鍵再設定とは、システムの鍵を新規作成するプロセスのことです。鍵を新規作成するには、システム上で暗号化が有効になっている必要があります。ただし、鍵再設定操作は、暗号化されたオブジェクトの有無に関係なく、可能です。USB フラッシュ・ドライブを使用した暗号化を構成した場合、新しい鍵を作成し、USB フラッシュ・ドライブに保管することができます。
新しい鍵を作成する前に、少なくとも 1 つの USB ポートに、現行鍵が入っている USB フラッシュ・ドライブが入っていることを確認します。鍵再設定プロセス中に、新しい鍵が生成され、USB フラッシュ・ドライブにコピーされます。その後、新しい鍵が、現行鍵の代わりに使用されます。少なくとも 1 つの USB フラッシュ・ドライブに現行鍵が入っていない限り、鍵再設定操作は失敗します。システムを鍵再設定するには、コピーされた鍵素材を保管するために、少なくとも 3 つの USB フラッシュ・ドライブが必要です。
管理 GUI を使用する場合
システムを鍵再設定する前に、少なくとも の 1 つの USB フラッシュ・ドライブに最新の鍵が含まれていることを確認して、必ず暗号鍵にアクセスできるようにしてください。コントロール・エンクロージャーの背面パネルにある残りのポートに、他の USB フラッシュ・ドライブを挿入します。
どのポートに USB フラッシュ・ドライブが必要であるかを示すために、使用可能なポートが表示されます。
管理 GUI でシステムの鍵再設定を行うには、以下の手順を実行します。
- 管理 GUI で、を選択します。
暗号鍵がアクセス可能であることを確認します。これは、少なくとも 1 つの USB フラッシュ・ドライブに最新の鍵が含まれていることを意味します。ノードの残りのポートに、他の USB フラッシュ・ドライブを挿入します。どのポートに USB フラッシュ・ドライブが必要であるかを示すために、使用可能なポートが表示されます。
- 「USB フラッシュ・ドライブ」を展開して、システム上で検出されたすべての USB フラッシュ・ドライブを表示し、「鍵再設定」を選択します。
- システムが、必要な数の USB フラッシュ・ドライブを検出し、そのうちの少なくとも 1 つのドライブに既存の鍵が入っていると、新しい鍵が生成され、USB フラッシュ・ドライブにコピーされます。鍵が作成された後、「コミット」をクリックして、鍵再設定操作を実行します。鍵再設定プロセスでエラーが発生した場合、状況メッセージにより、新しい鍵のコピーまたは作成での問題が表示されます。例えば、最小数の USB ドライブが挿入されていても、そのどれにも既存の暗号鍵が存在しなければ、鍵再設定操作は失敗します。他に考えられるエラーを判別および修正するには、を選択します。
コマンド・ライン・インターフェースの使用
システムを鍵再設定する前に、少なくとも の 1 つの USB フラッシュ・ドライブに最新の鍵が含まれていることを確認して、必ず暗号鍵にアクセスできるようにしてください。コントロール・エンクロージャーの背面パネルにある残りのポートに、他の USB フラッシュ・ドライブを挿入します。
どのポートに USB フラッシュ・ドライブが必要であるかを示すために、使用可能なポートが表示されます。
システムの鍵再設定をコマンド・ライン・インターフェースで実行するには、以下の手順を実行します。
- 次のコマンドを入力して、システム上で暗号化が有効になっていることを確認します。
lsencryption
暗号化が有効であることを状況が示していることを確認します。
- 暗号化が有効であることを確認した後、システム上で現在使用されている暗号鍵の鍵再設定をするために、システムを準備する必要があります。現行鍵が入っている USB フラッシュ・ドライブの少なくとも 1 つが構成ノードに挿入されていることを確認します。現行鍵は必要であり、現行鍵がないと鍵再設定プロセスは失敗します。システムの背面にある残りの USB ポートに、他の USB フラッシュ・ドライブを挿入します。鍵再設定操作を準備し、システムに挿入されているすべての USB フラッシュ・ドライブに新しい鍵をコピーするには、次のコマンドを入力します。
chencryption -usb newkey -key prepare
このコマンドは、少なくとも 1 つの USB フラッシュ・ドライブに現行暗号鍵が入っていることを確認します。また、システムの新しい暗号鍵を生成して、システムに挿入されているすべての USB フラッシュ・ドライブにその鍵をコピーします。オプションで、USB フラッシュ・ドライブが盗難または損傷した場合のバックアップ用に、暗号鍵のコピーをさらに作成することができます。
- 鍵をコミットするには、次のコマンドを入力します。
chencryption -usb newkey -key commit
このコマンドは、準備された鍵を現行鍵にして、鍵の値を USB フラッシュ・ドライブに保管します。
- 次のコマンドを入力して、新しい鍵がコミットされたことを確認します。
lsencryption
usb_rekey パラメーターの値が no であり、usb_key_copies が、鍵のコピーが入った USB フラッシュ・ドライブの最小必要数であることを確認してください。システムには、鍵の 1 コピーごとに少なくとも 3 つの USB フラッシュ・ドライブが必要です。鍵の追加コピーを作成し、安全に保管することをお勧めします。