鍵管理方式間のマイグレーション

管理 GUI またはコマンド・ライン・インターフェースを使用して、USB フラッシュ・ドライブ・ベースの暗号化と鍵サーバー・ベースの暗号化の間で中断なく移行することができます。鍵サーバーから USB フラッシュ・ドライブに移行する場合は、コマンド・ライン・インターフェースのみを使用します。 移行中は、システムは両方の鍵管理方式が同時に構成されている状態をサポートします。 移行が完了したら、古い鍵管理方式を無効にすることができます。

管理 GUI を使用する場合

移行中は、新規の鍵管理方式の構成が完了するまで、システムは現在構成されている暗号化方式を無効にしません。 したがって、移行が完了するまでは、暗号化済みのデータに現行鍵でアクセスすることができます。 例えば、USB フラッシュ・ドライブから鍵サーバーに移行する場合、USB フラッシュ・ドライブ上の古い鍵は、鍵サーバー暗号化が構成されるまでは使用可能です。 ただし、現行の暗号鍵が入っている USB フラッシュ・ドライブを少なくとも 1 つシステムに挿入してから、鍵サーバーに移行する必要があります。鍵サーバーが構成された後は、USB フラッシュ・ドライブ上の古い鍵はシステム上のデータを暗号化解除できなくなります。 機密情報の処理に関する推奨手順に従って、古い USB フラッシュ・ドライブを処理してください。
注: 管理 GUI は、USB フラッシュ・ドライブ暗号化方式から鍵サーバー暗号化方式への移行のみをサポートします。 鍵サーバーから USB フラッシュ・ドライブに移行するには、コマンド・ライン・インターフェースを使用する必要があります。
鍵サーバー・ベースの暗号化に移行する前に、現行暗号鍵が入っている USB フラッシュ・ドライブが少なくとも 1 つ、システムに挿入されていることを確認してください。USB フラッシュ・ドライブから鍵サーバーに暗号化を移行するには、以下のステップを実行します。
  1. 管理 GUI で、「設定」 > 「セキュリティー」 > 「暗号化」を選択します。
  2. 「暗号化」ページで、以下の情報を確認します。
    1. 「USB フラッシュ・ドライブ」を展開し、USB フラッシュ・ドライブがシステム内で構成および検出されていることを確認します。
    2. 「鍵サーバー」を展開し、システム上で鍵サーバーが構成されていないことを確認します。
  3. 「鍵サーバー」の下で「構成」をクリックします。
  4. 鍵サーバーのタイプとして「IBM SKLM (KMIP 使用)」を選択します。
  5. 各鍵サーバーの名前、IP アドレス、およびポートを入力します複数の鍵サーバーを構成する場合は、指定する最初の鍵サーバーが 1 次鍵サーバーになり、残りは 2 次鍵サーバーになります。 鍵がすべての 2 次鍵サーバーに配布されるようにするために、IBM Security Key Lifecycle Manager で複製を構成する必要があります。
  6. 鍵サーバーのデバイス・グループとして「SPECTRUM_VIRT」を選択します。このデバイス・グループは、システムの鍵サーバーのそれぞれにも構成する必要があります。
  7. 「鍵サーバー証明書」ページで、必要な鍵サーバー証明書をすべてシステムにアップロードする必要があります。 鍵サーバーは、信頼のおける第三者機関からの認証局 (CA) 証明書または鍵サーバー上で作成された自己署名証明書を使用することができます。 また、これらの両方のタイプの証明書を鍵サーバーで使用することもできます。 複数の鍵サーバーが構成され、同じ CA 証明書を使用する場合、すべての鍵サーバーに対応する単一の CA 署名証明書をアップロードしてください。鍵サーバーが自己署名証明書を使用する場合、それらの証明書はシステムに別途アップロードされなければなりません。自己署名証明書は、鍵サーバー用にシステムにインストールされる CA 署名証明書より優先されます。
  8. 「システムの暗号化証明書」ページで、「公開鍵のエクスポート」をクリックして公開鍵をシステムにダウンロードします。システム暗号化証明書は自己署名証明書または CA 証明書にもすることができます。これらの証明書は、システムが個々の鍵サーバーと通信するための信頼を確立するために、各鍵サーバーにアップロードされます。証明書が存在しない場合、「設定」 > 「セキュリティー」 > 「セキュア通信」を選択します。「セキュア通信」ページで「証明書の更新」を選択し、証明書を作成またはインポートします。詳しくは、鍵サーバーで使用される証明書に関するトピックを参照してください。
  9. システムの公開鍵を SPECTRUM_VIRT デバイス・グループのトラストストアに追加することで、その公開鍵を構成済みの各鍵サーバーにコピーします。 詳しくは、IBM Security Key Lifecycle Manager Knowledge Center を参照してください。
  10. 「システムの暗号化証明書」ページに戻り、「システムの公開鍵証明書が各構成済み鍵サーバーに転送されました」を選択します。
  11. 「USB 暗号化の無効化」パネルで、「はい」を選択して「次へ」をクリックします。
  12. 「要約」ページで、鍵サーバーの構成を確認し、「完了」をクリックします。構成が完了すると、USB フラッシュ・ドライブに保管されていた鍵は無効になります。 すべての USB フラッシュ・ドライブをセキュアに処理してください。

CLI の使用

鍵サーバー・ベースの暗号化に移行する前に、現行暗号鍵が入っている USB フラッシュ・ドライブが少なくとも 1 つ、システムに挿入されていることを確認してください。USB フラッシュ・ドライブから鍵サーバーに移行して暗号鍵を管理するには、以下のステップを実行します。
  1. USB フラッシュ・ドライブを使用するシステム上で暗号化が有効になっていることを確認するには、次のコマンドを入力します。 
    lsencryption
  2. ご使用のシステム上で鍵サーバーを使用した暗号化を有効にするには、次の CLI コマンドを入力します。 
    chencryption -keyserver enable
  3. 鍵サーバー・タイプを有効にし、認証局 (CA) 署名付き証明書を提供します (必要な場合)。
    chkeyserverisklm -enable -sslcert /tmp/CASigned.crt
  4. 以下のようにして、1 次鍵サーバーを作成し、鍵サーバー証明書を指定します。
    mkkeyserver -ip ip_address -port port -primary
  5. 複数の鍵サーバーを使用する予定の場合は、次のコマンドを複数回入力して、同じ鍵サーバー証明書を使用する追加の 2 次鍵サーバーを最大 3 つまで指定します。 
    mkkeyserver -ip ip_address -port port
  6. システム暗号鍵を作成し、その鍵を指定の鍵サーバーに書き込みます。
    chencryption -keyserver newkey -key prepare
    このコマンドは、準備された鍵を現行鍵にして、鍵の値を構成済みのすべての鍵サーバーに保管します。
  7. システムの準備が整っていることを確認するために、以下のコマンドを入力します。
    lsencryption
    keyserver_rekey パラメーターの値が prepared であることを確認してください。prepared という値は、その新しい鍵がコミットされる準備が整っていることを示します。
  8. 鍵をコミットするには、次のコマンドを入力します。
    chencryption -keyserver newkey -key commit
  9. 鍵サーバーの新規鍵をコミットした後、次のコマンドを入力して、USB フラッシュ・ドライブの暗号化を無効にします。 
    chencryption -usb disable
鍵サーバーを持つシステム上で既に暗号化が有効にされている場合は、1 次鍵サーバーがシステムに接続されていることを確認し、現行の暗号鍵を配布します。 鍵サーバーから USB フラッシュ・ドライブに移行して暗号鍵を管理するには、以下のステップを実行します。
  1. 次のコマンドを入力して、鍵サーバーを使用するシステム上で暗号化が有効になっていることを確認します。 
    lsencryption
  2. ご使用のシステム上で暗号化を有効にするには、以下の CLI コマンドを入力します。
    chencryption -usb enable
  3. 少なくとも 3 つの USB フラッシュ・ドライブが取り付けられていることを確認します。
    lsportusb
    status パラメーターの値が active であることを確認します。 この状況は、USB フラッシュ・ドライブがノードに挿入されており、システムで使用できることを示します。
  4. システム暗号鍵を作成し、それらの鍵をシステムに接続されたすべての USB フラッシュ・ドライブに書き込みます。
    chencryption -usb newkey -key prepare
  5. 準備された鍵を現行鍵としてコミットします。このコマンドは、usb_rekeylsencryption 値が prepared に設定されており、USB 暗号鍵の数が必要な最小数より多い場合に使用します。
    chencryption -usb newkey -key commit

    USB デバイスに鍵が書き込まれていないと、暗号化されたオブジェクトにアクセスできず、データは失われます。災害時の可用性および追加のバックアップ用に十分な数の鍵のコピーを保持することが極めて重要です。作成されたファイルのバックアップを作成することによって、鍵素材をコピーすることができます。

  6. 新規鍵をコミットした後、次のコマンドを入力して、鍵サーバーの暗号化を無効にします。 
    chencryption -keyserver disable
親トピック: 暗号化の管理
関連資料:
chencryption
chkeyserverisklm
lsencryption
lsportusb
mkkeyserver