Se una chiave scade o risulta compromessa, è possibile generare nuove chiavi di crittografia per i dati inattivi.

Quando si generano nuove chiavi di crittografia per il cluster vSAN, sono disponibili le opzioni indicate di seguito.
  • Se si genera una nuova chiave KEK, tutti gli host nel cluster vSAN riceveranno la nuova chiave KEK dal KMS. La chiave DEK di ogni host viene nuovamente crittografata con la nuova chiave KEK.
  • Se si sceglie di ridefinire le chiavi di crittografia e di crittografare nuovamente tutti i dati utilizzando nuove chiavi, vengono generate una nuova chiave KEK e nuove chiavi DEK. Per crittografare nuovamente i dati, è necessario eseguire una riformattazione incrementale del disco.

Prerequisiti

  • Privilegi necessari:
    • Host.Inventory.EditCluster
    • Cryptographer.ManageKeys
  • È necessario aver configurato un provider di chiavi e aver stabilito una connessione attendibile tra vCenter Server e KMS.

Procedura

  1. Passare al cluster di host vSAN.
  2. Fare clic sulla scheda Configura.
  3. In vSAN, selezionare Servizi.
  4. Fare clic su Genera nuove chiavi di crittografia.
  5. Per generare una nuova chiave KEK, fare clic su Applica. Le chiavi DEK vengono nuovamente crittografate con la nuova chiave KEK.
    • Per generare una nuova KEK e nuove DEK e crittografare nuovamente tutti i dati nel cluster vSAN, selezionare la casella di controllo seguente: Inoltre, crittografare nuovamente tutti i dati nell'archivio utilizzando le nuove chiavi.
    • Se il cluster vSAN dispone di risorse limitate, selezionare la casella di controllo Consenti ridondanza ridotta. Se si consente la riduzione della ridondanza, i dati potrebbero essere a rischio durante l'operazione di riformattazione del disco.