Users Guide
注:如果计划使用 IBM Security Key Lifecycle Manager (SKLM),请转至第 xxi 页的『相关出版物』以
了解有关设置和配置的信息。
v 如果已清除并重新配置"磁带库加密"设置,您需要在使用磁带库自签名证书时在服务器上接受新证书。
管理 KMIP 加密
1. 在 Actions 菜单中,单击 Manage Encryption 以启动向导。
2. Wizard Information 屏幕显示关于向导的信息。在该屏幕上,还可以重置加密设置。如果磁带库配置完成,
且 KMIP 服务器在网络上可用,请单击 Next。
3. Certificate Option 屏幕显示一些不同的证书选项,这些选项可以用来建立与 KMIP 服务器的安全通信。
可从以下选项中选择:
v Library Self-Signed Certificate(缺省选项)- 使用由磁带库生成的自签名证书。
v Uploaded Certificate - 上载一个包含证书和对应密钥的 PCKS #12 文件。
v Generate Certificate Request (CSR) - 由磁带库生成且必须由 CA 服务器签名的 CSR。该方法需要
必须在执行向导步骤期间提供的 CA 证书。
a. Certification Configuration
– Library Self-Signed Certificate - 跳至下一步。
– Uploaded Certificate
1) 在 Certificate Option 屏幕上的证书区域中上载 PKCS #12 文件。
2) 如果该文件需要密码,必须在 Certificate Password 输入字段中提供。如果没有密码,该
字段可以留空。
3) 成功上载证书后,单击 Next。
– Generate Certificate Request (CSR)
1) Certificate Authority Information 屏幕显示使用 KMIP 证书的先决条件。满足先决条件
后,单击 Next。
2) Certificate Authority Certificate Entry 屏幕显示获取 KMIP 服务器的 CA 证书的指示
信息。根据这些指示信息操作,以从管理控制台复制 CA 证书。将该 CA 证书粘贴到向导
中,然后单击 Next。
3) Library Certificate Information 屏幕显示关于后续向导步骤的信息。单击 Next。
b. KMIP Client Configuration 屏幕为两种类型的服务器认证提供了选项。
– 如果您的 KMIP 服务器使用客户机用户名和密码进行认证,请输入在 KMIP 管理控制台上为磁
带库指定的用户名和密码。
– 如果您的 KMIP 服务器使用仅证书验证进行认证,请选择 Enable KMIP Certificate only 认
证。请仅在使用的 KMIP 服务器不支持客户机用户名和密码的情况下选择该选项。当 KMIP 与
IBM Security Key Lifecycle Manager 一起使用时,将使用该缺省方法。
1) 在 KMIP Server Configuration 屏幕中,请输入最多十个 KMIP 服务器的 IP 地址或标
准主机名和端口号。
2) 要验证对 KMIP 服务器的访问情况,请单击 Connectivity Check。
3) 在 KMIP 服务器端检查服务器是否接受磁带库的证书。
4) Setup Summary 屏幕显示向导收集的设置。请验证这些设置是否正确,且 Done 列中没
有错误。
- 如果需要修改任何设置或解决任何问题,请单击 Back 到达所需屏幕,或者单击 Can-
cel 退出向导,解决问题后再继续操作。
- 如果设置正确且没有报告错误,请单击 Finish。
管理 73