開始使用

這個快速入門將向您展示如何設定一個本地的 KES 伺服器，將金鑰儲存在記憶體中。

kes server --dev

1. 安裝 KES 二進制檔

   您可以通過以下方式安裝 KES 二進制檔

   • 下載預編譯的 二進制發行版本
   • 提取 Docker 映像檔
   • 發出 Homebrew 命令
   • 使用您的 Go 工具鏈從 原始碼 編譯

   選擇您想使用的方法的選項卡。

   二進制發行版本

   MinIO 提供以下預編譯的 KES 二進制檔案。下載適用於您的作業系統和系統架構的二進制檔。

   作業系統	架構	二進制檔
   Linux	amd64	linux-amd64
   Linux	arm64	linux-arm64
   Linux	ppc64le	linux-ppc64le
   Linux	s390x	linux-s390x
   Apple (M1, M2)	arm64	darwin-arm64
   Apple (Intel)	amd64	darwin-amd64
   Windows	amd64	windows-amd64

   • （可選）使用 minisign 驗證二進制檔，方法是下載相應的 .minisign 簽名檔。然後執行以下命令，將 <OS> 和 <ARCH> 替換為您系統的值

     minisign -Vm kes-<OS>-<ARCH> -P RWTx5Zr1tiHQLwG9keckT0c45M3AGeHD6IvimQHpyRywVWGbP1aVSGav
     

   • 如果您的作業系統需要，請將下載的檔案標記為可執行檔。

     例如，執行 chmod +x <檔案路徑>。

   • （可選）將檔案移動到所需的執行位置或系統路徑中的資料夾，或將檔案的位置新增到系統路徑中。

     例如，如果您將二進制檔放在 $HOME/minio-binaries 中，請執行以下命令

     export PATH=$PATH:@HOME/minio-binaries/
     

   重要

   • 對於 Windows：從終端機、PowerShell 或命令提示字元調用 Windows 可執行檔。您無法從 Windows 圖形使用者介面雙擊該檔案。

   • 對於 macOS：建立例外以允許 macOS 開啟從網際網路下載的可執行檔。

     1. 在 Finder 中找到二進制檔。
     2. CTRL + 點擊 該檔案，然後選擇 開啟。
     3. 按照提示開啟應用程式並建立安全例外。
     4. 關閉顯示 KES 說明頁面的視窗。
     5. 返回終端機並驗證您可以使用 ./kes -h 存取 KES。

   Docker

   使用以下命令提取發行版本

   docker pull minio/kes
   

   Homebrew

   要使用 Homebrew 安裝 KES 二進制檔，請執行以下命令

   brew install minio/stable/kes
   

   原始碼

   您可以使用 Go 工具鏈下載並安裝二進制檔

   go install github.com/minio/kes/cmd/kes@latest
   

   通過從您的提示符或終端機執行以下命令來確認命令是否可用

   kes --help
   

   您可能需要針對您的作業系統結構和 PATH 調整命令，例如使用 ./kes --help。

2. 產生 KES 伺服器私鑰和憑證

   為 KES 伺服器產生 TLS 私鑰和憑證。此金鑰用於網域名稱驗證。

   KES 伺服器是 預設安全的，並且只能使用 TLS 執行。在本指南中，為了簡單起見，我們使用自我簽署的憑證。

   以下命令會產生一個新的 TLS 私鑰（private.key）和一個為 IP 127.0.0.1 和 DNS 名稱 localhost 發佈的自我簽署 X.509 憑證（public.crt）

   $ kes identity new --ip "127.0.0.1" --key "private.key" --cert "public.crt" localhost
   
     Private key:  private.key
     Certificate:  public.crt
     Identity:     2e897f99a779cf5dd147e58de0fe55a494f546f4dcae8bc9e5426d2b5cd35680
   

   現有金鑰和憑證

   如果您已經有 TLS 私鑰和憑證，例如來自 WebPKI 或內部憑證授權機構，則可以改用它們。請記住調整 tls 組態區段。

3. 產生用戶端憑證

   用戶端應用程式需要憑證才能存取 KES 伺服器。從用戶端的金鑰和憑證產生 API 金鑰，以向 KES 伺服器驗證用戶端應用程式。

   以下命令會為 MyApp 產生新的 TLS 私有/公開金鑰對

   $ kes identity new --key=client.key --cert=client.crt MyApp
   
     Private key:  client.key
     Certificate:  client.crt
     Identity:     02ef5321ca409dbc7b10e7e8ee44d1c3b91e4bf6e2198befdebee6312745267b
   

   識別碼 02ef5321ca409dbc7b10e7e8ee44d1c3b91e4bf6e2198befdebee6312745267b 是 client.crt 中公開金鑰的唯一指紋。您可以隨時重新計算指紋

   $ kes identity of client.crt
   
     Identity:  02ef5321ca409dbc7b10e7e8ee44d1c3b91e4bf6e2198befdebee6312745267b
   

4. 設定 KES 伺服器

   建立 KES 伺服器組態檔：config.yml。請確保 policy 區段中的識別碼與您的 client.crt 識別碼相符。

   address: 0.0.0.0:7373 # Listen on all network interfaces on port 7373
   
   admin:
     identity: 02ef5321ca409dbc7b10e7e8ee44d1c3b91e4bf6e2198befdebee6312745267b # The client.crt identity
   
   tls:
     key: private.key    # The KES server TLS private key
     cert: public.crt    # The KES server TLS certificate
   

5. 啟動 KES 伺服器

   啟動 KES 伺服器執行個體

   kes server --config config.yml --auth off
   

1. 設定 KES_SERVER 端點

   此變數會告訴 KES CLI 要存取哪個 KES 伺服器。

   export KES_SERVER=https://127.0.0.1:7373
   

2. 使用用戶端憑證

   這些變數會告訴 KES CLI 要使用哪些憑證來存取 KES 伺服器。

   export KES_CLIENT_CERT=client.crt
   

   export KES_CLIENT_KEY=client.key
   

3. 執行操作

   現在，我們可以執行任何 API 操作。由於我們使用的是管理員識別碼，因此我們不必擔心原則權限。

   kes key create my-key-1
   

   然後，我們可以使用該金鑰產生新的資料加密金鑰

   $ kes key dek my-key-1
   {
     plaintext : UGgcVBgyQYwxKzve7UJNV5x8aTiPJFoR+s828reNjh0=
     ciphertext: eyJhZWFkIjoiQUVTLTI1Ni1HQ00tSE1BQy1TSEEtMjU2IiwiaWQiOiIxMTc1ZjJjNDMyMjNjNjNmNjY1MDk5ZDExNmU3Yzc4NCIsIml2IjoiVHBtbHpWTDh5a2t4VVREV1RSTU5Tdz09Iiwibm9uY2UiOiJkeGl0R3A3bFB6S21rTE5HIiwiYnl0ZXMiOiJaaWdobEZrTUFuVVBWSG0wZDhSYUNBY3pnRWRsQzJqWFhCK1YxaWl2MXdnYjhBRytuTWx0Y3BGK0RtV1VoNkZaIn0=
   }
   

若要升級 KES，請按照開始使用步驟操作，並在每個 KES 伺服器節點上將 KES 二進制檔替換為較新的版本。

• 伺服器 API 文件
• Go SDK 文件