1.3.7 暗号化環境を設定する
背景
鍵管理サーバを使用するには、鍵管理サーバへの接続設定やネットワークの設定が必要です。ほかにもローカル鍵生成を無効にしたり、鍵暗号化鍵をDKCに保存したりするなどの暗号化環境を設定します。鍵管理サーバへの接続設定に必要な値については、各サーバの管理者にお問い合わせください。ネットワークの設定については、ネットワークの管理者にお問い合わせください。
- 注意
-
鍵管理サーバにバックアップされる暗号化鍵はクライアント証明書と関連づけられて管理されます。このため、クライアント証明書を変更した場合、クライアント証明書を変更する前にバックアップした暗号化鍵をリストアできなくなります。クライアント証明書変更後は、必ず暗号化鍵をバックアップしてください。
- 注意
-
鍵管理サーバにバックアップされる暗号化鍵はクライアント証明書と関連づけられて管理されます。このため、クライアント証明書を紛失した場合、故障などによってSVPを交換するとSVPを交換する前にバックアップした暗号化鍵をリストアできなくなります。
また、鍵管理サーバへの接続設定のバックアップにはクライアント証明書は含まれません。このため、設定完了後は必ず鍵管理サーバへの接続設定をバックアップするとともに、鍵管理サーバの管理者とご相談の上、クライアント証明書を別途保管してください。
- 注意
-
鍵暗号化鍵を鍵管理サーバで保護する場合、鍵管理サーバはクラスタ化された2台のサーバによって構成されている必要があります。このため、鍵暗号化鍵を鍵管理サーバで保護する場合は[セカンダリサーバ]を[有効]に設定してください。
- 注意
-
[鍵管理サーバで暗号化鍵生成]にある[鍵暗号化鍵を鍵管理サーバで保護する]および[注意事項に同意する]のチェックボックスを選択して設定を完了すると、装置の電源をONにしたときに鍵管理サーバからバックアップした鍵暗号化鍵を取得します。このとき、鍵管理サーバとの通信が確立されている必要があります。このため、SVPと鍵管理サーバが通信できることを確認してから装置の電源をONにしてください。
- 注意
-
[鍵管理サーバで暗号化鍵生成]にある[PS OFF時に装置内の暗号化鍵を削除する]および[注意事項に同意する]のチェックボックスを選択して設定を完了すると、装置の電源をONにしたときに鍵管理サーバからバックアップした暗号化鍵を取得します。このとき、鍵管理サーバとの通信が確立されている必要があります。このため、SVPと鍵管理サーバが通信できることを確認してから装置の電源をONにしてください。
- メモ
-
-
定期バックアップを実行するには、定期バックアップを実行する専用のユーザ(定期バックアップユーザと呼びます)を作成した上で、[暗号化環境設定編集]画面で定期バックアップユーザのユーザ名とパスワードを入力する必要があります。定期バックアップユーザには、セキュリティ管理者(参照・編集)ロールが必要です。ユーザの作成については、Hitachi Device Manager - Storage Navigatorユーザガイドを参照してください。
-
定期バックアップを実行する場合は、[暗号化環境設定編集]画面で次のことを確認してください。
・[鍵管理サーバ]で[有効]を選択していること
・鍵管理サーバのプライマリサーバが使用可能な状態であること。[サーバ構成テスト]の[チェック]をクリックして、接続テストが正常終了することを確認してください。
-
定期バックアップタスクの詳細を参照するには、ストレージ管理者(システムリソース管理)ロール、またはタスクを実行したユーザである必要があります。タスクの管理については、マニュアルHitachi Device Manager - Storage Navigatorユーザガイドを参照してください。
-
前提条件
-
必要なロール:セキュリティ管理者(参照・編集)ロール
-
鍵管理サーバに、IPアドレスではなくホスト名を指定して接続する場合は、SVPのOSのネットワーク設定に、DNS サーバが設定されていること。
-
鍵管理サーバを使用する場合は鍵管理サーバに登録されているクライアント証明書と鍵管理サーバのルート証明書を用意すること。それぞれの証明書については、鍵管理サーバの管理者にお問い合わせください。
操作手順
-
次のどちらかの方法で、[暗号化鍵]画面を表示します。
Hitachi Command Suiteを使用する場合:
-
[リソース]タブで[ストレージシステム]ツリーを展開します。ローカルストレージシステムの配下の[暗号化鍵]を選択します。
Storage Navigatorを使用する場合:
-
[管理]ツリーから[暗号化鍵]を選択します。
-
-
画面右側の[暗号化鍵]タブを選択します。
-
次のどちらかの方法で、[暗号化環境設定編集]画面を表示します。
-
[暗号化鍵]タブで[暗号化環境設定編集]をクリックします。
-
[設定]メニューから[セキュリティ管理]‐[暗号化鍵]‐[暗号化環境設定編集]を選択します。
-
-
[鍵管理サーバ]で[有効]または[無効]を選択します。
-
鍵管理サーバへ接続する場合にプライマリサーバとセカンダリサーバの設定項目を入力します。
-
すでに鍵管理サーバが使用可能な場合、接続テストするときには[サーバ構成テスト]の[チェック]をクリックします。
接続テストに失敗した場合はエラーの詳細が結果に表示されます。
-
定期バックアップを実行する場合、[鍵管理サーバへ暗号化鍵定期バックアップを有効にする]にチェックマークを付けます。さらに[定期バックアップ時刻]で暗号化鍵をバックアップしたい時間を指定して、[定期バックアップユーザ]で定期バックアップユーザのユーザ名とパスワードを入力します。
-
鍵管理サーバで暗号化鍵を生成する場合、[鍵管理サーバで暗号化鍵生成]にチェックマークを付けます。さらに鍵暗号化鍵を鍵管理サーバに保存する場合、[鍵暗号化鍵を鍵管理サーバで保護する]にチェックマークを付けてから、[注意事項に同意する]をチェックします。
-
暗号化鍵を鍵管理サーバに保存し、装置電源OFF時に装置内の暗号化鍵を削除する場合、[PS OFF時に装置内の暗号化鍵を削除する]にチェックマークを付けてから、[注意事項に同意する]をチェックします。
-
暗号化鍵を鍵管理サーバ上で作成し、かつ、暗号化鍵をストレージシステム内に作成できないようにする場合は、[ローカル鍵生成を無効にする]にチェックマークを付けます。チェックマークを付けると、注意事項が表示されます。注意事項の内容をご確認の上、同意される場合は[注意事項に同意する]にチェックマークを付けてください。
- 注意
-
[鍵管理サーバで暗号化鍵生成]にある[ローカル鍵生成を無効にする]および[注意事項に同意する]のチェックボックスは、チェックマークを付けて設定を完了すると元に戻すことができません。チェックマークを付けるときには、設定をしても問題がないことをよく確認してください。
-
[完了]をクリックします。
[設定確認]画面が表示されます。
-
設定内容を確認し、[タスク名]にタスク名を入力します。
-
[適用]をクリックして設定をストレージシステムに適用します。設定した内容はタスクとしてキューイングされ、順に実行されます。
- ヒント
-
ウィザードを閉じたあとに[タスク]画面を自動的に表示するには、ウィザードで[「適用」をクリックした後にタスク画面を表示]を選択して、[適用]をクリックします。
-
[タスク]画面で、操作結果を確認します。実行前であれば、[タスク]画面でタスクを一時中断したりキャンセルしたりできます。
設定したにも関わらず、鍵管理サーバが使用できない場合は、サーバへの接続設定の内容やネットワークに問題があるおそれがあります。サーバの管理者およびネットワークの管理者にお問い合わせください。
設定完了後、鍵管理サーバが使用できることを確認したら、鍵管理サーバへの接続設定をバックアップしてください。
鍵管理サーバへの接続設定をバックアップするには、SVPの設定ファイルをバックアップします。バックアップ手順については、Hitachi Device Manager - Storage Navigatorユーザガイドを参照してください。