Data Domain : Configuration du serveur CipherTrust dans un système Data Domain

Définissez la phrase secrète du système dans DD à l’aide de :

System Passphrase set

Importez le certificat d’hôte signed_host_cert.pem, généré précédemment dans le système Data Domain, à l’aide de :

adminaccess certificate import host application ciphertrust file <host certificate file>

Importez le certificat CA cacert.pem, généré précédemment dans le système Data Domain :

adminaccess certificate import ca application ciphertrust file cacert.pem

Vérifiez les certificats à l’aide de :

adminaccess certificates show

Activez le chiffrement :

filesys encryption enable

Configurez Key Manager en tant que « ciphertrust » :

filesys  encryption key-manager set server <IP Address> port 5696 key-class <key_class> kmip-user <kmip_user> server-type ciphertrust

Activez le gestionnaire de clés à l’aide de :

filesys encryption key-manager enable

Vérifiez que le gestionnaire de clés est activé :

filesys encryption key-manager show
The current key-manager configuration is:
      Key Manager: Enabled
      Server Type: CipherTrust
      Server: <serverip>
      Port: 5696
      Status: Online
      Key-class: <key_class>
      KMIP-user: <kmip_user>
      Key rotation period: not-configured
      Last key rotation date: N/A
      Next key rotation date: N/A

Vérifiez si la nouvelle clé est activée.

filesys encryption keys show detailed

Par exemple :

filesys encryption keys show detailed
Active Tier:
Key   Key                                                                State          Size        Key Manager   Min-Cid   Max-Cid
Id    MUID                                                                              post-comp   Type
---   ----------------------------------------------------------------   ------------   ---------   -----------   -------   -------
1     3d4                                                                Deactivated    0           DataDomain    759       1096
2     736FB25DF3E52F1D1086AB0AD36650F011FB4A59777A0611993E28F1E87A972A   Activated-RW   65.45 TiB   KeySecure     1097      -
---   ----------------------------------------------------------------   ------------   ---------   -----------   -------   -------

DDOS fournit une interface de ligne de commande pour assurer une transition en douceur de KeySecure vers CipherTrust. Le client doit d’abord déplacer les clés d’un serveur de gestion de clés vers un autre avant d’utiliser cette CLI pour migrer sur DD.

Pour migrer les clés du côté DD, nous exécutons migrate CLI.

filesys encryption key-manager keys migrate source <> destination <>

Par exemple :

filesys encryption key-manager keys migrate source keysecure destination ciphertrust
Migrating keys from keysecure to ciphertrust key manager.
Do you want to proceed? (yes|no) [no]: yes
Migrated keys to ciphertrust key manager.

Vérifiez si les clés sont migrées sur DD, exécutez la commande suivante et vérifiez le champ Key Manager type.

filesys encryption keys show detailed

Par exemple :

Active Tier:
Key   Key                                                                State          Size        Key Manager   Min-Cid   Max-Cid
Id    MUID                                                                              post-comp   Type
---   ----------------------------------------------------------------   ------------   ---------   -----------   -------   -------
1     3d4                                                                Deactivated    0           DataDomain    759       1096
2     736FB25DF3E52F1D1086AB0AD36650F011FB4A59777A0611993E28F1E87A972A   Activated-RW   65.45 TiB   CipherTrust   1097      -
---   ----------------------------------------------------------------   ------------   ---------   -----------   -------   -------