使用 USB 闪存驱动器启用加密

您可以使用管理 GUI 或命令行界面来对系统启用加密功能。系统支持使用 USB 闪存驱动器作为一种管理加密密钥的方法。

使用管理 GUI 来启用加密

在系统启用加密的情况下，会提示您将 USB 闪存驱动器插入系统中。系统会有计划地将加密密钥复制到这些驱动器中。系统会生成加密密钥并将其复制到所有可用的 USB 闪存驱动器。要启用加密功能，请完成以下步骤：

在管理 GUI 中，选择设置 > 安全性 > 加密。
单击启用加密。
在欢迎面板上，选择 USB 闪存驱动器。
注：您还可以同时选择密钥服务器和 USB 闪存驱动器以配置这两种加密密钥管理方法。如果任何一种方法不可用，可以使用另一种方法访问系统上加密的数据。
在此向导中，系统会提示您将所需数目的 USB 闪存驱动器插入系统中。系统检测到 USB 闪存驱动器后，加密密钥将自动复制到 USB 闪存驱动器。确保创建所需的所有额外副本以进行备份。您可以将 USB 闪存驱动器保持插在系统中。但是，系统所在的区域必须安全才能防止 USB 闪存驱动器丢失或被盗。如果系统所在的区域不安全，请从系统中卸下所有 USB 闪存驱动器并将其存放在安全的地方。
完成所有复制操作后，单击确认。
在 USB 闪存驱动器或另一个外部存储介质上创建密钥的多个备份副本并将其存放在安全的位置。

遵循以下步骤来启用加密：

输入以下 CLI 命令在您的系统上启用加密功能：
```
chencryption -usb enable  
```
确保至少已安装三个 USB 闪存驱动器：
```
lsportusb
```
检查 status 参数的值是否为 active。该状态指示 USB 闪存驱动器已插入到节点，且可供系统使用。
创建系统加密密钥，并将这些密钥写入系统连接的所有 USB 闪存驱动器：
```
chencryption -usb newkey -key prepare 
```
将准备好的密钥落实为最新密钥。在 usb_rekey 的 lsencryption 值设置为 prepared 并且 USB 加密密钥的数量大于所需的最小数量时，请使用此命令。
```
chencryption -usb newkey -key commit 
```
没有写入 USB 设备的密钥，就不能访问加密对象，且数据将丢失。因此，拥有足够多的密钥副本（用于保障可用性）和额外备份（用于应对灾难情况）至关重要。可通过创建已创建文件的备份来复制密钥资料。