VSAN-Verschlüsselung mit CipherTrust Manager konfigurieren

Zum Verschlüsseln inaktiver Daten mit der vSAN-Verschlüsselung können Sie z. B. Thales CipherTrust Manager, einen Key Management Service (KMS), verwenden.

KMS aufrufen und installieren

Nach dem Erwerb des KMS erhalten Sie eine E-Mail von Thales. Klicken Sie auf Accept this invitation, um Zugriffsberechtigungen für die Google-Gruppe k170v-image-read zu erhalten.

Für den Zugriff auf ein CipherTrust Manager-Image müssen Sie das Image möglicherweise in ein anderes Konto kopieren. Erstellen Sie dazu aus einem komprimierten Laufwerks-Image ein Compute Engine-Image. Wenden Sie sich an Ihren Vertriebsmanager oder Cloud Customer Care, um eine Berechtigung zum Entpacken von Laufwerk-Images zu erhalten.

Image aus einem gezippten CipherTrust Manager-Image erstellen

Führen Sie den folgenden Befehl aus, um ein Image aus dem Quell-URI gs://kylo-images/k170v-2411- 20181031022613.tar.gz zu erstellen:

gcloud compute images create image-name --source-uri gs://kylo-images/k170v-2411-
20181031022613.tar.gz

Mit dem folgenden Befehl können Sie Images auflisten:

gsutil ls gs://kylo-images
gs://kylo-images/k170v-2369-20181008172807.tar.gz
gs://kylo-images/k170v-2411-20181031022613.tar.gz

Instanz aus dem Image erstellen

  1. Rufen Sie in der Google Cloud Console die Compute Engine-Seite Images auf.

    Zur Seite „Images“

  2. Wählen Sie das Image k170v aus.

  3. Wählen Sie Instanz erstellen aus.

  4. Wählen Sie Neue VM-Instanz aus und konfigurieren Sie die Maschine so:

    1. Verwenden Sie für die Evaluierung ein Bootlaufwerk mit mindestens 30 GB oder für die Produktion mit mindestens 135 GB.
    2. Wählen Sie einen Maschinentyp mit 16 GB Arbeitsspeicher und mindestens 2 vCPUs aus.
  5. Erstellen Sie mit dem Schlüsselgenerator PuTTYgen einen SSH-Schlüssel.

    1. Laden Sie PuTTYgen herunter und öffnen Sie das Programm.
    2. Klicken Sie auf das Kästchen SSH-2RSA.
    3. Klicken Sie auf Generate.
    4. Speichern Sie die privaten und öffentlichen SSH-Schlüssel an einem sicheren Ort.
  6. Fügen Sie auf der Seite Instanz erstellen unter SSH-Schlüssel den öffentlichen SSH-Schlüssel ein, den Sie gerade im Fenster "SSH-Schlüssel" generiert haben.

  7. Klicken Sie auf Erstellen.

vSphere-Umgebung konfigurieren

  1. Gehen Sie in vCenter zu Configurations > Mehr > Server für die Schlüsselverwaltung.
  2. Wählen Sie das k170v-Image aus und klicken Sie auf Hinzufügen.
  3. Erstellen Sie einen neuen Cluster: Cluster werden dazu verwendent, die Hochverfügbarkeit des Schlüsselverwaltungssystems für verschiedene Anwendungsfälle der Schlüsselverwaltung und Verschlüsselung sicherzustellen. Ein Cluster kann mehrere k170v-Knoten haben. Fügen Sie einen Clusternamen und eine erreichbare k170v-IP-Adresse hinzu und verwenden Sie Port 5696.
  4. Klicken Sie unter Establish trust auf Make vCenter trust KMS.
  5. Klicken Sie auf Trust.
  6. Generieren Sie eine neue Anfrage zum Signieren eines Zertifikats (Certificate Signing Request, CSR), um die Verbindung zwischen vCenter und k170v herzustellen. Wählen Sie New Certificate Signing Request (CSR) aus und klicken Sie auf Next. Sie können die CSR entweder kopieren oder herunterladen.

k170v-Appliance konfigurieren

  1. Rufen Sie in einem Browser https://IP-address auf, wobei IP-address die IP-Adresse des Servers "k170v" ist.
  2. Der Standardnutzername und das Standardpasswort sind admin. Sie werden aufgefordert, das Passwort zu ändern.
  3. Melden Sie sich noch einmal mit Ihrem neuen Nutzernamen und Passwort an.
  4. Klicken Sie in vCenter auf Keys & access management.
  5. Klicken Sie auf Anmeldetokens > Neuer Anmeldetoken.
  6. Klicken Sie auf Begin.
  7. Definieren Sie die Tokenmetadaten. Legen Sie Werte für Name Prefix, Token Lifetime, Certificate Duration und Client Capacity fest.
  8. Klicken Sie auf Weiter.
  9. Die standardmäßige Local CA ist bereits ausgewählt. Klicken Sie auf Create token.
  10. Kopieren Sie das generierte Registrierungstoken und klicken Sie auf Done.
  11. Gehen Sie im vCenter-Hauptmenü zu Admin settings > System > Benutzeroberflächen.
  12. Konfigurieren Sie einen Port für den Server "k170v", der für die Kommunikation mit vCenter verwendet wird.
  13. KMIP verwendet den Standardport 5696. Sie können eine neue KMIP-Benutzeroberfläche bearbeiten oder erstellen. Klicken Sie dazu auf das vertikale Menü „Mehr“ () und dann auf Bearbeiten.
  14. Fügen Sie das zuvor generierte Registrierungstoken ein.
  15. Klicken Sie auf Aktualisieren.
  16. Starten Sie den KMIP-Systemdienst neu. Gehen Sie zum Menü System > Dienste und klicken Sie auf System neu starten.

CSR-Anfrage von vCenter signieren

  1. Gehen Sie in vSphere zu Keys & access management und klicken Sie auf CA.
  2. Klicken Sie unter Local certificate authorities auf den Hyperlink Subject.
  3. Wählen Sie Upload and sign CSR aus.
  4. Fügen Sie die aus vSphere kopierte CSR-Anfrage ein und klicken Sie auf Issue certificate.
  5. Klicken Sie neben dem signierten Zertifikat auf das vertikale Menü „Mehr“ () und dann auf Kopieren.
  6. Erstellen Sie auf k170v mit dem Namen aus dem von vCenter generierten Zertifikat einen Nutzer.
  7. Klicken Sie unter Keys & access management auf Users.
  8. Klicken Sie auf Create new user. Der Nutzername wird von der signierten CSR abgeleitet:

    /C=US/ST=California/O=VMware/OU=VMware Engineering/username=kmipClient2020060820330
    
  9. Nachdem der Nutzer erstellt wurde, klicken Sie im Navigationsmenü auf User.

  10. Klicken Sie für den soeben erstellten Nutzer auf das vertikale Menü „Mehr“ (), um Berechtigungen hinzuzufügen.

  11. Klicken Sie auf Verwalten.

  12. Klicken Sie auf Gruppen.

  13. Klicken Sie auf das Kästchen Key users, um den Nutzer der Schlüsselnutzergruppe hinzuzufügen.

Signierte CSR in vSphere hochladen

  1. Klicken Sie in vSphere auf Upload signed certificate.
  2. Wählen Sie die PEM-Datei (Privacy Enhanced Mail) für das Zertifikat aus oder kopieren Sie sie aus der k170v-Appliance und fügen Sie sie ein.
  3. Klicken Sie auf Make vCenter trust KMS.
  4. Klicken Sie auf Trust.
  5. Zum Aktivieren der vSAN-Verschlüsselung melden Sie sich beim vSphere-Client an und rufen Sie VSAN > Service auf. Klicken Sie auf Encryption und dann auf Edit, um neue Verschlüsselungsschlüssel zu generieren.
  6. Aktivieren Sie im Fenster vSAN services die Verschlüsselung. Wählen Sie den Cluster aus, den Sie zuvor erstellt haben, und klicken Sie auf Übernehmen.
  7. Im Tab Records generiert vCenter ein Token und einen Schlüssel.

k170v-Cluster erstellen und zu vCenter hinzufügen

Führen Sie zur Unterstützung der Hochverfügbarkeit zwei k170v-Server in Ihrem Cluster aus. Nachdem der k170v-Cluster konfiguriert wurde, werden die zuvor konfigurierten Elemente als Teil des Clustering-Prozesses repliziert. So repliziert vSphere beispielsweise Konfigurationsschritte wie das Erstellen des Registrierungstokens, das Definieren des Nutzers und das Definieren des KMIP-Ports, der Verschlüsselungsschlüssel und des CSR

  1. Wählen Sie in vSphere Key management servers aus.
  2. Wählen Sie den zusätzlichen k170v-Knoten aus und klicken Sie auf Add.
  3. Klicken Sie unter Make vCenter trust KMS auf Trust.