适合企业的NAS网络存储服务器

群晖NAS教程:如何设置远程密钥服务器?

2024年09月6日 | 教程中心

在现代的数据管理中,确保数据安全至关重要。远程密钥服务器 (Remote Key Server) 是一种加强数据保护的方式。本文将指导您如何在群晖 NAS 上设置远程密钥服务器,帮助您为敏感数据提供更高的安全保障。 密钥管理互操作协议 (KMIP)服务允许您将加密卷的加密密钥存储在远程 Synology NAS 上。本文将指导您如何设置服务器以存储来自另一台 Synology NAS 的加密密钥。 本文将使用以下术语:
  • 远程密钥客户端:加密卷所在的 Synology NAS。
  • 远程密钥服务器:存储加密卷加密密钥的 Synology NAS。

环境配置

设置远程密钥服务器

1. 确保您在远程密钥客户端和服务器上都有有效的 KMIP 服务证书1。了解更多关于证书的信息。 2. 在充当远程密钥客户端的 Synology NAS 上:
  • 转到Control Panel > Security > Certificate并点击Settings
  • KMIP下拉菜单中,选择所需证书并点击OK
  • Control Panel > Security > Certificate中,选择步骤 2-b 中的相同证书并点击Action > Export certificate。将下载的文件保存并解压到您的计算机上。
3. 在充当远程密钥服务器的 Synology NAS 上:
  • 转到Control Panel > Security > Certificate并点击Settings
  • KMIP下拉菜单中,选择所需证书并点击OK
  • 转到Control Panel > Security > KMIP
  • 选择设置为远程密钥服务器
  • 选择密钥存储位置。 2
  • 管理客户端连接部分,点击管理
  • 点击添加并上传您在步骤 2-c 中导出的证书。
    • 对于认证机构颁发的证书:上传您的客户端证书 (例如,cert.pem)。
    • 对于自签名证书:上传您的客户端证书 (例如,server.pem)和 认证机构 (例如,CA.pem)。 3
4. 返回到远程密钥客户端:
  • 转到Control Panel > Security > KMIP
  • 选择设置为远程密钥客户端
  • 输入远程密钥服务器的主机名和端口,然后点击Next4如果您在步骤 2-b 中选择了自签名证书,请在此处上传其认证机构 (例如,CA.pem)。 3
5. 确认证书信息,并点击Trust以连接到服务器。

删除证书

如果您的群晖 NAS 丢失,删除证书将防止加密卷在丢失的设备上挂载,从而保护您的数据免受未经授权的访问。 5
  1. 在充当远程密钥服务器的 Synology NAS 上,转到Control Panel > Security > KMIP
  2. 远程密钥服务器部分点击Settings
  3. 管理客户端连接部分点击Manage
  4. 选择证书并点击Delete

注意:

  1. 无法为 KMIP 服务选择默认 Synology 证书或 QuickConnect 证书。
  2. 如果密钥存储位置是加密卷,请确保卷已解锁,以便远程密钥客户端访问加密密钥。
  3. 如果您还有中间证书,请将其与根证书捆绑成一个文件(例如,pem 格式)后上传到认证机构
  4. 默认 KMIP 端口是 5696。要自定义端口号,请转到Control Panel > Security > KMIP > Remote Key Server > Settings
  5. 只有相应的加密密钥才能解密卷,因此即使群晖 NAS 被通过模式 1 重置,您的数据仍然安全。
  6. 更改 KMIP 服务或远程密钥服务器的证书后,下次启动 Synology NAS 时,您需要使用相应的恢复密钥解锁每个加密卷
  7. 远程密钥服务器可以保护来自多台远程密钥客户端的加密密钥。但是,不能同时将两台 Synology NAS 设置为彼此的远程密钥服务器和客户端。例如,如果“NAS A”是“NAS B”的远程密钥服务器,则不能将“NAS B”设置为“NAS A”的远程密钥服务器。
文章标签:

相关文章

群晖NAS:优化iSCSI LUN性能及解决连接问题的指南

群晖NAS:优化iSCSI LUN性能及解决连接问题的指南

在虚拟化和存储管理中,iSCSI LUN的性能和稳定性至关重要。群晖NAS提供了一套全面的解决方案来优化iSCSI LUN的性能并解决连接问题。本指南将带您了解如何通过调整存储设置、网络配置和主机设置,确保您的iSCSI...