Dell PowerVault ML6000 User Manual [en, ru, de, es, fr]

READ THIS FIRST - How To Set Up Dell Encryption Key Manager

On Your PowerVault™ ML6000 (English) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

À LIRE EN PREMIER LIEU - Installation de Dell Encryption Key Manager

sur votre bibliothèque PowerVault™ ML6000 (French) . . . . . . . . . . . . . . . . . . . . . 10

BITTE ZUERST LESEN - So richten Sie Dell Encryption Key Manager

in Ihrem PowerVault™ ML6000 ein (German) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

LEA ESTO PRIMERO: Cómo instalar Dell Encryption Key Manager

en la biblioteca PowerVault™ ML6000 (Spanish) . . . . . . . . . . . . . . . . . . . . . . . . . 25

ПРОЧИТАЙТЕ В ПЕРВУЮ ОЧЕРЕДЬ! Установка

диспетчера ключей шифрования Dell

в библиотеке PowerVault™ ML6000 (Russian) . . . . . . . . . . . . . . . . . . . . . . . . 33

はじめに『PowerVault™ ML6000 に Dell Encryption Key Manager

を設定する方法』（Japanese）をお読みください。 . . . . . . . . . . . . . . . . . . . . 41

www.dell.com | support.dell.com

이 부분을 먼저 읽으십시오 - PowerVault ™ ML6000

에서 Dell 암호화 키 관리자 설정 방법 (Korean) . . . . . . . . . . . . . . . . . . . . . . . . . 48

请先阅读 - 《 How To Set Up Dell Encryption Key Manager On Your PowerVault™ ML6000 （如何在 PowerVault™ ML6000

上设置 Dell Encryption Key Manager ）》（ Simplified Chinese） . . . . . . . . . . 55

請先閱讀 - 如何在 PowerVault™ ML6000 上設定

Dell Encryption Key Manager （Traditional Chinese） . . . . . . . . . . . . . . . . . . . . 61

May 2010 P/N 6-01856-04

Reproduction in any manner whatsoever without the written permission of Dell Inc. is strictly forbidden.

Trademarks used in this text: Dell and the DELL logo are trademarks of Dell Inc. Other trademarks and trade names may be used in this document to refer to either the entities claiming the marks and names or their products. Dell Inc. disclaims any proprietary interest in trademarks and trade names other than its own.

Toute reproduction de quelque manière que ce soit sans l'autorisation écrite de Dell Inc. est strictement interdite.

Marques utilisées dans ce texte : Dell et le logo DELL sont des marques de Dell Inc. D'autres marques et noms de marques peuvent être utilisés dans ce document pour se référer aux entités revendiquant les marques et noms de leurs produits respectifs. Dell Inc. dénie tout intérêt propriétaire vis-à-vis des marques et des noms de marques autres que les siens.

Irrtümer und technische Änderungen vorbehalten.

www.dell.com | support.dell.com

Die Reproduktion dieses Dokuments in jeglicher Form ohne schriftliche Genehmigung von Dell Inc. ist streng untersagt.

In diesem Text verwendete Marken: Dell und das DELL-Logo sind Marken von Dell Inc. Alle anderen in dieser Dokumentation genannten Marken und Handelsbezeichnungen sind Eigentum der jeweiligen Hersteller und Firmen. Dell Inc. lehnt jegliche Besitzrechte an Markenzeichen und Handelsbezeichnungen mit Ausnahme der eigenen ab.

La reproducción de cualquier manera, sea cual sea, sin el permiso por escrito de Dell Inc. está estrictamente prohibida.

Las marcas comerciales que se usan en este texto: Dell y el logotipo DELL son marcas comerciales de Dell Inc. Es posible que se usen otras marcas comerciales o nombres comerciales en este documento para referirse a las entidades que reclaman la propiedad de las marcas y nombres o a sus productos. Dell Inc. rechaza cualquier interés de propiedad sobre las marcas y nombres comerciales que no sean los suyos.

Воспроизведение данного документа каким бы то ни было способом без письменного разрешения компании Dell Inc. строго запрещено.

Используемые в данном тексте товарные знаки Dell и логотип DELL являются товарными знаками компании Dell Inc. В настоящем документе могут использоваться другие товарные знаки и наименования для указания соответствующих компанй, зарегистрировавших товарные знаки, и наименований выпускаемых ими изделий. Компания Dell Inc. не претендует на права собственности на какие-либо товарные знаки и наименования, кроме своих собственных.

このマニュアルの内容は予告なしに変更されることがあります。

本書で使用されている商標：Dell および DELL ロゴは Dell Inc. の商標です。このマニュアルでは、上記以外の商標や会社名が、その商標および商号を主張する事業体またはその製品として使用されている場合があります。

これらの商標や会社名は、Dell Inc. に所属しません。

이 문서의 정보는 공지없이 변경될 수 있습니다 .

Dell Inc. 의 서면 승인없이 어떠한 방법으로든 복제하는 것은 절대 금지합니다 .

이 문서에 사용된 상표 : Dell 및 DELL 로고는 Dell Inc. 의 상표입니다 . 이 문서에 사용된 기타 상표 및 상표명은 상표 및 이름에 대한 권리 소유자 또는 해당 제품을 언급하기 위해 사용되었습니다 . Dell Inc. 은 자사 소유가 아닌 상표 및 상표명에 대한 소유권을 거부합니다

未经 Dell Inc. 事先书面同意，严禁。

本文中使用的商标：Dell 和 DELL 徽标是 Dell Inc. 的商标。本文档中可能会使用其它商标和商品名称代表声明该商标和名称的实体或其产品。除本公司的商标和商品名称之外，Dell Inc. 对其它公司的商标和商品名称不拥有任何所有权。

未經由 Dell 的書面允許，禁止以任何形式進行重製動作。本文中使用的商標：Dell 和 DELL 標誌是 Dell Inc. 的商標。文件中的其他商標和商標名稱文件中可能會使用其他商標和商標名稱

來代表 Dell 的商標和名稱或是產品聲明。 Dell Inc. 對其它公司的商標和商品標籤不擁有任何所有權。

息如有更改，恕不另行通知。

에서 인쇄 .

READ THIS FIRST - How To Set Up Dell Encryption Key Manager On Your PowerVault™ ML6000 (English)

About Cautions

CAUTION: A CAUTION indicates potential damage to hardware or loss of data if instructions are not followed.

Purpose of This Document

The Dell Encryption Key Manager (EKM) is a centralized key manager application that manages the encryption keys used as part of the IBM LTO-4 and IBM LTO-5 drive-based data encryption process. Library-managed encryption is an optional, licensed feature that must be enabled from the PowerVault ML6000 library in order to begin encrypting data using the LTO-4/LTO-5 tape drive encryption capabilities.

The Dell EKM is an IBM Java software program that assists encryption-enabled tape drives in generating, protecting, storing, and maintaining encryption keys that are used to encrypt information being written to, and decrypt information being read from, tape media. Policy control and keys pass through the library; therefore, encryption is transparent to the applications.

For more information about installing and configuring the EKM server and Dell EKM best practices, please refer

Dell PowerVault Encryption Key Manager User’s Guide

to the

Managed Encryption Best Practices and FAQ

NOTE: In order for Dell EKM to work properly, you must upgrade both your library and tape drive firmware to the latest

released versions. The latest firmware and installation instructions are available on

fact sheet.

and the

Dell Encryption Key Manager and Library

http://support.dell.com

www.dell.com | support.dell.com

Supported Tape Drives and Media

Library managed encryption on the PowerVault ML6000 supports encryption only on LTO-4 and LTO-5 data cartridges using IBM LTO-4 and LTO-5 Fibre Channel and SAS tape drives. ML6000 library managed encryption does not support encryption on other tape drive types or manufacturer brands, even if they are assigned to a partition selected for encryption. Other media types (for example, LTO-3) can be read, but not encrypted, by tape drives enabled for library managed encryption.

Installing the Dell EKM on a Server

You must supply a server or servers on which to install the Dell EKM. When you purchase library managed encryption, you receive a CD which contains the software to install on the server, along with installation instructions and a user’s guide. You must set up your EKM server(s) and install your license key before you can set up EKM on your library.

NOTE: Since the Dell PowerVault ML6000 library needs to communicate with the EKM server in real time when reading

from or writing to an encryption-enabled tape drive, it is strongly recommended that you use both a primary and secondary EKM server. This way, if the primary server is unavailable at the time the library needs encryption information, the secondary server can handle the request. The Dell PowerVault ML6000 library allows you to use up to two EKM servers for failover/redundancy purposes.

Setting Up Encryption On the Library

Step 1: Installing a License Key

NOTE: Ensure that both your library and tape drive firmware are updated to the latest released versions. The latest

firmware and installation instructions are available on

Obtain a license key for encryption, following the instructions on the

Do one of the following:

• From the operator panel, select

• From the Web client, select

www.dell.com | support.dell.com

Enter the new license key.

Click

Apply

Setup > Licenses

Setup > License

www.support.dell.com

A progress window displays, showing time elapsed. When complete, a green the status changes to “Operation Succeeded.” Encryption is now listed as a feature on the screen. (If a

Failure

message appears, you may have entered an incorrect license key.)

Click

Step 2: Configuring Encryption Settings and Key Server Addresses

Unload tape cartridges from all encryption-capable tape drives in the library.

From the Web client, select

Automatic EKM Path Diagnostics

may also specify the number of consecutive missed test intervals required to generate a RAS ticket. For more information, see Automatic EKM Path Diagnostics on page 9.

Secure Sockets Layer (SSL)

servers, select the sure that the

SSL Connection

Primary

set on the EKM key servers. The default SSL port number is 443.

Setup > Encryption > System Configuration

: Enable or disable this feature and set the test interval as desired. You

: To enable SSL for communication between the library and the EKM key

checkbox. The default is Disabled. If you enable SSL, you must make

and

Secondary Key Server Port Numbers

(see below) match the SSL port numbers

License Key Certificate

Success

message appears, and

you received.

NOTE: Keys are always encrypted before being sent from the EKM key server to a tape drive, whether SSL is enabled or

not. Enabling SSL provides additional security.

In the

Primary Key Server IP Address or Host

text box, enter either:

• The IP address of the primary key server (if DNS is not enabled), or

• The host name of the primary key server (if DNS is enabled)

Enter the port number for the primary key server into the

Primary Key Server Port Number text box. The

default port number is 3801 unless SSL is enabled. If SSL is enabled, the default port number is 443.

NOTE: If you change the port number setting on the library, you must also change the port number on the key server to

match or EKM will not work properly.

If you are using a secondary key server for failover purposes, enter the IP address or host name of the secondary key server into the

NOTE: If you do not plan to use a secondary key server, you may type a zero IP address, 0.0.0.0, into the

Secondary Key Server IP Address or Host text box, or you may leave the text box blank.

If you configured a secondary key server (previous step), enter the port number for the secondary key server

into the

Secondary Key Server Port Number

Secondary Key Server IP Address or Host

text box. The default port number is 3801 unless SSL is

text box.

enabled. If SSL is enabled, the default port number is 443.

NOTE: If you are using a secondary key server, then the port numbers for both the primary and secondary key servers

must be set to the same value. If they are not, synchronization and failover will not occur.

Click

Apply

The Progress Window opens. The Progress Window contains information on the action, elapsed time, and status of the operation. Do one of the following:

•If

Success

Click

•If

Failure

appears in the Progress Window, the EKM system settings were successfully configured.

to close the Progress Window.

appears in the Progress Window, the EKM system settings were not successfully configured. Follow the instructions listed in the Progress Window to resolve any issues that occurred during the operation.

NOTE: If you plan to use different EKM key servers for different partitions, you must also fill in the overrides section of

the Setup > Encryption > Partition Encryption screen. See Step 3: Configuring Partition Encryption.

Step 3: Configuring Partition Encryption

Encryption on the Dell PowerVault ML6000 tape library is enabled by partition only. You cannot select individual tape drives for encryption; you must select an entire partition to be encrypted. If you enable a partition for library managed encryption, all library managed encryption-supported tape drives in the partition are enabled for encryption, and all data written to library managed encryption-supported media in the partition is encrypted. Any tape drives not supported by library managed encryption in that partition are not enabled for encryption, and data written to non-supported media is not encrypted.

Data written to encryption-supported and encryption-capable media in library managed encryption-supported

unless

tape drives will be encrypted for data to be encrypted, the media must be blank or have been written to using library managed encryption at the first write operation at the beginning of tape (BOT).

Configure the partition(s) as follows:

From the Web client, select A list of all your partitions displays, along with a drop-down list displaying the encryption method for each

partition.

data was previously written to the media in a non-encrypted format. In order

Setup > Encryption > Partition Configuration

www.dell.com | support.dell.com

If you want to change the encryption method for a partition, make sure that no tape drives in that partition have cartridges loaded in them. If tape drives have cartridges loaded, you cannot change the encryption method.

Select an encryption method from the drop-down list for each partition. (For tape drives that support encryption, the default is

Application Managed

.) The Encryption Method applies to all encryption-

capable tape drives and media in that partition.

Encryption Method Description

Library Managed For use with EKM. Enables encryption support via a

connected Dell EKM key server for all encryption-capable tape drives and media assigned to the partition.

Application Managed Not for use with EKM. Allows an external backup application

to provide encryption support to all encryption-capable tape drives and media within the partition. The library will NOT communicate with the Dell EKM server on this partition.

This is the default setting if you have encryption-capable tape drives in the partition. This option should remain selected unless you want Dell EKM to manage encryption.

NOTE: If you want an application to manage encryption, you

must specifically configure the application to do so. The library will not participate in performing this type of encryption.

None Disables encryption on the partition.

Unsupported Means that no tape drives in that partition support

encryption.

If Unsupported is shown, it will be greyed out and you will not be able to change the setting.

If you want different partitions to use different EKM key servers, fill in the Library Managed Encryption

Server Overrides section as described in this step. The settings in the overrides section supersede the default settings listed in the

Setup > Encryption > System Configuration

settings do not change the settings listed in the

Setup > Encryption > System Configuration

screen. (However, the overrides

screen. Those settings are the default configuration settings for any partition that does not use overrides.) Overrides are only available on partitions that have

www.dell.com | support.dell.com

CAUTION: Only fill in the overrides section if you want different partitions to use different EKM key servers.

Otherwise, leave this section alone and allow the values from the Setup > Encryption > System Configuration screen to populate these fields. Once you make any changes to the overrides section, the default values from the Setup > Encryption > System Configuration screen will no longer automatically populate these fields. If you want to return to the default settings after changing the overrides, you must enter them manually.

Library Managed

set as the encryption method.

For each partition that has Library Managed as the encryption method, do the following:

• Type the IP address (if DNS is not enabled) or the host name (if DNS is enabled) of the primary EKM

key server in the

• Type the port number for the primary EKM key server into the

Primary Host

text box.

Port

text box. The default port number

is 3801, unless SSL is enabled. If SSL is enabled, the default port number is 443.

• If you are using a secondary EKM server, type the address/host name and port number of the secondary

EKM key server in the

• Select the

SSL

checkbox if you want to enable Secure Sockets Layer (SSL) for communication

Secondary Host

and

Port

text boxes.

between that partition and the EKM servers. The default is Disabled. If you enable SSL, you must make sure that the primary and secondary EKM port numbers in the overrides section match the SSL port numbers set on the EKM servers. The default SSL port number is 443.

NOTE: Keys are always encrypted before being sent from the EKM server to a tape drive, whether SSL is enabled or

not. Enabling SSL provides additional security.

NOTE: Restriction on EKM servers used for overrides: If you are using primary and secondary servers for overrides, the

following restriction applies. (If you are not using a secondary server, there are no restrictions.)

Restriction: A given primary server and secondary server must be “paired” and cannot be used in different combinations. For example:

• You can have Server1 as primary and Server2 as secondary for any or all partitions.

• If Server1 is primary and Server2 is secondary on one partition, then in any other partition that you use Server1, Server1 can only be primary and it must be “paired” with Server2 as secondary. You cannot have Server1 as primary and Server3 as secondary on another partition.

• You cannot have Server1 be both primary on PartitionA and secondary on PartitionB.

• You cannot have Server2 be both secondary on PartitionA and primary on PartitionB.

If you use overrides, make sure that you install Dell EKM on all the servers you specify. Then run the Manual EKM Path Diagnostics on each tape drive in every partition configured for EKM to make sure that each tape drive can communicate with and receive keys from the specified EKM key server. For more information, see Using EKM Path Diagnostics on page 7.

Click

Apply

The Progress Window appears. The Progress Window contains information on the action, elapsed time, and status of the requested operation. Do one of the following:

•If

Success

Click

appears in the Progress Window, the EKM system settings were successfully configured.

to close the Progress Window.

•If

Failure

Save the library configuration (for instructions, see the

Dell PowerVault ML6000 User’s Guide)

Step 4: Running EKM Path Diagnostics

Run EKM Path Diagnostics to make sure your tape drives and key servers are connected and running properly. See Using EKM Path Diagnostics on page 7.

Backing Up Keystore Data

Due to the critical nature of the keys in your keystore, it is vital that you back up your keystore data on a nonencrypted device so that you can recover it as needed and be able to read the tapes that were encrypted using those encryption keys associated with that tape drive or library.

Using EKM Path Diagnostics

The EKM Path Diagnostics consists of a series of short tests to validate whether the key servers are running, connected, and able to serve keys as required.

Run the Manual EKM Path Diagnostics any time you change the key server settings or library encryption settings, and when you replace a tape drive. It is recommended that you test each drive that communicates with key manager servers.

The diagnostics consists of the following tests:

NOTE: The tape drive used for the test must be unloaded, ready, and online in order to run any of the tests.

•

Ping

— Verifies the Ethernet communication link between the library and the key servers. If the partition

in which the selected tape drive resides uses EKM server overrides, then the override IP addresses are tested

Setup > Encryption > Partition Configuration

(see system IP addresses are tested (see

•

Drive

— Verifies the tape drive’s path in the library (communication from library to tape drive sled and from tape drive sled to tape drive). The tape drive must be unloaded, ready, and online in order to run this test. If this test fails, the Path and Config tests are not performed.

•

Path

— Verifies that EKM services are running on the key servers. This test cannot run if the Drive test

fails.

•

Config

— Verifies that the key servers are capable of serving encryption keys. This test cannot run if the

Drive test fails.

If any of the tests fail, try the following resolutions and run the test again to make sure it passes:

•

Ping Test Failure

the library is connected.

•

Drive Test Failure

ticket.

•

Path Test Failure

the library configuration settings.

•

Config Test Failure

There are two ways to perform the diagnostics:

• Manual EKM Path Diagnostics

• Automatic EKM Path Diagnostics

The Manual diagnostics differs from the Automatic diagnostics in the following ways:

— Verify that the key server host is running and accessible from the network to which

— Look for any tape drive RAS tickets and follow the resolution instructions in the

— Verify that the key server is actually running and that the port/SSL settings match

— Verify that the EKM server is set up to accept the tape drive you are testing.

Setup > Encryption > System Configuration

). If the partition does not use overrides, the default

www.dell.com | support.dell.com

• The Manual diagnostics takes affected partitions offline. The Automatic diagnostics does not take partitions offline. It may delay moves to tape drives while they are being tested.

• The Manual EKM Path Diagnostics requires that you select one tape drive to use for the test. Since the test only validates the selected drive, if you want to test the path for each tape drive, you must run the test multiple times (once for each drive). To test all servers, you must run the diagnostics once for each Library Managed Encryption enabled partition (each server pair is connected to a unique partition and tape drive). If the tape drive is not available (it must be unloaded, ready, and online), the Drive, Path, and Config tests are not performed.

• The Automatic EKM Path Diagnostics tests every connected EKM server in turn, and the library selects the tape drive to use for each test. If the selected tape drive is not available (it must be unloaded, ready, and online), then the library tries another tape drive that is connected to the key server until it finds one that is

www.dell.com | support.dell.com

available. If no tape drives connected to a particular key server are available, then that server is skipped and the tests are not performed. If a server is skipped for “X” number of consecutive test intervals (where “X” is configurable on the Web client), the library generates a RAS ticket. If a tape drive remains loaded for a long time, it is possible that it will never be tested. If you want to test a specific tape drive, then you should use the Manual EKM Path Diagnostics.

In particular, if you replace a tape drive, run the Manual EKM

path diagnostics.

Manual EKM Path Diagnostics

Access the EKM Path Diagnostics screen in one of two ways:

• Enter library Diagnostics (select

Diagnostics

. Note that entering Diagnostics will log off all other users of the same or lower privileges and take your partitions offline. When you exit Diagnostics, the partitions automatically come back online.

• Select

Setup > Encryption > System Configuration

Configuration

and click the link that says “Click here to run EKM Path Diagnostics.” Note that performing this action takes the partition in which the selected tape drive resides offline. When the test completes, the partition automatically comes back online.

A list of all the tape drives enabled for library-managed encryption is displayed, along with the tape drive status and the partition in which each tape drive resides.

Tools > Diagnostics

) and then select

Setup > Encryption > Partition

EKM > EKM Path

Select the tape drive on which you want to perform diagnostics and click

Apply

. The tape drive must be

unloaded, ready, and online in order for the test to run. A dialog box appears telling you that the selected partition will be taken offline.

Click OK to start the diagnostics. The Progress Window appears. The Progress Window contains information on the action, elapsed time,

and status of the requested operation. The library performs the diagnostics and reports pass/fail results on each of the tests in the Progress

Window.

NOTE: The diagnostics tests may take several minutes to complete.

Do one of the following:

•If

Completed

that the diagnostics passed, just that the diagnostics were performed). Click

appears in the Progress Window, the diagnostics were performed (this does not mean

to close the Progress

Window.

•If

Failure

appears in the Progress Window, the diagnostics were not able to be performed. Follow the

instructions listed in the Progress Window to resolve any issues that occurred during the operation.

Automatic EKM Path Diagnostics

You can enable the library to automatically perform EKM Path Diagnostics at selected intervals. During each interval, the library tests every configured key server. The library generates a RAS ticket if there are problems. By default, this feature is disabled. The default test interval is four hours. It is recommended that you leave Automatic EKM Path Diagnostics disabled, unless network interruptions are a common cause of encryption failures at your site.

CAUTION: Running Automatic EKM Path Diagnostics may cause an increase in RAS tickets if tests are skipped due to

tape drives being unavailable for a configurable number of consecutive test intervals. To reduce the occurrences of RAS tickets, you can specify the number of consecutive test intervals required to generate a RAS ticket to a higher number, or you can set the library to never generate a RAS ticket for missed test intervals.

For a list of tests performed, see Using EKM Path Diagnostics on page 7. To enable Automatic EKM Path Diagnostics:

From the Web client, select

Select the

Select an interval from the drop-down list.

Specify the number of consecutive, missed test intervals required before the library generates a RAS ticket

Automatic EKM Path Diagnostics

Setup > Encryption > System Configuration

check box.

informing you that the test could not be performed within the specified intervals.

Viewing Tape Drive Encryption Settings

You can view the encryption settings in the following ways:

•

System Information Report

drives, select

Reports > System Information

PowerVault ML6000 User’s Guide

•

Library Configuration Report

Reports > Library Configuration

select status is displayed in a pop-up status window. For more information, see the

User’s Guide

•

Partition Encryption

view and change the encryption settings of partitions. See Step 3: Configuring Partition Encryption on page 5 for more details.

— To view encryption information on all key servers, partitions, and tape

from the Web client. For more information, see the

— To view the encryption status of a selected tape drive or tape cartridge,

from the Web client and click a tape drive or slot. The encryption

Dell PowerVault ML6000

— From the Web client, select

Setup > Encryption > Partition Configuration

Dell

www.dell.com | support.dell.com

À LIRE EN PREMIER LIEU - Installation de Dell Encryption Key Manager sur votre bibliothèque PowerVault™ ML6000 (French)

À propos des mises en garde

ATTENTION ! Une MISE EN GARDE indique un risque de dommage matériel ou de perte de données si les

instructions ne sont pas respectées.

www.dell.com | support.dell.com

Objet de ce document

Dell Encryption Key Manager (EKM) est une application gestionnaire de clés centralisée qui gère les clés de cryptage utilisées en tant que partie intégrante du processus de cryptage des données s'articulant autour des lecteurs IBM LTO-4 et IBM LTO-5. Library Managed Encryption (cryptage géré par la bibliothèque) est une fonctionnalité facultative, sous licence, qui doit être activée depuis la bibliothèque PowerVault ML6000 afin de pouvoir crypter des données à l'aide des fonctionnalités de cryptage du lecteur de bande LTO-4/LTO-5.

Dell EKM est un programme logiciel IBM Java qui aide les lecteurs de bande prenant en charge le cryptage à générer, protéger, stocker et gérer les clés de cryptage utilisées pour crypter les informations écrites sur le média de bande et à décrypter les informations lues à partir de celui-ci. Le contrôle de la stratégie et les clés transitent par l'interface ; par conséquent, le cryptage est transparent pour toutes les applications.

Pour plus d'informations sur l'installation et la configuration du serveur EKM et des recommandations sur Dell EKM, reportez-vous aux documents suivants :

Manager

d'information

Dell Encryption Key Manager et Library Managed Encryption - Recommandations

Forum Aux Questions

REMARQUE : Afin que Dell EKM puisse fonctionner correctement, vous devez mettre à niveau votre bibliothèque et

micrologiciel de lecteur de bande avec les dernières versions officielles. Le dernier micrologiciel et les instructions d'installation les plus récentes sont disponibles à l'adresse

Guide d'utilisation de Dell PowerVault Encryption Key

, et la feuille

http://support.dell.com

Lecteurs de bande et médias pris en charge

Library Managed Encryption sur la bibliothèque PowerVault ML6000 prend uniquement en charge le cryptage sur les cartouches de données LTO-4 et LTO-5 à l'aide des lecteurs de bande IBM LTO-4 et LTO-5 Fibre Channel et SAS. Library Managed Encryption sur ML6000 ne prend pas en charge le cryptage sur d'autres types de lecteur de bande ou d'autres marques de fabricant, même s'ils sont affectés à une partition sélectionnée pour le cryptage. D'autres types de médias (par exemple, LTO-3) peuvent être lus, mais non cryptés, par des lecteurs de bande activés pour Library Managed Encryption.

Installation de Dell EKM sur un serveur

Vous devez disposer d'un ou de plusieurs serveurs sur lesquels installer Dell EKM. Lorsque vous achetez Library Managed Encryption, vous recevez un CD qui contient le logiciel à installer sur le serveur, ainsi que les instructions d'installation et un guide d'utilisation. Vous devez configurer votre ou vos serveurs EKM et installer votre clé de licence pour pouvoir installer EKM sur votre bibliothèque.

REMARQUE : Étant donné que la bibliothèque Dell PowerVault ML6000 doit communiquer avec le serveur EKM en

temps réel lors de la lecture ou de l'écriture sur un lecteur de bande prenant en charge le cryptage, il est fortement recommandé d'utiliser deux serveurs EKM, un principal et un secondaire. Ainsi, si le serveur principal n'est pas disponible lorsque la bibliothèque requiert des informations de cryptage, le serveur secondaire est à même de traiter la demande. La bibliothèque Dell PowerVault ML6000 vous permet de configurer jusqu'à deux serveurs EKM pour des raisons de basculement et de redondance.

Configuration du cryptage sur la bibliothèque

Étape 1 : Installation d'une clé de licence

REMARQUE : Assurez-vous de mettre à niveau vos bibliothèque et micrologiciel de lecteur de bande avec les

dernières versions officielles. Le dernier micrologiciel et les instructions d'installation les plus récentes sont disponibles à l'adresse

Procurez-vous une clé de licence pour le cryptage, en suivant les instructions qui figurent sur le

clé de licence

Effectuez l'une des actions suivantes :

www.support.dell.com

que vous avez reçu.

• Dans le panneau de commande, sélectionnez

• Dans le client Web, sélectionnez

Entrez la nouvelle clé de licence.

Cliquez sur

Apply (Appliquer)

Setup (Configuration) > Licenses (Licences)

Setup (Configuration) > License (Licence)

certificat de

Une fenêtre de progression indiquant le temps écoulé s'affiche. Lorsque l'opération est terminée, un message de

réussite

vert apparaît et l'état est défini sur « Operation Succeeded (L'opération a réussi) ». Encryption (Cryptage) est désormais répertorié en tant que fonctionnalité à l'écran. Si un message d' apparaît, vous avez probablement entré une clé de licence incorrecte.

Cliquez sur

Close (Fermer)

Étape 2 : Configuration des paramètres de cryptage et des adresses des serveurs de clés

Déchargez les cartouches de bande de tous les lecteurs de bande prenant en charge le cryptage dans la bibliothèque.

Dans le client Web, sélectionnez

Configuration (Configuration système)

Automatic EKM Path Diagnostics (Diagnostics de chemin EKM automatiques)

cette fonctionnalité, puis définissez l'intervalle de test désiré. Vous pouvez également spécifier le nombre d'intervalles de test manqués consécutifs avant la génération d'un dossier RAS. Pour plus d'informations, voir Diagnostics de chemin EKM automatiques, page 16.

Secure Sockets Layer (SSL)

de clés EKM, cochez la case (Désactivé). Si vous activez SSL, vous devez vous assurer que de port du serveur de clés principal) et clés secondaire) correspondent aux numéros de port SSL définis sur les serveurs de clés EKM (voir cidessous). Le numéro de port SSL par défaut est 443.

REMARQUE : Les clés sont toujours cryptées avant d'être envoyées du serveur de clés EKM à un lecteur de bande,

que le protocole SSL soit ou non activé. L'activation du protocole SSL renforce la sécurité.

Dans la zone de texte

principal)

, entrez :

Primary Key Server IP Address or Host (Adresse IP ou hôte du serveur de clés

• soit l'adresse IP du serveur de clés principal (si DNS n'est pas activé) ;

• soit le nom d'hôte du serveur de clés principal (si DNS est activé).

Entrez le numéro de port du serveur de clés principal dans la zone de texte

Number (Numéro de port du serveur de clés principal)

port par défaut est 3801. Si le protocole SSL est activé, le numéro de port par défaut est 443.

REMARQUE : Si vous modifiez le paramètre du numéro de port sur la bibliothèque, vous devez également modifier le

numéro de port sur le serveur de clés en conséquence ; sinon, EKM ne fonctionnera pas correctement.

Si vous utilisez un serveur de clés secondaire à des fins de basculement, entrez l'adresse IP ou le nom d'hôte du serveur de clés secondaire dans la zone de texte

ou hôte du serveur de clés secondaire)

REMARQUE : Si vous n'avez pas l'intention d'utiliser un serveur de clés secondaire, vous pouvez taper une

adresse IP nulle, 0.0.0.0, dans la zone de texte Secondary Key Server IP Address or Host (Adresse IP ou hôte du serveur de clés secondaire) ou ne pas renseigner cette zone de texte.

Setup (Configuration) > Encryption (Cryptage) > System

: activez ou désactivez

: pour activer SSL pour la communication entre la bibliothèque et les serveurs

SSL Connection (Connexion SSL)

. La valeur par défaut est Disabled

Primary Key Server Port Number

Secondary Key Server Port Number

(Numéro de port du serveur de

Primary Key Server Port

. Sauf si le protocole SSL est activé, le numéro de

Secondary Key Server IP Address or Host (Adresse IP

échec

(Numéro

www.dell.com | support.dell.com

Si vous avez configuré un serveur de clés secondaire (étape précédente), entrez son numéro de port dans la

zone de texte

Secondary Key Server Port Number (Numéro de port du serveur de clés secondaire)

. Sauf si le protocole SSL est activé, le numéro de port par défaut est 3801. Si le protocole SSL est activé, le numéro de port par défaut est 443.

REMARQUE : Si vous utilisez un serveur de clés secondaire, les numéros de port des serveurs de clés principal et

secondaire doivent avoir la même valeur. Sinon, la synchronisation et le basculement n'auront pas lieu.

Cliquez sur

Apply (Appliquer)

La fenêtre de progression s'ouvre. La fenêtre de progression contient des informations sur l'action, le temps écoulé et l'état de l'opération. Effectuez l'une des actions suivantes :

• Si un message de

système EKM ont bien été configurés. Cliquez sur

www.dell.com | support.dell.com

• Si un message d'

EKM n'ont pas pu être configurés. Suivez les instructions répertoriées dans la fenêtre de progression pour

réussite

apparaît dans la fenêtre de progression, cela signifie que les paramètres du

Close (Fermer)

échec

apparaît dans la fenêtre de progression, cela signifie que les paramètres du système

pour fermer la fenêtre de progression.

résoudre les problèmes survenus au cours de l'opération.

REMARQUE : Si vous projetez d'utiliser différents serveurs de clés EKM pour différentes partitions, vous devez

également renseigner la section Overrides (Priorités) de l'écran Setup (Configuration) > Encryption (Cryptage) > Partition Encryption (Cryptage des partitions). Voir Étape 3 : Configuration du cryptage de la partition.

Étape 3 : Configuration du cryptage de la partition

Sur la bandothèque Dell PowerVault ML6000, le cryptage est activé par partition uniquement. Vous ne pouvez pas sélectionner de lecteurs de bande individuels pour le cryptage ; vous devez sélectionner une partition entière à crypter. Si vous activez une partition pour Library Managed Encryption, tous les lecteurs de bande pris en charge par Library Managed Encryption dans cette partition sont activés pour le cryptage, et toutes les données écrites sur des médias pris en charge par Library Managed Encryption dans la partition sont cryptées. Tout lecteur de bande non pris en charge par Library Managed Encryption dans cette partition n'est pas activé pour le cryptage, et les données écrites sur des médias non pris en charge ne sont pas cryptées.

Les données écrites sur les médias pris en charge par le cryptage et prenant en charge le cryptage dans les lecteurs de bande pris en charge par Library Managed Encryption seront cryptées, préalable sur le média dans un format non crypté. Pour que les données soient cryptées, le média doit être vierge ou avoir été gravé par l'intermédiaire de Library Managed Encryption lors de la première opération d'écriture au début de bande.

Configurez la ou les partitions comme suit :

Dans le client Web, sélectionnez

Configuration (Configuration des partitions)

Setup (Configuration) > Encryption (Cryptage) > Partition

Une liste de toutes vos partitions s'affiche, avec une liste déroulante affichant la méthode de cryptage pour chaque partition.

Si vous souhaitez modifier la méthode de cryptage pour une partition, vérifiez qu'aucun lecteur de bande de cette partition ne comporte de cartouche. Dans le cas contraire, vous ne pourrez pas modifier la méthode de cryptage.

Sélectionnez une méthode de cryptage dans la liste déroulante pour chaque partition. (Pour les lecteurs de bande prenant en charge le cryptage, la méthode par défaut est

l'application)

. La méthode de cryptage s'applique à tous les lecteurs de bande et les médias prenant en

charge le cryptage dans cette partition.

sauf

si les données ont été écrites au

Application Managed (Géré par

Méthode de cryptage Description

Library Managed (Géré par la bibliothèque)

À utiliser avec EKM.

serveur de clés Dell EKM connecté pour tous les lecteurs de bande prenant en charge le cryptage et les médias attribués à la partition.

Active la prise en charge du cryptage par le biais d'un

Application Managed (Géré par l'application)

None (Aucun) Désactive le cryptage sur la partition.

Unsupported (Non pris en charge)

Si vous souhaitez que différentes partitions utilisent des serveurs de clés EKM différents, renseignez la

À ne pas utiliser avec EKM.

fournir la prise en charge du cryptage à tous les lecteurs de bande et les médias de la partition prenant en charge le cryptage. La bibliothèque NE communiquera PAS avec le serveur Dell EKM sur cette partition.

Il s'agit du paramètre par défaut si vous disposez de lecteurs de bande prenant en charge le cryptage dans la partition. Cette option doit rester sélectionnée, si vous souhaitez que Dell EKM prenne en charge le cryptage.

REMARQUE :

devez configurer spécialement cette dernière à cet effet. La bibliothèque ne participera pas à l'exécution de ce type de cryptage.

Signifie qu'aucun lecteur de bande de cette partition ne prend en charge le cryptage.

Unsupported (Non pris en charge)

modifier le paramètre.

Si vous voulez que le cryptage soit géré par une application, vous

Permet à une application de sauvegarde externe de

excepté

s'affiche, il sera grisé et vous ne pourrez pas

section Library Managed Encryption Server Overrides (Priorités des serveurs de cryptage gérés par la bibliothèque) comme décrit dans cette étape. Les paramètres de la section Overrides (Priorités) remplacent les paramètres par défaut répertoriés à l'écran

Configuration (Configuration système)

toutefois pas les paramètres indiqués dans l'écran

System Configuration (Configuration système)

Setup (Configuration) > Encryption (Cryptage) > System

. Les paramètres de la section Overrides (Priorités) ne modifient

Setup (Configuration) > Encryption (Cryptage) >

. Ces paramètres sont les paramètres de configuration par défaut de toutes les partitions qui n'utilisent pas de priorités. Les priorités sont uniquement disponibles sur les partitions dont la méthode de cryptage est

ATTENTION ! Renseignez la section Overrides (Priorités) uniquement si vous souhaitez que des partitions différentes

utilisent des serveurs de clés EKM différents. Sinon, laissez cette section inchangée et renseignez ces champs avec les valeurs de l'écran Setup (Configuration) > Encryption (Cryptage) > System Configuration (Configuration système). Lorsque vous avez terminé de modifier la section Overrides (Priorités), les valeurs par défaut de l'écran Setup (Configuration) > Encryption (Cryptage) > System Configuration (Configuration système) ne renseignent plus automatiquement ces champs. Si vous souhaitez revenir aux paramètres par défaut après avoir modifié les priorités, vous devez les saisir manuellement.

Library Managed (Géré par la bibliothèque)

Procédez comme suit pour chaque partition dont la méthode de cryptage est Library Managed (Géré par la bibliothèque) :

• Tapez l'adresse IP (si DNS n'est pas activé) ou le nom de l'hôte (si DNS est activé) du serveur de clés

EKM principal dans la zone de texte

• Tapez le numéro de port du serveur de clés EKM principal dans la zone de texte

Primary Host (Hôte principal)

Port

. Sauf si le protocole SSL est activé, le numéro de port par défaut est 3801. Si le protocole SSL est activé, le numéro de port par défaut est 443.

• Si vous utilisez un serveur EKM secondaire, tapez l'adresse ou le nom de l'hôte et le numéro de port du serveur de clés EKM secondaire dans les zones de texte

• Cochez la case

SSL

si vous souhaitez activer le protocole Secure Sockets Layer (SSL) pour établir une

Secondary Host

(Hôte secondaire) et

Port

communication entre cette partition et les serveurs EKM. La valeur par défaut est Disabled (Désactivé). Si vous activez le protocole SSL, vous devez vérifier que les numéros des ports EKM principal et secondaire dans la section Overrides (Priorités) correspondent aux numéros de ports SSL définis sur les serveurs EKM. Le numéro de port SSL par défaut est 443.

REMARQUE : Les clés sont toujours cryptées avant d'être envoyées du serveur EKM à un lecteur de bande, que le

protocole SSL soit ou non activé. L'activation du protocole SSL renforce la sécurité.

REMARQUE : Restrictions de l'utilisation des serveurs EKM pour les priorités : si vous utilisez des serveurs principaux

et secondaires pour les priorités, les restrictions suivantes s'appliquent. (Si vous n'utilisez pas de serveur secondaire, il n'y a pas de restrictions.)

Restriction : un serveur principal et un serveur secondaire donnés doivent être « couplés » et ne peuvent pas être utilisés dans des combinaisons différentes. Par exemple :

• Vous pouvez avoir Serveur1 comme serveur principal et Serveur2 comme serveur secondaire pour une ou toutes les partitions.

www.dell.com | support.dell.com

• Si Server1 est principal et Serveur2 est secondaire sur une partition, alors dans d'autres partitions où vous utilisez Serveur1, Serveur1 est uniquement le serveur principal et doit rester « couplé » avec Serveur2 comme serveur secondaire. Vous ne pouvez pas avoir Serveur1 comme serveur principal et Serveur3 comme serveur secondaire sur une autre partition.

• Vous ne pouvez pas avoir Serveur1 comme serveur principal sur PartitionA et comme serveur secondaire sur PartitionB.

• Vous ne pouvez pas avoir Serveur2 comme serveur secondaire sur PartitionA et comme serveur principal sur PartitionB.

Si vous configurez des priorités, installez bien Dell EKM sur tous les serveurs que vous spécifiez. Exécutez ensuite les diagnostics de chemin EKM manuels sur chaque lecteur de bande de chaque partition configurée pour EKM afin de vous assurer que chaque lecteur de bande peut communiquer avec le serveur de clés EKM spécifié et en recevoir des clés. Pour plus d'informations, voir Utilisation de EKM Path Diagnostics (Diagnostics de chemin EKM), page 14.

www.dell.com | support.dell.com

Cliquez sur

Apply (Appliquer)

La fenêtre de progression apparaît. La fenêtre de progression contient des informations sur l'action, le temps écoulé et l'état de l'opération demandée. Effectuez l'une des actions suivantes :

• Si un message de système EKM ont bien été configurés. Cliquez sur

réussite

apparaît dans la fenêtre de progression, cela signifie que les paramètres du

Close (Fermer)

pour fermer la fenêtre de

progression.

• Si un message d'

échec

apparaît dans la fenêtre de progression, cela signifie que les paramètres du système EKM n'ont pas pu être configurés. Suivez les instructions répertoriées dans la fenêtre de progression pour résoudre les problèmes survenus au cours de l'opération.

Enregistrez la configuration de la bibliothèque (pour obtenir des instructions, consultez le

Guide

d'utilisation de Dell PowerVault ML6000).

Étape 4 : Exécution de EKM Path Diagnostics (Diagnostics de chemin EKM)

Exécutez EKM Path Diagnostics pour vous assurer que vos lecteurs de bande et serveurs de clés sont connectés et fonctionnent correctement. Voir Utilisation de EKM Path Diagnostics (Diagnostics de chemin EKM), page 14.

Sauvegarde des données de l'espace de stockage des clés

En raison de la nature critique des clés présentes dans votre espace de stockage de clés, il est primordial que vous sauvegardiez vos données incluses dans l'espace de stockage de clés sur un périphérique non crypté de sorte que vous puissiez le récupérer en cas de besoin et lire les bandes cryptées à l'aide des clés de cryptage associées à ce lecteur de bande ou à la bibliothèque.

Utilisation de EKM Path Diagnostics (Diagnostics de chemin EKM)

Les diagnostics de chemin EKM consistent en une série de tests courts destinés à vérifier si les serveurs de clés sont en cours d'exécution, connectés et en mesure de fournir des clés en fonction des besoins.

Exécutez les diagnostics de chemin EKM manuels chaque fois que vous modifiez les paramètres du serveur de clés ou les paramètres de cryptage de la bibliothèque, et lorsque vous remplacez un lecteur de bande. Il est recommandé de tester chaque lecteur qui communique avec les serveurs de gestion des clés.

Les diagnostics comprennent les tests suivants :

REMARQUE : Le lecteur de bande utilisé pour le test doit être déchargé, prêt et en ligne pour que les tests puissent être

exécutés.

•

Ping

: vérifie la liaison de communication Ethernet entre la bibliothèque et les serveurs de clés. Si la partition dans laquelle réside le lecteur de bande sélectionné utilise des priorités de serveurs EKM, les adresses IP de ces derniers sont alors testées (voir

Partition Configuration (Configuration des partitions)

adresses IP par défaut du système sont testées (voir

System Configuration (Configuration système)

Setup (Configuration) > Encryption (Cryptage) >

). Si la partition n'utilise pas de priorités, les

Setup (Configuration) > Encryption (Cryptage) >

•

Drive (Lecteur)

: vérifie le chemin du lecteur de bande dans la bibliothèque (les communications entre la bibliothèque et le chariot du lecteur de bande et entre le chariot du lecteur de bande et le lecteur de bande). Le lecteur de bande doit être déchargé, prêt et en ligne pour que ce test puisse être exécuté. Si ce test échoue, les tests Path et Config ne sont pas effectués.

•

Path (Chemin)

: vérifie que les services EKM sont en cours d'exécution sur les serveurs de clés. Ce test ne

peut pas être exécuté si le test Drive échoue.

•

Config

: vérifie que les serveurs de clés sont en mesure de fournir des clés de cryptage. Ce test ne peut pas

être exécuté si le test Drive échoue.

Si l'un des tests échoue, essayez les solutions ci-dessous et relancez le test pour vérifier qu'il s'exécute complètement :

•

Ping Test Failure (Échec du test Ping)

: vérifiez que l'hôte du serveur de clés s'exécute et qu'il est

accessible depuis le réseau auquel la bibliothèque est connectée.

•

Drive Test Failure (Échec du test Drive)

: recherchez les dossiers RAS du lecteur de bande et suivez les

instructions données dans le dossier pour résoudre cet échec.

•

Path Test Failure (Échec du test Path)

: vérifiez que le serveur de clés s'exécute vraiment et que les

paramètres du port/SSL correspondent aux paramètres de configuration de la bibliothèque.

•

Config Test Failure (Échec du test Config)

: vérifiez que le serveur EKM est configuré pour accepter

le lecteur de bande que vous testez.

Vous pouvez effectuer les diagnostics de deux façons :

• Diagnostics de chemin EKM manuels

• Diagnostics de chemin EKM automatiques

Les différences entre les diagnostics manuels et les diagnostics automatiques sont les suivantes :

• Les diagnostics manuels mettent les partitions affectées hors ligne. Les diagnostics automatiques ne mettent pas les partitions hors ligne. Ils peuvent retarder les déplacements vers les lecteurs de bande lorsqu'ils sont testés.

• Les diagnostics manuels exigent que vous sélectionniez un lecteur de bande pour le test. Étant donné que le test valide uniquement le lecteur sélectionné, si vous voulez tester le chemin pour chaque lecteur de bande, vous devez exécuter le test à plusieurs reprises (une fois pour chaque lecteur). Pour tester tous les serveurs, vous devez exécuter les diagnostics une fois pour chaque partition activée pour Library Managed Encryption (chaque paire de serveurs est connectée à une partition et à un lecteur de bande uniques). En outre, si le lecteur de bande n'est pas disponible (il doit être déchargé, prêt et en ligne), les tests Drive, Path et Config ne sont pas effectués.

• Les diagnostics automatiques testent chaque serveur EKM connecté l'un après l'autre, et la bibliothèque sélectionne le lecteur de bande à utiliser pour chaque test. Si le lecteur de bande sélectionné n'est pas disponible (il doit être déchargé, prêt et en ligne), la bibliothèque sélectionne alors un autre lecteur de bande connecté au serveur de clés jusqu'à ce qu'elle en trouve un de disponible. Si aucun lecteur de bande connecté à un serveur de clés particulier n'est disponible, ce serveur est ignoré et les tests ne sont pas effectués. Si un serveur est ignoré après « X » intervalles de test consécutifs (où « X » est configurable sur le client Web), la bibliothèque génère un dossier RAS. Si un lecteur de bande reste chargé pendant une longue période de temps, il est possible qu'il ne soit jamais testé. Si vous voulez tester un lecteur de bande spécifique, utilisez les diagnostics de chemin EKM manuels.

En particulier, si vous remplacez un

lecteur de bande, exécutez les diagnostics de chemin EKM manuels.

www.dell.com | support.dell.com

Diagnostics de chemin EKM manuels

Accédez à l'écran EKM Path Diagnostics (Diagnostics de chemin EKM) de l'une des deux manières suivantes :

• Accédez aux diagnostics de bibliothèque (

EKM Path Diagnostics (Diagnostics de chemin EKM)

déconnectera tous les autres utilisateurs avec les mêmes privilèges ou privilèges inférieurs et mettra vos partitions hors ligne. Lorsque vous quittez les diagnostics, les partitions sont remises automatiquement en ligne.

• Sélectionnez

(Configuration système)

Setup (Configuration) > Encryption (Cryptage) > System Configuration

Setup (Configuration) > Encryption (Cryptage) > Partition

Configuration (Configuration des partitions)

Tools (Outils) > Diagnostics

), puis sélectionnez

. Notez que l'accès aux diagnostics

, puis cliquez sur le lien qui indique « Click here to run

EKM >

EKM Path Diagnostics » (Cliquez ici pour exécuter les diagnostics de chemin EKM). Notez que cette action met la partition dans laquelle le lecteur de bande sélectionné réside hors ligne. Lorsque le test est terminé, la partition revient automatiquement en ligne.

Une liste de tous les lecteurs de bande activés pour le cryptage géré par la bibliothèque est affichée avec l'état du lecteur de bande et la partition dans laquelle réside chaque lecteur de bande.

Sélectionnez le lecteur de bande sur lequel vous souhaitez exécuter les diagnostics et cliquez sur

(Appliquer)

. Le lecteur de bande doit être déchargé, prêt et en ligne pour que le test puisse être exécuté.

Apply

Une boîte de dialogue vous indique alors que la partition sélectionnée sera mise hors ligne.

Cliquez sur OK pour lancer les diagnostics. La fenêtre de progression apparaît. La fenêtre de progression contient des informations sur l'action, le

temps écoulé et l'état de l'opération demandée.

www.dell.com | support.dell.com

La bibliothèque exécute les diagnostics et communique les résultats (réussite ou échec) de chacun des tests dans la fenêtre de progression.

REMARQUE : Les tests de diagnostic peuvent durer plusieurs minutes.

Effectuez l'une des actions suivantes :

Completed (Terminé)

•Si

apparaît dans la fenêtre de progression, les diagnostics ont été exécutés (ceci

ne signifie pas pour autant qu'ils ont réussi, mais simplement qu'ils ont été effectués). Cliquez sur

Close (Fermer)

•Si

Failure (Échec)

pour fermer la fenêtre de progression.

apparaît dans la fenêtre de progression, les diagnostics n'ont pas pu être effectués. Suivez les instructions répertoriées dans la fenêtre de progression pour résoudre les problèmes survenus au cours de l'opération.

Diagnostics de chemin EKM automatiques

Vous pouvez configurer la bibliothèque de manière à effectuer automatiquement les diagnostics de chemin EKM à intervalles sélectionnés. Au cours de chaque intervalle, la bibliothèque teste chaque serveur de clés configuré. La bibliothèque génère un dossier RAS s'il y a des problèmes. Par défaut, cette fonctionnalité est désactivée. L'intervalle de test par défaut est de quatre heures. Il est recommandé de laisser les diagnostics de chemin EKM automatiques désactivés, sauf si des interruptions du réseau entraînent fréquemment des échecs de cryptage sur votre lieu de travail.

ATTENTION !

dossiers RAS si les tests sont ignorés en raison de l'indisponibilité des lecteurs de bande pendant un nombre configurable d'intervalles de test consécutifs. Pour réduire les occurrences des dossiers RAS, vous pouvez spécifier un nombre plus élevé d'intervalles de test consécutifs avant la génération d'un dossier RAS, ou vous pouvez configurer la bibliothèque de manière à ce qu'elle ne génère jamais de dossier RAS en cas d'intervalles de test manqués.

Pour obtenir la liste des tests effectués, voir Utilisation de EKM Path Diagnostics (Diagnostics de chemin EKM), page 14.

Pour activer les diagnostics de chemin EKM automatiques :

Dans le client Web, sélectionnez

Configuration (Configuration système)

Cochez la case

Sélectionnez un intervalle de test dans la liste déroulante.

Spécifiez le nombre d'intervalles de test manqués consécutifs avant que la bibliothèque ne génère un dossier RAS vous informant que le test ne peut pas être effectué dans les intervalles spécifiés.

L'exécution des diagnostics de chemin EKM automatiques peut provoquer une augmentation des

Setup (Configuration) > Encryption (Cryptage) > System

Automatic EKM Path Diagnostics (Diagnostics de chemin EKM automatiques)

Affichage des paramètres de cryptage du lecteur de bande

Vous pouvez afficher les paramètres de cryptage des manières suivantes :

•

System Information Report (Rapport d'informations système)

sur tous les serveurs de clés, les partitions et les lecteurs de bande, sélectionnez

System Information (Informations système)

d'utilisation de Dell PowerVault ML6000

dans le client Web. Pour plus d’informations, voir le

: pour afficher des informations de cryptage

Reports (Rapports) >

Guide

•

Library Configuration Report (Rapport de configuration de bibliothèque)

cryptage d'un lecteur de bande ou d'une cartouche de bande sélectionné, sélectionnez

> Library Configuration (Configuration de bibliothèque)

dans le client Web, puis cliquez sur un lecteur

: pour afficher l'état de

Reports (Rapports)

de bande ou sur un logement. L'état du cryptage s'affiche dans une fenêtre d'état contextuelle. Pour plus d’informations, voir le

•

Partition Encryption (Cryptage des partitions) > Encryption (Cryptage) > Partition Configuration (Configuration des partitions)

Guide d'utilisation de Dell PowerVault ML6000

: dans le client Web, sélectionnez

Setup (Configuration)

pour afficher et modifier les paramètres de cryptage des partitions. Pour plus d'informations, voir Étape 3 : Configuration du cryptage de la partition, page 12.

www.dell.com | support.dell.com

BITTE ZUERST LESEN - So richten Sie Dell Encryption Key Manager in Ihrem PowerVault™ ML6000 ein (German)

Info über Vorsichtshinweise

VORSICHT: VORSICHT weist darauf hin, dass es bei Nichtbefolgung der Anweisungen zu potenziellen Schäden an

der Hardware oder zu Datenverlust kommen kann.

www.dell.com | support.dell.com

Zweck dieses Dokuments

Dell Encryption Key Manager (EKM) ist eine zentrale Schlüsselverwaltungsanwendung, in der jene Schlüssel verwaltet werden, die als Teil des IBM LTO-4- und des laufwerksbasierten IBM LTO-5Datenverschlüsselungsvorgangs verwendet werden. Die bibliotheksverwaltete Verschlüsselung ist eine optionale, lizenzierte Funktion, die über die PowerVault ML6000-Bibliothek aktiviert werden muss, damit die Verschlüsselung von Daten mithilfe der LTO-4/LTO-5-Bandlaufwerks-Verschlüsselungsfähigkeiten beginnen kann.

Der Dell EKM ist ein IBM-Java-Softwareprogramm, das für Verschlüsselung aktivierte Bandlaufwerke bei der Erstellung, Sicherung, Speicherung und Wartung von Verschlüsselungsschlüsseln hilft, mit denen auf Bandmedien geschriebene Informationen verschlüsselt bzw. von Bandmedien gelesene Informationen entschlüsselt werden. Richtliniensteuerung und Schlüssel durchlaufen die Bibliothek, daher ist die Verschlüsselung für die Anwendungen transparent.

Weitere Information zum Installieren und Konfigurieren des EKM-Servers und den Best Practices von Dell EKM finden Sie im

Key Manager and Library Managed Encryption Best Practices and FAQ

ANMERKUNG: Um ein ordnungsgemäßes Funktionieren des Dell EKM zu gewährleisten, müssen sowohl die Bibliothek

als auch die Bandlaufwerk-Firmware auf die jeweils aktuellen Versionen aktualisiert werden. Die neueste Firmware sowie Installationsanweisungen sind unter

Benutzerhandbuch zu Dell PowerVault Encryption Key Manager

http://support.dell.com

verfügbar.

und dem Datenblatt

Dell Encryption

Unterstützte Bandlaufwerke und Datenträger

Die bibliotheksverwaltete Verschlüsselung in PowerVault ML6000 unterstützt lediglich die Verschlüsselung von LTO-4- und LTO-5-Datenkassetten, die IBM LTO-4- und LTO-5 Fibre Channel- und SAS-Bandlaufwerke verwenden. Die Verschlüsselung auf anderen Bandlaufwerkstypen oder Herstellermarken wird von der bibliotheksverwalteten ML6000-Verschlüsselung nicht unterstützt, selbst dann nicht, wenn sie einer zur Verschlüsselung ausgewählten Partition zugewiesen sind. Andere Datenträgertypen (z. B. LTO-3) können von Bandlaufwerken, die für die bibliotheksverwaltete Verschlüsselung aktiviert wurden, zwar gelesen, jedoch nicht verschlüsselt werden.

Installieren von Dell EKM auf einem Server

Sie müssen einen oder mehrere Server bereitstellen, auf dem bzw. denen Dell EKM installiert werden soll. Beim Kauf der bibliotheksverwalteten Verschlüsselung erhalten Sie eine CD, die die auf dem Server zu installierende Software sowie Installationsanweisungen und ein Benutzerhandbuch enthält. Sie müssen Ihre EKM-Server einrichten und Ihren Lizenzschlüssel installieren, bevor Sie EKM bei Ihrer Bibliothek einrichten können.

ANMERKUNG: Da die Dell PowerVault ML6000-Bibliothek beim Lesen von oder Schreiben auf einem für

Verschlüsselung aktivierten Bandlaufwerk in Echtzeit mit dem EKM-Server kommunizieren muss, wird dringend empfohlen, einen primären und einen sekundären EKM-Server zu verwenden. Auf diese Weise kann der sekundäre Server die Aufgabe übernehmen, wenn der primäre Server nicht zur Verfügung steht, wenn die Bibliothek Verschlüsselungsinformationen benötigt. Die Dell PowerVault ML6000-Bibliothek ermöglicht die Verwendung von bis zu zwei EKM-Servern für Ausfallsicherungs-/Redundanzzwecke.

Einrichten der Verschlüsselung auf der Bibliothek

Schritt 1: Installation eines Lizenzschlüssels

ANMERKUNG:

aktualisiert sind. Aktuelle Anleitungen zu Firmware und Installation stehen unter

Fordern Sie mit Hilfe der erhaltenen Anleitungen in dem

Lizenzschlüsselzertifikat)

Führen Sie einen der folgenden Schritte durch:

• Wählen Sie auf dem Bedienfeld

• Wählen Sie im Webclient

Geben Sie den neuen Lizenzschlüssel ein.

Klicken Sie auf Es wird ein Statusfenster eingeblendet, das die verstrichene Zeit anzeigt. Nach Beendigung erscheint die

grüne Meldung durchgeführt“) geändert wird. Die Verschlüsselung wird jetzt auf dem Bildschirm als Funktion aufgeführt. (Wird die Meldung Lizenzschlüssel eingegeben.)

Klicken Sie auf

Stellen Sie sicher, dass die Bibliothek und die Bandlaufwerk-Firmware auf die jeweils aktuellen Versionen

www.support.dell.com

zur Verfügung.

EKM License Key Certificate (EKM-

einen Lizenzschlüssel für die Verschlüsselung an.

Setup > License (Setup > Lizenz)

Apply (Anwenden)

Success (Erfolg)

, worauf der Status zu “Operation Succeeded” (“Vorgang erfolgreich

Failure (Fehler)

Close (Schließen)

Setup > Licenses (Setup > Lizenzen)

aus.

eingeblendet, haben Sie möglicherweise einen falschen

aus.

Schritt 2: Konfigurieren von Verschlüsselungsschlüsseln und Schlüssel-Serveradressen

Nehmen Sie die Bandkassetten aus allen verschlüsselungsfähigen Bandlaufwerken in der Bibliothek.

Wählen Sie vom Webclient aus

> Systemkonfiguration)

Automatische EKM-Pfaddiagnose

aus.

gewünschte Testintervall ein. Sie können auch die Anzahl der nacheinander verpassten Testintervalle angeben, die zur Generierung eines Rücksendegenehmigungstickets erforderlich sind. Weitere Informationen finden Sie unter Automatische EKM-Pfaddiagnose auf Seite 24EKM Path Diagnostics (EKM-Pfaddiagnose).

Secure Sockets Layer (SSL)

den EKM-Schlüsselservern markieren Sie das Kontrollkästchen ist Disabled (Deaktiviert). Wenn Sie SSL aktivieren, müssen Sie sicherstellen, dass die Anschlussnummern des primären und sekundären Schlüsselservers (siehe unten) mit den SSL-Anschlussnummern der EKMSchlüsselserver übereinstimmen. Die Standard-SSL-Anschlussnummer ist 443.

ANMERKUNG: Schlüssel sind immer verschlüsselt, bevor sie vom EKM-Schlüsselserver an ein Bandlaufwerk

gesendet werden, unabhängig davon, ob SSL aktiviert ist oder nicht. Aktivierung von SSL bringt zusätzliche Sicherheit.

Geben Sie in das Textfeld

Schlüsselservers)

Folgendes ein:

• Die IP-Adresse des primären Schlüsselservers, wenn DNS nicht aktiviert ist, oder

• Den Hostnamen des primären Schlüsselservers, wenn DNS aktiviert ist

Geben Sie die Anschlussnummer des primären Servers in das Textfeld

(Anschlussnummer des primären Schlüsselservers)

nicht aktiviert ist. Ist SSL aktiviert, lautet die Standardanschlussnummer 443.

. ANMERKUNG: Wenn Sie die festgelegte Anschlussnummer in der Bibliothek ändern, müssen Sie auch die Nummer

im Schlüsselserver ändern, damit sie übereinstimmen. Andernfalls funktioniert EKM nicht ordnungsgemäß.

Wenn Sie zu Ausfallsicherungszwecken einen sekundären Schlüsselserver verwenden, geben Sie dessen IPAdresse oder Hostnamen in das Textfeld

des sekundären Schlüsselservers)

. ANMERKUNG: Wenn Sie nicht beabsichtigen, einen sekundären Schlüsselserver zu verwenden, können Sie

in das Textfeld Secondary Key Server IP Address or Host (IP-Adresse oder Host des sekundären Schlüsselservers) eine aus Nullen bestehende IP-Adresse (0.0.0.0) eingeben oder das Feld leer lassen.

Wenn Sie im vorherigen Schritt einen sekundären Schlüsselserver konfiguriert haben, geben Sie dessen

Anschlussnummer in das Textfeld

Schlüsselservers)

ein. Die Standardanschlussnummer ist 3801, wenn SSL nicht aktiviert ist. Ist SSL

aktiviert, lautet die Standardanschlussnummer 443.

Setup > Encryption > System Configuration (Setup > Verschlüsselung

: Aktivieren oder deaktivieren Sie diese Funktion und stellen Sie das

: Zum Aktivieren von SSL für die Kommunikation zwischen der Bibliothek und

SSL-Verbindung

. Die Standardeinstellung

Primary Key Server IP Address or Host (IP-Adresse oder Host des primären

Primary Key Server Port Number

ein. Die Standardanschlussnummer ist 3801, wenn SSL

Secondary Key Server IP Address or Host (IP-Adresse oder Host

ein.

Secondary Key Server Port Number (Anschlussnummer des sekundären

www.dell.com | support.dell.com

ANMERKUNG: Bei Verwendung eines sekundären Schlüsselservers muss die Anschlussnummer des primären und

des sekundären Schlüsselservers identisch sein. Andernfalls findet keine Synchronisierung und keine Ausfallsicherung statt.

Klicken Sie auf

Apply (Anwenden)

Das Statusfenster wird geöffnet. Das Statusfenster enthält Informationen zu Aktion, verstrichener Zeit und Status des Vorgangs. Führen Sie einen der folgenden Schritte durch:

• Wenn im Statusfenster erfolgreich konfiguriert. Klicken Sie auf

• Wenn im Statusfenster

Success (Erfolg)

Failure (Fehler)

angezeigt wird, wurden die Systemeinstellungen des EKM

Close (Schließen)

, um das Statusfenster zu schließen.

angezeigt wird, konnten die Systemeinstellungen des EKM nicht erfolgreich konfiguriert werden. Befolgen Sie die im Statusfenster aufgeführten Anleitungen zum Lösen von Problemen, die während des Vorgangs aufgetreten sind.

www.dell.com | support.dell.com

ANMERKUNG: Wenn Sie beabsichtigen, unterschiedliche EKM-Schlüsselserver für unterschiedliche Partitionen zu

verwenden, müssen Sie auch den Abschnitt für die Außerkraftsetzung im Bildschirm Setup > Encryption > Partition Encryption (Setup > Verschlüsselung > Partitionsverschlüsselung) ausfüllen. Weitere Informationen finden Sie unter Schritt 3: Konfiguration der Partitionsverschlüsselung.

Schritt 3: Konfiguration der Partitionsverschlüsselung

Die Verschlüsselung in der Dell PowerVault ML6000-Bandbibliothek wird nur partitionsweise aktiviert. Es können keine individuellen Bandlaufwerke zur Verschlüsselung ausgewählt werden, dazu muss eine vollständige Partition gewählt werden. Wenn Sie eine Partition für die bibliotheksverwaltete Verschlüsselung auswählen, werden alle Bandlaufwerke in der Partition, die die bibliotheksverwaltete Verschlüsselung unterstützen, ebenfalls ausgewählt und alle darauf geschriebenen Daten werden verschlüsselt. Bandlaufwerke, die in dieser Partition nicht von der bibliotheksverwalteten Verschlüsselung unterstützt werden, werden nicht für die Verschlüsselung aktiviert und die darauf geschriebenen Daten werden nicht verschlüsselt.

Daten, die auf für Verschlüsselung unterstützte und verschlüsselungsfähige Datenträger in bibliotheksverwalteten und für Verschlüsselung unterstützten Bandlaufwerken geschrieben werden, werden verschlüsselt, geschrieben. Damit die Daten verschlüsselt werden können, muss der Datenträger leer sein oder der erste Schreibvorgang muss am Beginn des Bandes mit einer bibliotheksverwalteten Verschlüsselung erfolgt sein.

Konfigurieren Sie die Partition(en) wie folgt:

Wählen Sie vom Webclient aus

Verschlüsselung > Partitionskonfiguration)

Es wird eine Liste aller Partitionen zusammen mit einer Dropdown-Liste angezeigt, die die Verschlüsselungsmethode für jede Partition enthält.

Wenn Sie die Verschlüsselungsmethode für eine Partition ändern möchten, vergewissern Sie sich, dass sich in keinem der Bandlaufwerke in dieser Partition eine Kassette befindet. Befindet sich eine Kassette in einem Bandlaufwerk, kann die Verschlüsselungsmethode nicht geändert werden.

Wählen Sie für jede Partition eine Verschlüsselungsmethode aus der Dropdown-Liste aus. Bei Bandlaufwerken, die die Verschlüsselung unterstützen, lautet die Standardeinstellung

Managed (Anwendungsverwaltet)

Bandlaufwerke und Datenträger in der jeweiligen Partition angewendet.

es sei denn,

die Daten wurden zuvor in unverschlüsseltem Format auf den Datenträger

Setup > Encryption > Partition Configuration (Setup >

Application

. Die Verschlüsselungsmethode wird auf alle verschlüsselungsfähigen

Verschlüsselungsmethode Beschreibung

Library Managed (Bibliotheksverwaltet)

Application Managed (Anwendungsverwaltet)

For use with EKM (Zur Verwendung mit EKM). Aktiviert die Verschlüsselungsunterstützung über einen verbundenen Dell EKM-Schlüsselserver für alle verschlüsselungsfähigen Bandlaufwerke und Datenträge, die der Partition zugewiesen sind.

Not for use with EKM (Nicht zur Verwendung mit EKM). Ermöglicht es einer externen Sicherungsanwendung, allen verschlüsselungsfähigen Bandlaufwerken und Datenträgern in der Partition Verschlüsselungsunterstützung bereitzustellen. Die Bibliothek wird NICHT mit dem Dell EKM-Server auf dieser Partition kommunizieren.

Dies ist die Standardeinstellung, wenn sich in der Partition verschlüsselungsfähige Bandlaufwerke befinden. Diese Option sollte ausgewählt bleiben, es sei denn Sie möchten, dass Dell EKM die Verschlüsselung verwaltet.

ANMERKUNG: Wenn Sie möchten, dass eine Anwendung die Verschlüsselung verwaltet,

ist es notwendig, dass Sie die Anwendung speziell zu diesem Zweck konfigurieren. Die Bibliothek nimmt am Ausführen dieser Art von Verschlüsselung nicht teil.

+ 46 hidden pages