入门指南

本快速入门指南将展示如何设置一个本地KES服务器，该服务器将密钥存储在内存中。

kes server --dev

1. 安装 KES 二进制文件

   您可以通过以下方式安装 KES 二进制文件：

   • 下载预编译版本二进制版本
   • 拉取Docker图像
   • 发出一个Homebrew命令
   • 从源代码编译源使用你的 Go 工具链

   请根据您要使用的方法选择下方的选项卡。

   二进制版本

   MinIO 提供以下预编译的 KES 二进制文件。 请根据您的操作系统和系统架构下载对应的二进制文件。

   OS	ARCH	二进制
   Linux	amd64	linux-amd64
   Linux	arm64	linux-arm64
   Linux	ppc64le	linux-ppc64le
   Linux	s390x	linux-s390x
   Apple (M1, M2)	arm64	darwin-arm64
   Apple (Intel)	amd64	darwin-amd64
   Windows	amd64	windows-amd64

   • 可选地，使用以下命令验证二进制文件minisign通过下载相应的.minisign签名文件然后运行以下命令，替换<OS>和<ARCH>使用您系统的值：

     minisign -Vm kes-<OS>-<ARCH> -P RWTx5Zr1tiHQLwG9keckT0c45M3AGeHD6IvimQHpyRywVWGbP1aVSGav
     

   • 如果您的操作系统需要，请将下载的文件标记为可执行文件。

     例如，运行chmod +x <path/to/file>.

   • 可选操作：将文件移动到所需的运行位置，或移动到系统路径中的文件夹，或将文件位置添加到系统路径中。

     例如，如果您将二进制文件放在$HOME/minio-binaries运行以下命令：

     export PATH=$PATH:@HOME/minio-binaries/
     

   重要：

   • 对于 Windows 系统：请从终端、PowerShell 或命令提示符调用 Windows 可执行文件。 您不能通过 Windows 图形用户界面双击该文件。

   • 对于 macOS：创建一个例外，允许 macOS 打开从互联网下载的可执行文件。

     1. 在 Finder 中定位该二进制文件。
     2. CTRL + Click该文件，然后选择Open.
     3. 按照提示打开应用程序并创建安全例外。
     4. 关闭显示 KES 帮助页面的窗口。
     5. 返回终端并验证您是否可以访问 KES./kes -h.

   Docker

   使用以下命令拉取发布版本：

   docker pull minio/kes
   

   Homebrew

   要安装 KES 二进制文件，请使用Homebrew运行以下命令：

   brew install minio/stable/kes
   

   源

   您可以使用 Go 工具链下载并安装该二进制文件：

   go install github.com/minio/kes/cmd/kes@latest
   

   通过在提示符或终端中运行以下命令来确认命令的可用性：

   kes --help
   

   您可能需要根据您的操作系统结构和PATH调整命令，例如使用./kes --help.

2. 生成 KES 服务器私钥和证书

   为 KES 服务器生成 TLS 私钥和证书。 该密钥用于域名验证。

   KES服务器是默认安全并且只能通过 TLS 运行。 在本指南中，为简化操作，我们使用自签名证书。

   以下命令生成一个新的 TLS 私钥（private.key) 和一个自签名的 X.509 证书 (public.crt) 为该 IP 地址签发127.0.0.1和 DNS 名称localhost:

   $ kes identity new --ip "127.0.0.1" --key "private.key" --cert "public.crt" localhost
   
     Private key:  private.key
     Certificate:  public.crt
     Identity:     2e897f99a779cf5dd147e58de0fe55a494f546f4dcae8bc9e5426d2b5cd35680
   

   现有密钥与证书

   如果你已经有 TLS 私钥和证书，例如来自 WebPKI 或内部证书颁发机构的证书，你可以直接使用它们。 请记得调整tls配置部分。

3. 生成客户端凭据

   客户端应用程序需要凭据才能访问KES服务器。 从客户端的密钥和证书生成API密钥，以向KES服务器验证客户端应用程序。

   以下命令生成一个新的TLS私钥/公钥对MyApp:

   $ kes identity new --key=client.key --cert=client.crt MyApp
   
     Private key:  client.key
     Certificate:  client.crt
     Identity:     02ef5321ca409dbc7b10e7e8ee44d1c3b91e4bf6e2198befdebee6312745267b
   

   身份02ef5321ca409dbc7b10e7e8ee44d1c3b91e4bf6e2198befdebee6312745267b是公钥的唯一指纹client.crt您可以随时重新计算指纹：

   $ kes identity of client.crt
   
     Identity:  02ef5321ca409dbc7b10e7e8ee44d1c3b91e4bf6e2198befdebee6312745267b
   

4. 配置 KES 服务器

   创建 KES 服务器配置文件：config.yml确保身份在policysection 与您的匹配client.crt身份。

   address: 0.0.0.0:7373 # Listen on all network interfaces on port 7373
   
   admin:
     identity: 02ef5321ca409dbc7b10e7e8ee44d1c3b91e4bf6e2198befdebee6312745267b # The client.crt identity
   
   tls:
     key: private.key    # The KES server TLS private key
     cert: public.crt    # The KES server TLS certificate
   

5. 启动 KES 服务器

   启动 KES 服务器实例：

   kes server --config config.yml
   

1. SetKES_SERVER端点

   此变量告知 KES CLI 要访问哪个 KES 服务器。

   export KES_SERVER=https://127.0.0.1:7373
   

2. 使用客户端凭据

   这些变量告诉 KES CLI 使用哪些凭据来访问 KES 服务器。

   export KES_CLIENT_CERT=client.crt
   

   export KES_CLIENT_KEY=client.key
   

3. 执行操作

   现在，我们可以执行任何 API 操作。 由于我们使用的是管理员身份，因此无需担心策略权限问题。

   kes key create my-key-1
   

   然后，我们可以使用该密钥生成新的数据加密密钥：

   $ kes key dek my-key-1
   {
     plaintext : UGgcVBgyQYwxKzve7UJNV5x8aTiPJFoR+s828reNjh0=
     ciphertext: eyJhZWFkIjoiQUVTLTI1Ni1HQ00tSE1BQy1TSEEtMjU2IiwiaWQiOiIxMTc1ZjJjNDMyMjNjNjNmNjY1MDk5ZDExNmU3Yzc4NCIsIml2IjoiVHBtbHpWTDh5a2t4VVREV1RSTU5Tdz09Iiwibm9uY2UiOiJkeGl0R3A3bFB6S21rTE5HIiwiYnl0ZXMiOiJaaWdobEZrTUFuVVBWSG0wZDhSYUNBY3pnRWRsQzJqWFhCK1YxaWl2MXdnYjhBRytuTWx0Y3BGK0RtV1VoNkZaIn0=
   }
   

要升级 KES，请按照入门步骤操作，并在每个 KES 服务器节点上用新版本替换 KES 二进制文件。

• Server API 文档
• Go SDK 文档