鍵サーバーを使用した暗号化対応システムの鍵再設定
鍵再設定とは、システムの鍵を新規作成するプロセスのことです。鍵を新規作成するには、システム上で暗号化が有効になっている必要があります。ただし、鍵再設定操作は、暗号化されたオブジェクトの有無に関係なく、可能です。 暗号鍵を管理するように鍵サーバーを構成した場合は、暗号鍵サーバーを使用して新しい鍵を作成できます。
管理 GUI を使用する場合
鍵再設定プロセス中、1 次鍵サーバーが新しい鍵を生成し、既存の鍵は使用できなくなります。鍵再設定プロセスの後は、その新しい鍵をバックアップし、構成済みのすべての 2 次鍵サーバーに複製して冗長性を維持する必要があります。
すべての構成済み鍵サーバーで新しい鍵を作成する前に、鍵サーバーをオンラインにし、システムに接続する必要があります。管理 GUI で、を選択します。「鍵サーバー」を展開して、システム上のすべての構成済み鍵サーバーの詳細を表示します。 鍵サーバーの状況がオンラインであり、システムで使用可能になっていることを確認します。
鍵サーバーを使用するシステムを鍵再設定するには、以下の手順を実行します。
- 管理 GUI で、を選択します。
- 「鍵サーバー」を展開し、システム上のすべての構成済み鍵サーバーを表示し、「鍵再設定」を選択します。
- メッセージ・ダイアログで「OK」をクリックします。鍵が鍵サーバーによって生成され、すべての構成済み鍵サーバーにコピーされます。 鍵再設定プロセスでエラーが発生した場合、状況メッセージにより、新しい鍵のコピーまたは作成での問題が表示されます。他に考えられるエラーを判別および修正するには、を選択します。
コマンド・ライン・インターフェースの使用
すべての構成済み鍵サーバーで新しい鍵を作成する前に、鍵サーバーをオンラインにし、システムに接続する必要があります。 コマンド・ライン・インターフェースで、lskeyserver を入力して、鍵サーバーがオンラインであり、システムから使用可能であるかどうかを確認します。
鍵サーバーを使用するシステムを鍵再設定するには、以下の手順を実行します。
- 次のコマンドを入力して、システム上で暗号化が有効になっていることを確認します。
暗号化が有効であることを状況が示していることを確認します。lsencryption - 暗号化が有効になっていることを確認した後、次のコマンドを入力して、鍵サーバーがオンラインであり、使用可能であることを確認します。
使用可能なすべての鍵サーバーの状況が online であることを確認します。lskeyserver - 暗号化が有効であり、鍵サーバーがオンラインであることを確認した後、システム上で現在使用されている暗号鍵の鍵再設定をするために、システムを準備する必要があります。鍵再設定操作を準備するには、次のコマンドを入力します。
chencryption -keyserver newkey -key prepare - システムが準備済みで鍵が鍵サーバーにコピーされたことを確認するためには、次のコマンドを入力します。
keyserver_rekey パラメーターの値が prepared であることを確認してください。prepared という値は、その新しい鍵がコミットされる準備が整っていることを示します。lsencryption - 鍵をコミットするには、次のコマンドを入力します。
このコマンドは、準備された鍵を現行鍵にして、鍵の値を構成済みのすべての鍵サーバーに保管します。chencryption -keyserver newkey -key commit - 次のコマンドを入力して、新しい鍵がコミットされたことを確認します。
keyserver_rekey パラメーターの値が no であることを確認します。lsencryption