibile installare una versione NMAP sul PC, poiché questo comando non è disponibile su CIMC.

È possibile installare NMAP sul computer locale per verificare se la porta è aperta. nella directory in cui è stato installato il file, utilizzare questo comando:

nmap <ipAddress> -p <port>

Nell'output viene visualizzata una porta aperta per il servizio KMIP:

L'output mostra una porta chiusa per il servizio KMIP:

Informazioni correlate

Cronologia delle revisioni

Revisione	Data di pubblicazione	Commenti
1.0	10-Dec-2020	Versione iniziale

Contributo dei tecnici Cisco

Ana Montenegro
Cisco TAC
Alejandra Ortiz
Cisco TAC