Data Domain: Configuración del servidor de CipherTrust en el sistema Data Domain

Configure la frase de contraseña del sistema en DD mediante lo siguiente:

System Passphrase set

Importe el certificado de host signed_host_cert.pem, generado anteriormente, en el sistema Data Domain mediante lo siguiente:

adminaccess certificate import host application ciphertrust file <host certificate file>

Importe el certificado de CA cacert.pem, generado anteriormente en el sistema Data Domain:

adminaccess certificate import ca application ciphertrust file cacert.pem

Verifique los certificados mediante lo siguiente:

adminaccess certificates show

Habilitar cifrado:

filesys encryption enable

Configure el administrador de claves como ciphertrust:

filesys  encryption key-manager set server <IP Address> port 5696 key-class <key_class> kmip-user <kmip_user> server-type ciphertrust

Active el administrador de claves mediante:

filesys encryption key-manager enable

Verifique que el administrador de claves esté habilitado:

filesys encryption key-manager show
The current key-manager configuration is:
      Key Manager: Enabled
      Server Type: CipherTrust
      Server: <serverip>
      Port: 5696
      Status: Online
      Key-class: <key_class>
      KMIP-user: <kmip_user>
      Key rotation period: not-configured
      Last key rotation date: N/A
      Next key rotation date: N/A

Verifique si la nueva clave está activada.

filesys encryption keys show detailed

Por ejemplo:

filesys encryption keys show detailed
Active Tier:
Key   Key                                                                State          Size        Key Manager   Min-Cid   Max-Cid
Id    MUID                                                                              post-comp   Type
---   ----------------------------------------------------------------   ------------   ---------   -----------   -------   -------
1     3d4                                                                Deactivated    0           DataDomain    759       1096
2     736FB25DF3E52F1D1086AB0AD36650F011FB4A59777A0611993E28F1E87A972A   Activated-RW   65.45 TiB   KeySecure     1097      -
---   ----------------------------------------------------------------   ------------   ---------   -----------   -------   -------

DDOS proporciona una CLI para garantizar una transición fluida de KeySecure a CipherTrust. El cliente primero debe mover las claves de un servidor de Key Manager a otro antes de usar esta CLI para migrar en DD.

Para migrar claves en el extremo de DD, emitimos migrate CLI.

filesys encryption key-manager keys migrate source <> destination <>

Por ejemplo:

filesys encryption key-manager keys migrate source keysecure destination ciphertrust
Migrating keys from keysecure to ciphertrust key manager.
Do you want to proceed? (yes|no) [no]: yes
Migrated keys to ciphertrust key manager.

Verifique si las claves se migraron en DD, emita el siguiente comando y revise el campo Key manager type.

filesys encryption keys show detailed

Por ejemplo:

Active Tier:
Key   Key                                                                State          Size        Key Manager   Min-Cid   Max-Cid
Id    MUID                                                                              post-comp   Type
---   ----------------------------------------------------------------   ------------   ---------   -----------   -------   -------
1     3d4                                                                Deactivated    0           DataDomain    759       1096
2     736FB25DF3E52F1D1086AB0AD36650F011FB4A59777A0611993E28F1E87A972A   Activated-RW   65.45 TiB   CipherTrust   1097      -
---   ----------------------------------------------------------------   ------------   ---------   -----------   -------   -------