如何使用 KMIP 客户端安全地管理密钥?
最后修订日期:
2025-06-09
适用产品
- KMIP 客户端
- QuTS hero h5.3.0 或更高版本
关于 KMIP 客户端
KMIP 客户端可以连接到远程密钥管理互操作性协议 (KMIP) 服务器,从而让 NAS 安全地存储和检索用于存储功能的安全密钥。KMIP 客户端充当代理,管理 NAS 上各项存储功能之间的通信,例如加密的共享文件夹和加密 LUN 与连接的 KMIP 服务器等功能。
KMIP 客户端支持一对一连接,每个 NAS 一次可以链接到一个 KMIP 服务器。配置完毕后,它为各项存储功能提供集中、安全且合规的加密密钥管理,确保加密数据的完整性和可访问性。
KMIP 客户端功能
- 在 KMIP 服务器上远程存储和管理加密密钥,最大限度地降低 NAS 级别未经授权的访问或密钥丢失的风险。
- 自动检索加密密钥并应用于加密共享文件夹和 LUN,从而提高安全性,改善用户体验。
- 与密钥管理系统 (KMS) 相集成,符合企业级存储加密的安全性和合规性标准。
- 只要 KMIP 客户端和服务器保持运行,即使系统重新启动后,仍可访问加密的 LUN 和共享文件夹。
安装和配置 KMIP 客户端
安装 KMIP 客户端以启用加密密钥管理服务,并对其进行配置以便与远程 KMIP 服务器建立安全通信。
前提条件
- 以管理员身份登录 NAS。
- 确认 NAS 运行的是 QuTS hero h5.3.0 或更高版本。
- 确认已正确设置符合 KMIP 的密钥管理系统 (KMS) 并且该系统可以连接至 NAS。
- 根据供应商的说明配置 KMS,并确保在适当的端口(除非 KMS 供应商另外指定,否则通常为 5696)上启用 KMIP 通信。此端口用于 KMIP 客户端和 KMIP 服务器之间的双向 TLS (mTLS) 通信。
- 创建所需的证书或将其导入到 KMIP 服务器中。
安装 KMIP 客户端
- 以管理员身份登录 NAS。
- 打开 App Center。
- 在搜索字段中搜索
KMIP Client来找到该应用。 - 单击 KMIP 客户端。
- 选择应用程序更新频率。
- 单击安装。
App Center 即会在设备上安装 KMIP 客户端。
访问 KMIP 客户端
可以通过以下选项访问 KMIP 客户端设置:
- 控制台 > 系统 安全 > KMIP
- 打开 KMIP 客户端应用程序,随后会转到控制台中的“KMIP 设置”页面。
管理 KMIP 客户端证书
您可以管理 KMIP 客户端证书,以确保 NAS 和远程 KMIP 服务器之间的通信安全且经过身份验证。需要使用证书来验证两个设备的身份并加密在网络中交换的数据。可以为此在 NAS 上生成一个新证书,或者从本地设备导入现有的证书。此外,您还可以查看证书详细信息,例如状态、到期日和颁发机构,并执行替换、下载或删除证书等操作,以保持 KMIP 客户端连接安全、不中断。
生成新的 KMIP 客户端证书
- 打开 KMIP 客户端。
KMIP 客户端会转到控制台中的 KMIP 页面。 - 在 KMIP 客户端证书下,单击添加。
此时会显示添加 KMIP 客户端证书窗口。
- 选择生成新证书。
- 单击添加。
系统即会生成新的 KMIP 证书。
导入自定义证书。
- 打开 KMIP 客户端。
KMIP 客户端会转到控制台中的 KMIP 页面。 - 在 KMIP 客户端证书下,单击添加。
此时会显示添加 KMIP 客户端证书窗口。 - 选择导入证书。
- 在证书管理部分中,单击每个字段旁边的浏览:
- 证书:选择
.pem证书文件。 - 私钥:选择相应的
.key私钥文件。 - 中间证书 (可选):如果适用,请选择
.pem中间证书文件。
- 证书:选择
- 针对以上各项,在文件选择对话框中找到适当的文件,然后单击打开或等效选项以确认选择。
- 单击添加。
系统即会导入并添加 KMIP 证书。
管理证书
- 打开 KMIP 客户端。
KMIP 客户端会转到控制台中的 KMIP 页面。 - 您可以执行以下任一任务。
任务 描述 操作 查看证书状态 检查已安装证书的当前状态和到期日。 在 KMIP 客户端证书下,查看状态和到期日。 更换证书 上传新证书以更新现有证书。 - 在 KMIP 客户端证书下,单击替换。
此时会显示替换 KMIP 客户端证书窗口。 - 选择生成证书或导入证书。
有关导入 KMIP 客户端证书的详细信息,请参见“导入自定义证书”。 - 单击替换。
下载证书 将当前证书的副本保存到设备。 - 在 KMIP 客户端证书下,单击下载。
- 选择要下载的一个或多个文件。
- 单击下载。
删除证书 从系统中移除已安装的证书。 - 在 KMIP 客户端证书下,单击删除。
此时会显示删除确认窗口。 - 单击是。
KMIP 客户端随即会执行指定的操作。 - 在 KMIP 客户端证书下,单击替换。
配置和管理 KMIP 服务器连接
为确保 NAS 和远程 KMIP 服务器之间的通信安全,您可以配置和管理 KMIP 客户端连接设置。这样,系统便能通过 KMIP 协议安全地处理加密密钥。配置过程包含启用或禁用 KMIP 客户端,以及设置、编辑和测试 NAS 与 KMIP 服务器之间的连接。此外,您可以根据需要清除 KMIP 服务器连接设置,以确保安全设置始终为最新。
重要
- 如果服务器脱机、不可访问或未运行 KMIP 服务,则无法保存连接。验证服务器地址、端口(默认:5696),并确保已启用 KMIP 服务。
- NAS 和 KMIP 服务器上必须安装有效且未过期的证书。如果客户端或服务器证书缺失、无效或过期,连接将失败。
- 如果客户端证书或服务器设置配置错误,身份验证将失败。尝试连接之前,请验证两个设备上的客户端凭据、证书分配和身份验证设置。
配置 KMIP 服务器连接设置
- 打开 KMIP 客户端。
KMIP 客户端会转到控制台中的 KMIP 页面。 - 单击配置向导。
此时会显示 KMIP 服务器连接设置窗口。
- 输入 KMIP 服务器的主机名或 IP 地址。
- 使用双向 TLS 定义 KMIP 服务器连接的端口号。默认端口为 5696。
- 输入 KMIP 服务器的可识别标签,长度为 0-50 个字符。
- 选择受信任的 CA 证书,在连接期间对 KMIP 服务器进行身份验证。注意如果服务器使用自签名证书(并非受信任的证书颁发机构颁发),则必须执行此操作。
- 单击连接。
此时会显示信任 KMIP 服务器证书窗口。 - 注意要重新配置 KMIP 服务器连接设置,请在 KMIP 服务器部分单击编辑。
- 查看证书详细信息,然后单击信任。
测试 KMIP 服务器连接
- 打开 KMIP 客户端。
KMIP 客户端会转到控制台中的 KMIP 页面。 - 在 KMIP 服务器部分单击测试连接。
系统即会启动客户端和 KMIP 服务器之间的连接测试,并使用最新结果来更新上次连接字段。
重置 KMIP 服务器连接设置
重要
重置 KMIP 服务器连接设置将阻止设备访问之前在已配置的 KMIP 服务器上存储的任何加密密钥。确保所有需要的密钥均已安全备份或迁移,然后再继续操作。
- 打开 KMIP 客户端。
KMIP 客户端会转到控制台中的 KMIP 页面。 - 在 KMIP 服务器部分单击重置。
此时会出现确认消息。 - 单击确认。
系统即会重置 KMIP 服务器连接设置。
KMIP 客户端与存储空间总管配合使用的用例
- 存储 LUN 和共享文件夹的加密密钥
- 在“存储空间总管”的全局设置页面中,启用在 KMIP 服务器上存储加密密钥选项,以在 KMIP 服务器上存储加密密钥。这要求 KMIP 客户端连接处于活动状态。启用后,加密的共享文件夹和 LUN 可以通过 KMIP 客户端存储和检索加密密钥,并在启动时通过 KMIP 服务自动解锁。有关详细信息,请参阅《QuTS hero 用户指南》中的“存储空间总管”一章中的“存储全局设置”主题。
- 在“存储空间总管”的全局设置页面中,启用在 KMIP 服务器上存储加密密钥选项,以在 KMIP 服务器上存储加密密钥。这要求 KMIP 客户端连接处于活动状态。启用后,加密的共享文件夹和 LUN 可以通过 KMIP 客户端存储和检索加密密钥,并在启动时通过 KMIP 服务自动解锁。有关详细信息,请参阅《QuTS hero 用户指南》中的“存储空间总管”一章中的“存储全局设置”主题。
- 删除加密的 KMIP 或共享文件夹时自动移除已存储的 KMIP 加密密钥
- 如果启用在 KMIP 服务器上存储加密密钥设置,则在删除加密的共享文件夹时,关联的加密密钥将自动从 KMIP 服务器中移除。
- 系统启动时自动解锁加密的 LUN 或共享文件夹
- 新建加密 LUN 或共享文件夹时,您可以选择在启动时通过 KMIP 对其进行解锁。如果与 KMIP 服务器间的连接中断,将会禁用使用 KMIP 服务器中存储的加密密钥解锁选项。有关详细信息,请参阅《QuTS hero 用户指南》中的“存储空间总管”一章中的“管理 LUN 加密”或“管理共享文件夹加密”。
- 新建加密 LUN 或共享文件夹时,您可以选择在启动时通过 KMIP 对其进行解锁。如果与 KMIP 服务器间的连接中断,将会禁用使用 KMIP 服务器中存储的加密密钥解锁选项。有关详细信息,请参阅《QuTS hero 用户指南》中的“存储空间总管”一章中的“管理 LUN 加密”或“管理共享文件夹加密”。
重要
- 必须在控制台 > 安全中启用 KMIP 客户端并在存储空间总管中激活全局设置,这些功能才能工作。
- 确保 KMIP 客户端和 KMIP 服务器之间的连接稳定,以使用密钥存储、解锁和加密管理等功能。
- 若有任何应用程序功能正在使用 KMIP 服务,则无法禁用 KMIP 客户端。
- 仅在禁用 KMIP 客户端之后,才能清除 KMIP 服务器连接设置。清除后,NAS 上的关联加密密钥将不可用。
- 清除 KMIP 服务器连接设置后,之前将加密密钥存储在 KMIP 服务器上的任何加密共享文件夹将无法再检索这些密钥,即使以后重新启用 KMIP 客户端并将其重新连接到同一 KMIP 服务器也是如此。
