Sie können Ihrem vCenter Server-System über den vSphere Client oder über die öffentliche API einen Standardschlüsselanbieter hinzufügen.

Mithilfe des vSphere Client können Sie Ihrem vCenter Server-System einen Standardschlüsselanbieter hinzufügen und eine Vertrauensstellung zwischen dem Schlüsselserver und vCenter Server einrichten.

  • Sie können mehrere Schlüsselserver desselben Anbieters hinzufügen.
  • Wenn Ihre Umgebung Lösungen anderer Anbieter unterstützt, können Sie mehrere Schlüsselanbieter hinzufügen.
  • Wenn Ihre Umgebung mehrere Schlüsselanbieter enthält und Sie den Standardschlüsselanbieter löschen, müssen Sie explizit einen anderen Standardschlüsselanbieter festlegen.
  • Sie können den Schlüsselserver mit IPv6-Adressen konfigurieren.
    • Das vCenter Server-System und der Schlüsselserver können nur mit IPv6-Adressen konfiguriert werden.

Voraussetzungen

  • Stellen Sie sicher, dass der Schlüsselserver (KMS) im VMware-Kompatibilitätshandbuch für Schlüsselverwaltungsserver (KMS) aufgeführt und mit KMIP 1.1 kompatibel ist und dass er als Foundry und Server für symmetrische Schlüssel dienen kann.
  • Stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen verfügen: Verschlüsselungsvorgänge.Schlüsselserver verwalten
  • Stellen Sie Hochverfügbarkeit für den Schlüsselserver sicher. Bei einem Abbruch der Verbindung zum Schlüsselserver, beispielsweise bei einem Stromausfall oder einer Notfallwiederherstellung, ist ein Zugriff auf verschlüsselte virtuelle Maschinen nicht mehr möglich.
    Hinweis: In vSphere 7.0 Update 2 und höher können verschlüsselte virtuelle Maschinen und virtuelle TPMs auch dann weiterhin funktionieren, wenn der Schlüsselserver vorübergehend offline oder nicht verfügbar ist. Weitere Informationen hierzu finden Sie unter vSphere-Schlüsselpersistenz auf ESXi-Hosts.
  • Führen Sie eine sorgfältige Prüfung der Infrastrukturabhängigkeiten auf dem Schlüsselserver durch. Bestimmte KMS-Lösungen werden als virtuelle Appliances bereitgestellt, wodurch eine Abhängigkeitsschleife oder ein anderes Verfügbarkeitsproblem aufgrund einer schlechten Platzierung der KMS-Appliance auftreten kann.

Prozedur

  1. Melden Sie sich mit dem vSphere Client beim vCenter Server-System an.
  2. Durchsuchen Sie die Bestandsliste und wählen Sie die vCenter Server-Instanz aus.
  3. Klicken Sie auf Konfigurieren und unter Sicherheit auf Schlüsselanbieter.
  4. Klicken Sie auf Standardschlüsselanbieter hinzufügen und geben Sie die Daten des Schlüsselanbieters ein.
    Option Wert
    Name Name des Schlüsselanbieters.

    Jeder logische Schlüsselanbieter muss unabhängig von seinem Typ (Standard-, vertrauenswürdiger und nativer Schlüsselanbieter) über einen eindeutigen Namen in allen vCenter Server-Systemen verfügen.

    Weitere Informationen finden Sie unter Benennung des Schlüsselanbieters.
    KMS Alias für den Schlüsselserver (KMS).
    Adresse IP-Adresse oder FQDN des Schlüsselservers.
    Port Port, auf dem vCenter Server eine Verbindung zum Schlüsselserver herstellt.
    Proxyserver Optionale Proxyserveradresse für die Verbindung mit dem Schlüsselserver.
    Proxyport Optionaler Proxyport für die Verbindung mit dem Schlüsselserver.
    Benutzername Bestimmte Schlüsselserveranbieter lassen zu, dass Benutzer Verschlüsselungsschlüssel isolieren, die von verschiedenen Benutzern oder Gruppen verwendet werden, indem sie einen Benutzernamen und ein Kennwort angeben. Geben Sie nur dann einen Benutzernamen an, wenn Ihr Schlüsselserver diese Funktion unterstützt und Sie die Funktion verwenden möchten.
    Kennwort Bestimmte Schlüsselserveranbieter lassen zu, dass Benutzer Verschlüsselungsschlüssel isolieren, die von verschiedenen Benutzern oder Gruppen verwendet werden, indem sie einen Benutzernamen und ein Kennwort angeben. Geben Sie nur dann ein Kennwort an, wenn Ihr Schlüsselserver diese Funktion unterstützt und Sie die Funktion verwenden möchten.
    Sie können auf KMS hinzufügen klicken, um weitere Schlüsselserver hinzuzufügen.
  5. Klicken Sie auf Schlüsselanbieter hinzufügen.
  6. Klicken Sie auf Vertrauenswürdigkeit.
    vCenter Server fügt den Schlüsselanbieter hinzu und zeigt den Status als „Verbunden“ an.

Nächste Maßnahme

Weitere Informationen hierzu finden Sie unter Herstellen einer vertrauenswürdigen Standardschlüsselanbieter-Verbindung durch den Austausch von Zertifikaten.