KMIP

Dans Panneau de configuration > Sécurité > KMIP, vous pouvez activer le service KMIP (Key Management Interoperability Protocol) pour les clés de chiffrement des volumes chiffrés sur votre Synology NAS. Le service KMIP vous permet de stocker les clés de chiffrement des volumes chiffrés sur un autre Synology NAS.

Les termes suivants seront utilisés dans cet article :

  • Client de clés distant : le Synology NAS sur lequel se trouve le volume chiffré.
  • Serveur de clés distant : le Synology NAS sur lequel vous stockez les clés de chiffrement des volumes chiffrés.

Remarque :

Client de clés distant

Dans cette section, vous pouvez définir votre Synology NAS en tant que client de clés distant et stocker les clés de chiffrement des volumes chiffrés de ce Synology NAS sur un serveur de clés distant. Après avoir configuré un client de clés distant, accédez à Gestionnaire de stockage > Stockage > Paramètres globaux et définissez le serveur connecté en tant que Coffre-fort des clés de chiffrement.

Pour configurer votre Synology NAS en tant que client de clés distant :

  1. Sur le Synology NAS faisant office de client de clés distant, procédez comme suit :
    1. Accédez à Panneau de configuration > Sécurité > Certificat et cliquez sur Paramètres.
    2. Dans le menu déroulant KMIP, sélectionnez le certificat de votre choix et cliquez sur OK.
    3. Dans Panneau de configuration > Sécurité > Certificat, sélectionnez le même certificat qu'à l'étape b et cliquez sur Action > Exporter le certificat.
  2. Sur le Synology NAS faisant office de serveur de clés distant, procédez comme suit :
    1. Accédez à Panneau de configuration > Sécurité > KMIP.
    2. Sélectionnez Définir comme serveur de clés distant.
    3. Sélectionnez un emplacement pour stocker les clés.
    4. Dans la section Gérer la connexion client, cliquez sur Gérer.
    5. Cliquez sur Ajouter et chargez le certificat que vous avez exporté à l'étape 1.
  3. Revenez au client de clé distante et procédez comme suit :
    1. Accédez à Panneau de configuration > Sécurité > KMIP.
    2. Sélectionnez Définir comme client de clés distant.
    3. Saisissez les informations de connexion du serveur de clés distant.
    4. Cliquez sur Faire confiance pour vous connecter au serveur.

Remarque :

  • Il est impossible de sélectionner le certificat Synology ou le certificat QuickConnect par défaut pour le service KMIP.
  • Une fois que vous aurez modifié le certificat du service KMIP ou du serveur de clés distant que vous avez défini, vous devrez utiliser la clé de récupération correspondante pour déverrouiller chaque volume chiffré la prochaine fois que vous mettrez le Synology NAS sous tension.
  • Si le magasin de clés se trouve sur un volume chiffré, assurez-vous que le volume est déverrouillé afin que le client de clés distant puisse accéder aux clés de chiffrement.

Pour modifier la connexion du serveur de clés distant :

  1. Sur le Synology NAS faisant office de client de clés distant, accédez à Panneau de configuration > Sécurité > KMIP.
  2. Dans la section Client de clés distant, cliquez sur Modifier.
  3. Modifiez les informations de connexion.
  4. Après avoir confirmé les informations, cliquez sur Faire confiance.

Pour tester la connexion entre le client et le serveur de clés distants :

Une fois la connexion établie, vous pouvez cliquer sur Tester la connexion pour vous assurer que la connexion entre le client et le serveur de clés distants fonctionne correctement.

Serveur de clés distant

Dans cette section, vous pouvez définir votre Synology NAS en tant que serveur de clés distant et stocker les clés de chiffrement des volumes chiffrés d'autres clients de clés distants.

Pour définir votre Synology NAS en tant que serveur de clés distant :

  1. Sur le Synology NAS faisant office de serveur de clés distant, procédez comme suit :
    1. Accédez à Panneau de configuration > Sécurité > Certificat et cliquez sur Paramètres.
    2. Dans le menu déroulant KMIP, sélectionnez le certificat de votre choix et cliquez sur OK.
    3. Accédez à Panneau de configuration > Sécurité > KMIP.
    4. Sélectionnez Définir comme serveur de clés distant.
    5. Saisissez un port pour KMIP.
    6. Sélectionnez un emplacement pour stocker les clés.
    7. Dans la section Gérer la connexion client, cliquez sur Gérer.
    8. Cliquez sur Ajouter et chargez le certificat que vous avez exporté à partir du client de clés distant. Pour exporter le certificat à partir du client de clés distant, reportez-vous à l'étape 1 de cette section.
    9. Cliquez sur Enregistrer.
  2. Sur le Synology NAS faisant office de client de clés distant, procédez comme suit :
    1. Accédez à Panneau de configuration > Sécurité > KMIP.
    2. Sélectionnez Définir comme client de clés distant.
    3. Saisissez les informations de connexion du serveur de clés distant.
    4. Cliquez sur Faire confiance pour vous connecter au serveur.

Remarque :

  • Il est impossible de sélectionner le certificat Synology ou le certificat QuickConnect par défaut pour le service KMIP.
  • Une fois que vous aurez modifié le certificat du service KMIP ou du serveur de clés distant que vous avez défini, vous devrez utiliser la clé de récupération correspondante pour déverrouiller chaque volume chiffré la prochaine fois que vous mettrez le Synology NAS sous tension.
  • Si le magasin de clés se trouve sur un volume chiffré, assurez-vous que le volume est déverrouillé afin que le client de clés distant puisse accéder aux clés de chiffrement.
  • Un serveur de clés distant permet de protéger les clés de chiffrement de plusieurs clients de clés distants. Il est cependant impossible de définir deux Synology NAS en tant que serveur et client de clés distants en même temps. Par exemple, si « NAS A » est le serveur de clés distant pour « NAS B », vous ne pouvez pas définir « NAS B » en tant que serveur de clés distant pour « NAS A ».

Pour gérer les connexions des clients de clés distants :

  1. Connectez-vous au Synology NAS sur lequel vous souhaitez stocker les clés. Accédez à Panneau de configuration > Sécurité > KMIP.
  2. Dans la section Serveur de clés distant, cliquez sur Paramètres.
  3. Dans la section Gérer la connexion client, cliquez sur Gérer.
  4. Vous pouvez ajouter, modifier ou supprimer les certificats client.

Pour supprimer toutes les données KMIP du serveur de clés distant :

Vous pouvez supprimer toutes les données KMIP du serveur de clés distant, y compris les paramètres, les informations des clients connectés et les clés stockées. Une fois les données supprimées, les clients de clés distants connectés ne pourront plus accéder aux clés de chiffrement ni déverrouiller les volumes chiffrés.

  1. Dans la section Serveur de clés distant, cliquez sur Paramètres.
  2. Dans la section Réinitialiser, cliquez sur Effacer toutes les données.
  3. Saisissez le mot de passe de votre compte DSM pour confirmer la suppression.

Remarque :

  • Avant de supprimer les données, assurez-vous de disposer d'autres copies des clés de chiffrement ou de stocker les clés dans d'autres emplacements.
Client de clés distant
Serveur de clés distant