Data Domain: Configuring CipherTrust Server in Data Domain System

Stel de systeemwachtwoordzin in DD in met:

System Passphrase set

Importeer het hostcertificaat signed_host_cert.pem, dat eerder in het Data Domain-systeem is gegenereerd met behulp van:

adminaccess certificate import host application ciphertrust file <host certificate file>

Importeer het CA-certificaat cacert.pem, dat eerder is gegenereerd naar het Data Domain-systeem:

adminaccess certificate import ca application ciphertrust file cacert.pem

Controleer de certificaten met behulp van:

adminaccess certificates show

Versleuteling inschakelen:

filesys encryption enable

Configure Key Manager as ciphertrust:

filesys  encryption key-manager set server <IP Address> port 5696 key-class <key_class> kmip-user <kmip_user> server-type ciphertrust

Schakel de sleutelbeheerder in met behulp van:

filesys encryption key-manager enable

Controleer of de sleutelbeheerder is ingeschakeld:

filesys encryption key-manager show
The current key-manager configuration is:
      Key Manager: Enabled
      Server Type: CipherTrust
      Server: <serverip>
      Port: 5696
      Status: Online
      Key-class: <key_class>
      KMIP-user: <kmip_user>
      Key rotation period: not-configured
      Last key rotation date: N/A
      Next key rotation date: N/A

Controleer of de nieuwe sleutel is geactiveerd.

filesys encryption keys show detailed

Bijvoorbeeld:

filesys encryption keys show detailed
Active Tier:
Key   Key                                                                State          Size        Key Manager   Min-Cid   Max-Cid
Id    MUID                                                                              post-comp   Type
---   ----------------------------------------------------------------   ------------   ---------   -----------   -------   -------
1     3d4                                                                Deactivated    0           DataDomain    759       1096
2     736FB25DF3E52F1D1086AB0AD36650F011FB4A59777A0611993E28F1E87A972A   Activated-RW   65.45 TiB   KeySecure     1097      -
---   ----------------------------------------------------------------   ------------   ---------   -----------   -------   -------

DDOS biedt een CLI om een soepele overgang van KeySecure naar CipherTrust te garanderen. De klant moet eerst de sleutels van de ene sleutelbeheerserver naar de andere verplaatsen voordat deze CLI wordt gebruikt om op DD te migreren.

Om sleutels aan de DD-kant te migreren, geven we migrerende CLI uit.

filesys encryption key-manager keys migrate source <> destination <>

Bijvoorbeeld:

filesys encryption key-manager keys migrate source keysecure destination ciphertrust
Migrating keys from keysecure to ciphertrust key manager.
Do you want to proceed? (yes|no) [no]: yes
Migrated keys to ciphertrust key manager.

Controleer of de sleutels zijn gemigreerd op DD, voer de volgende opdracht uit en controleer het veld Type sleutelbeheer.

filesys encryption keys show detailed

Bijvoorbeeld:

Active Tier:
Key   Key                                                                State          Size        Key Manager   Min-Cid   Max-Cid
Id    MUID                                                                              post-comp   Type
---   ----------------------------------------------------------------   ------------   ---------   -----------   -------   -------
1     3d4                                                                Deactivated    0           DataDomain    759       1096
2     736FB25DF3E52F1D1086AB0AD36650F011FB4A59777A0611993E28F1E87A972A   Activated-RW   65.45 TiB   CipherTrust   1097      -
---   ----------------------------------------------------------------   ------------   ---------   -----------   -------   -------