키 관리 메소드 간 마이그레이션

관리 GUI 또는 명령행 인터페이스를 사용하여 USB 플래시 드라이브와 키 서버 기반 암호화 사이에 중단하지 않고 마이그레이션할 수 있습니다. 키 서버에서 USB 플래시 드라이브로 마이그레이션하려면 명령행 인터페이스만 사용하십시오. 마이그레이션 중에 시스템은 두 가지 키 관리 방법 모두의 동시 구성을 지원합니다. 마이그레이션이 완료된 후 이전 키 관리 방법을 사용 안함으로 설정할 수 있습니다.

관리 GUI 사용

마이그레이션 중에 시스템은 새 방법이 완전히 구성될 때까지 현재 구성된 키 관리 방법을 사용 안함으로 설정하지 않습니다. 그러므로 암호화된 데이터는 마이그레이션이 완료될 때까지 여전히 현재 키로 액세스할 수 있습니다. 예를 들어, USB 플래시 드라이브에서 키 서버로 마이그레이션하는 경우, USB 플래시 드라이브의 이전 키는 키 서버 암호화가 구성될 때까지 여전히 사용 가능합니다. 그러나 현재 암호화 키가 있는 USB 플래시 드라이브 중 한 개 이상을 키 서버로 마이그레이션하기 전에 시스템에 삽입해야 합니다. 키 서버가 구성된 후 USB 플래시 드라이브의 이전 키는 시스템에서 더 이상 데이터를 복호화할 수 없습니다. 민감한 정보 제거에 대해 권장되는 프로시저에 따라 모든 이전 USB 플래시 드라이브를 제거하십시오.
참고: 관리 GUI는 USB 플래시 드라이브에서 키 서버 암호화 방법으로의 마이그레이션만 지원합니다. 키 서버에서 USB 플래시 드라이브로 마이그레이션하려면 명령행 인터페이스를 사용해야 합니다.
키 서버 기반 암호화로 마이그레이션하기 전에 현재 암호화 키가 있는 USB 플래시 드라이브가 최소 한 개는 시스템에 삽입되어 있는지 확인하십시오. USB 플래시 드라이브에서 키 서버로 암호화를 마이그레이션하려면 다음 단계를 완료하십시오.
  1. 관리 GUI에서 설정 > 보안 > 암호화를 선택하십시오.
  2. 암호화 페이지에서 다음 정보를 확인하십시오.
    1. USB 플래시 드라이브를 펼치고 시스템에서 USB 플래시 드라이브가 구성되고 발견되었는지 확인하십시오.
    2. 키 서버를 펼치고 시스템에 키 서버가 구성되지 않았는지 확인하십시오.
  3. 키 서버 아래에서 구성을 클릭하십시오.
  4. 키 서버 유형으로 IBM SKLM(KMIP 포함)을 선택하십시오.
  5. 각 키 서버의 이름, IP 주소 및 포트를 입력하십시오. 여러 키 서버를 구성 중인 경우, 지정하는 첫 번째 키 서버가 기본 키 서버이고 나머지는 보조 키 서버가 됩니다. 모든 보조 키 서버에 키가 분배되도록 하려면 IBM Security Key Lifecycle Manager에서 복제를 구성해야 합니다.
  6. 키 서버의 장치 그룹으로 SPECTRUM_VIRT을 선택하십시오. 시스템의 각 키 서버에도 이 장치 그룹을 구성해야 합니다.
  7. 키 서버 인증서 페이지에서 필요한 모든 키 서버 인증서를 시스템에 업로드해야 합니다. 키 서버는 신뢰할 수 있는 써드파티의 인증 기관(CA) 인증서 또는 키 서버에 작성된 자체 서명 인증서를 사용할 수 있습니다. 또한 키 서버에서 이러한 두 유형의 인증서를 모두 사용할 수도 있습니다. 여러 키 서버가 구성되어 있고 동일한 CA 인증서를 사용할 경우 모든 키 서버를 포함하는 하나의 CA 서명 인증서를 업로드하십시오. 키 서버에서 자체 서명 인증서를 사용할 경우 인증서를 시스템에 별도로 업로드해야 합니다. 키 서버를 위해 시스템에 설치된 CA 서명 인증서보다 자체 서명 인증서가 우선합니다.
  8. 시스템 암호화 인증서 페이지에서 공개 키를 시스템에 다운로드하려면 공개 키 내보내기를 클릭하십시오. 시스템 암호화 인증서는 자체 서명 인증서 또는 CA 인증서일 수 있습니다. 시스템이 개별 키 서버와 통신하도록 신뢰를 설정하기 위해 각 키 서버에 이러한 인증서가 업로드됩니다. 인증서가 없는 경우, 설정 > 보안 > 보안 통신을 선택하십시오. 보안 통신 페이지에서 인증서 업데이트를 선택하여 인증서를 작성하거나 가져오십시오. 자세한 정보는 키 서버에 사용되는 인증서에 대한 주제를 참조하십시오.
  9. 구성된 각 키 서버에서 SPECTRUM_VIRT 장치 그룹에 대해 시스템의 공개 키를 신뢰 저장소에 추가하여 복사하십시오. 세부사항은 IBM Security Key Lifecycle Manager Knowledge Center를 참조하십시오.
  10. 시스템 암호화 인증서 페이지로 돌아가서 시스템의 공개 키 인증서가 구성된 각 키 서버에 전송되었습니다를 선택하십시오.
  11. USB 암호화 사용 안함 패널에서 를 선택하고 다음을 클릭하십시오.
  12. 요약 페이지에서 키 서버의 구성을 확인하고 완료를 클릭하십시오. 구성이 완료된 후 USB 플래시 드라이브에 저장된 키는 유효하지 않습니다. 모든 USB 플래시 드라이브를 안전하게 제거해야 합니다.

CLI 사용

키 서버 기반 암호화로 마이그레이션하기 전에 현재 암호화 키가 있는 USB 플래시 드라이브가 최소 한 개는 시스템에 삽입되어 있는지 확인하십시오. USB 플래시 드라이브에서 키 서버로 마이그레이션하여 암호화 키를 관리하려면 다음 단계를 완료하십시오.
  1. 다음 명령을 입력하여 USB 플래시 드라이브가 있는 시스템에서 암호화가 사용으로 설정되었는지 확인하십시오.
    lsencryption
  2. 다음 CLI 명령을 입력하여 시스템에서 키 서버에 대해 암호화를 사용으로 설정하십시오. 
    chencryption -keyserver enable
  3. 키 서버 유형을 사용으로 설정하고 필요한 경우 인증 기관(CA) 서명 인증서를 제공하십시오. 
    chkeyserverisklm -enable -sslcert /tmp/CASigned.crt
  4. 기본 키 서버를 작성하고 키 서버 인증서를 지정하십시오. 
    mkkeyserver -ip ip_address -port port -primary
  5. 여러 키 서버를 사용할 계획인 경우, 다음 명령을 여러 번 입력하여 동일한 키 서버 인증서를 사용하는 최대 세 개의 추가 보조 키 서버를 지정하십시오. 
    mkkeyserver -ip ip_address -port port
  6. 시스템 암호화 키를 작성하고 지정된 키 서버에 키를 쓰십시오. 
    chencryption -keyserver newkey -key prepare
    이 명령은 준비된 키를 현재 키로 만들고 이 키 값을 구성된 모든 키 서버에 저장합니다.
  7. 시스템이 준비되었는지 확인하려면 다음 명령을 입력하십시오. 
    lsencryption
    keyserver_rekey 매개변수 값이 prepared인지 확인하십시오. prepared 값은 새 키가 커미트될 준비가 되었음을 표시합니다.
  8. 키를 커미트하려면 다음 명령을 입력하십시오. 
    chencryption -keyserver newkey -key commit
  9. 키 서버에 대해 새 키가 커미트된 후 다음 명령을 입력하여 USB 플래시 드라이브의 암호화를 사용 안함으로 설정하십시오. 
    chencryption -usb disable
시스템에서 키 서버에 대해 이미 암호화가 사용으로 설정된 경우, 기본 키 서버가 시스템에 연결되어 있으며 현재 암호화 키를 분배하는지 확인하십시오. 키 서버에서 USB 플래시 드라이브로 마이그레이션하여 암호화 키를 관리하려면 다음 단계를 완료하십시오.
  1. 다음 명령을 입력하여 키 서버가 있는 시스템에서 암호화가 사용으로 설정되었는지 확인하십시오.
    lsencryption
  2. 다음 CLI 명령을 입력하여 시스템에서 암호화를 사용으로 설정하십시오. 
    chencryption -usb enable
  3. 세 개 이상의 USB 플래시 드라이브가 설치되었는지 확인하십시오. 
    lsportusb
    status 매개변수의 값이 active인지 확인하십시오. 이 상태는 USB 플래시 드라이브가 노드에 삽입되고 시스템에서 사용될 수 있음을 표시합니다.
  4. 시스템 암호화 키를 작성하고 해당 키를 시스템에 연결된 모든 USB 플래시 드라이브에 쓰십시오. 
    chencryption -usb newkey -key prepare
  5. 준비된 키를 현재 키로 커미트하십시오. usb_rekeylsencryption 값이 prepared로 설정되고 USB 암호화 키의 개수가 필요한 최소 개수보다 많으면 다음 명령을 사용하십시오. 
    chencryption -usb newkey -key commit

    USB 장치에 키가 기록되지 않으면 암호화된 오브젝트에 액세스할 수 없고 데이터가 손실됩니다. 가용성을 위해 충분한 키 사본과 재해가 발생하는 경우를 대비하여 여분의 백업을 보유하는 것은 매우 중요합니다. 작성된 파일의 백업을 작성하여 키 자료를 복사할 수 있습니다.

  6. 새 키가 커미트된 후 다음 명령을 입력하여 키 서버에 대한 암호화를 사용 안함으로 설정하십시오. 
    chencryption -keyserver disable
상위 주제: 암호화 관리
관련 참조:
chencryption
chkeyserverisklm
lsencryption
lsportusb
mkkeyserver