群晖NAS教程：如何设置远程密钥服务器?

在现代的数据管理中，确保数据安全至关重要。远程密钥服务器 (Remote Key Server) 是一种加强数据保护的方式。本文将指导您如何在群晖 NAS 上设置远程密钥服务器，帮助您为敏感数据提供更高的安全保障。 密钥管理互操作协议 (KMIP)服务允许您将加密卷的加密密钥存储在远程 Synology NAS 上。本文将指导您如何设置服务器以存储来自另一台 Synology NAS 的加密密钥。 本文将使用以下术语：

• 远程密钥客户端：加密卷所在的 Synology NAS。
• 远程密钥服务器：存储加密卷加密密钥的 Synology NAS。

环境配置

• 仅适用于支持卷加密的 群晖 NAS
• DSM 7.2 及以上版本

设置远程密钥服务器

1. 确保您在远程密钥客户端和服务器上都有有效的 KMIP 服务证书¹。了解更多关于证书的信息。 2. 在充当远程密钥客户端的 Synology NAS 上：

• 转到Control Panel > Security > Certificate并点击Settings。
• 从KMIP下拉菜单中，选择所需证书并点击OK。
• 在Control Panel > Security > Certificate中，选择步骤 2-b 中的相同证书并点击Action > Export certificate。将下载的文件保存并解压到您的计算机上。

3. 在充当远程密钥服务器的 Synology NAS 上：

• 转到Control Panel > Security > Certificate并点击Settings。
• 从KMIP下拉菜单中，选择所需证书并点击OK。
• 转到Control Panel > Security > KMIP。
• 选择设置为远程密钥服务器。
• 选择密钥存储位置。 ²
• 在管理客户端连接部分，点击管理。
• 点击添加并上传您在步骤 2-c 中导出的证书。
  • 对于认证机构颁发的证书：上传您的客户端证书 （例如，cert.pem）。
  • 对于自签名证书：上传您的客户端证书 （例如，server.pem）和 认证机构 （例如，CA.pem）。 ³

4. 返回到远程密钥客户端：

• 转到Control Panel > Security > KMIP。
• 选择设置为远程密钥客户端。
• 输入远程密钥服务器的主机名和端口，然后点击Next。⁴如果您在步骤 2-b 中选择了自签名证书，请在此处上传其认证机构 （例如，CA.pem）。 ³

5. 确认证书信息，并点击Trust以连接到服务器。

删除证书

如果您的群晖 NAS 丢失，删除证书将防止加密卷在丢失的设备上挂载，从而保护您的数据免受未经授权的访问。 ⁵

1. 在充当远程密钥服务器的 Synology NAS 上，转到Control Panel > Security > KMIP。
2. 在远程密钥服务器部分点击Settings。
3. 在管理客户端连接部分点击Manage。
4. 选择证书并点击Delete。

注意：

1. 无法为 KMIP 服务选择默认 Synology 证书或 QuickConnect 证书。
2. 如果密钥存储位置是加密卷，请确保卷已解锁，以便远程密钥客户端访问加密密钥。
3. 如果您还有中间证书，请将其与根证书捆绑成一个文件（例如，pem 格式）后上传到认证机构。
4. 默认 KMIP 端口是 5696。要自定义端口号，请转到Control Panel > Security > KMIP > Remote Key Server > Settings。
5. 只有相应的加密密钥才能解密卷，因此即使群晖 NAS 被通过模式 1 重置，您的数据仍然安全。
6. 更改 KMIP 服务或远程密钥服务器的证书后，下次启动 Synology NAS 时，您需要使用相应的恢复密钥解锁每个加密卷。
7. 远程密钥服务器可以保护来自多台远程密钥客户端的加密密钥。但是，不能同时将两台 Synology NAS 设置为彼此的远程密钥服务器和客户端。例如，如果“NAS A”是“NAS B”的远程密钥服务器，则不能将“NAS B”设置为“NAS A”的远程密钥服务器。