使用密钥服务器启用加密

加密密钥服务器创建和管理由系统使用的加密密钥。 在具有大量系统的环境中,密钥服务器远程分发密钥,无需物理访问系统。

密钥服务器是用于生成和存储加密密钥并向系统发送加密密钥的集中式系统。 如果密钥服务器提供程序支持在多个密钥服务器之间复制密钥,那么最多可指定 4 个密钥服务器,这些服务器通过公共网络或单独的专用网络连接系统。

系统支持使用 IBM Security Key Lifecycle Manager 密钥服务器启用加密。 必须先在 IBM Security Key Lifecycle Manager 上配置所有密钥服务器,然后再定义这些密钥服务器。 IBM Security Key Lifecycle Manager 支持密钥管理互操作性协议 (KMIP),这是加密存储数据和管理密钥的标准。IBM Security Key Lifecycle Manager 可以用于为系统创建受管密钥,并通过证书提供对这些密钥的访问权。

系统在 IBM Security Key Lifecycle Manager 上支持不同类型的密钥服务器配置。支持下列配置:
  • 一个主密钥服务器和多个辅助密钥服务器: IBM Security Key Lifecycle Manager 密钥服务器指定一个主密钥服务器,它最多可定义三个辅助密钥服务器(也称为克隆)。这些附加密钥服务器在向系统传递密钥时支持更多路径;但是,在再加密期间,仅使用到主密钥服务器的路径。 当系统再加密时,辅助密钥服务器不可用,直到主密钥服务器将新密钥复制到这些辅助密钥服务器。将密钥复制到辅助密钥服务器所花费的时间取决于复制的密钥和证书信息的总量。 到辅助密钥服务器的每次复制都会花费一些时间。必须先完成复制,然后才能在系统上使用密钥。您可以调度自动复制或通过 IBM Security Key Lifecycle Manager 手动完成。 在复制期间,密钥服务器不可用于分发密钥或接受新密钥。 在 IBM Security Key Lifecycle Manager 上完成复制所花费的总时间取决于配置为克隆的密钥服务器数量。如果手动触发了复制,那么在复制完成时,IBM Security Key Lifecycle Manager 会发出一条完成消息。在系统上使用密钥之前,请验证所有密钥服务器均包含复制的密钥和证书信息。
  • 多个主密钥服务器:可以在多主配置中配置多个密钥服务器,其中每个密钥服务器都可以创建新的加密密钥。在此情况下,可以将任何服务器设置为主密钥服务器。主密钥服务器是创建任何新密钥服务器加密密钥时系统所使用的密钥服务器。如果在 IBM Security Key Lifecycle Manager 上启用了多主方式,那么会将密钥立即复制到配置中的其他密钥服务器。

有关受支持版本的更多信息,请参阅 IBM Security Key LifecycleManager Knowledge Center。

创建 IBM Security Key Lifecycle Manager 密钥服务器对象时,必须指定 IP 地址、端口、证书和设备组。 设备组是存储标识、密钥和密钥组的集合。 设备组允许对较大池中的一部分设备进行有限管理。 如果使用的是缺省设置,那么必须在密钥服务器上将系统定义到 SPECTRUM_VIRT 设备组中。 如果密钥服务器上不存在 SPECTRUM_VIRT 设备组,那么必须基于 GPFS™ 设备系列进行创建。 如果配置多个密钥服务器,那么必须在主密钥服务器和所有其他密钥服务器上定义 SPECTRUM_VIRT 设备组。

启用加密的先决条件

确保先在 IBM Security Key Lifecycle Manager 上完成以下任务,再启用加密:
  1. 定义 IBM Security Key Lifecycle Manager 以使用传输层安全性 V1.2 (TLSv1.2)。IBM Security Key Lifecycle Manager 上的缺省设置是 TLSv1,但系统仅支持 V1.2。 在 IBM Security Key Lifecycle Manager 上,将值设置为 SSL_TLSv2,这是包含 TLSv1.2 在内的协议集。
  2. 确保启动时自动启动数据库服务。
  3. 确保在系统上安装来自 IBM Security Key Lifecycle Manager 的有效 SSL 证书并正在使用该证书。 如果在 IBM Security Key Lifecycle Manager 上配置了自动复制,那么该证书需要上载到系统一次。 但是,如果未在 IBM Security Key Lifecycle Manager 上配置自动复制,那么必须将每个独立密钥服务器的证书上载到系统。
  4. 为系统定义指定 SPECTRUM_VIRT 设备组。 如果要配置多个密钥服务器,必须在主密钥服务器和所有辅助密钥服务器上定义 SPECTRUM_VIRT 设备组。
  5. 如果当前通过 USB 闪存驱动器启用了加密,那么必须先将至少一个 USB 闪存驱动器插入系统中,之后才可以配置密钥服务器以管理密钥。
有关完成这些任务的更多信息,请参阅 IBM Security Key Lifecycle Manager Knowledge Center。

使用管理 GUI

要使用密钥服务器启用加密,请完成以下步骤:
  1. 在管理 GUI 中,选择设置 > 安全性 > 加密
  2. 单击启用加密
  3. 欢迎面板上,选择密钥服务器。 单击下一步
    注: 您还可以同时选择密钥服务器USB 闪存驱动器以配置这两种加密密钥管理方法。 如果任何一种方法不可用,可以使用另一种方法访问系统上加密的数据。
  4. 选择 IBM SKLM(带 KMIP)作为密钥服务器类型。
  5. 输入每一台密钥服务器的名称、IP 地址和端口。 如果配置多个密钥服务器,那么您指定的第一个密钥服务器是主密钥服务器,其余的将成为辅助密钥服务器。 要确保将密钥分发到所有辅助密钥服务器,您必须在 IBM Security Key Lifecycle Manager 上配置复制。
  6. 选择 SPECTRUM_VIRT 作为密钥服务器的设备组。 还必须在系统的每个密钥服务器上配置此设备组。
  7. 密钥服务器证书页面上,必须将所有必需密钥服务器证书上载到系统。 密钥服务器可以使用来自可信第三方的证书、自签名证书或这两种证书的组合。 如果将 IBM Security Key Lifecycle Manager 服务器配置为自动复制,那么该证书将从主密钥服务器复制到所有辅助密钥服务器。 所有 IBM Security Key Lifecycle Manager 实例都通过用同一密钥服务器证书保护的安全连接进行连接。 如果在 IBM Security Key Lifecycle Manager 上使用了复制,只需要安装一个密钥服务器证书。 IBM Security Key Lifecycle Manager 使用该证书来相互复制密钥。 针对密钥服务器,任何自签名证书优先于在系统上安装的任何 CA 签名的证书。 如果仅使用一个证书,并且该证书自动复制到所有配置的密钥服务器,请在证书字段中选择下载到系统的证书。 如果未配置自动复制,选择为配置的每个密钥服务器下载到系统的所有有效证书。 单击下一步
  8. 系统加密证书页面上,单击导出公用密钥以将公用密钥下载到系统。 系统加密证书也可以是自签名证书或 CA 证书。 这些证书将上载到每个密钥服务器以建立信任,便于系统与个别密钥服务器通信。 如果将 IBM Security Key Lifecycle Manager 服务器配置为自动复制,那么该证书将从主密钥服务器复制到所有辅助密钥服务器。 所有 IBM Security Key Lifecycle Manager 实例都通过用同一密钥服务器证书保护的安全连接进行连接。 如果在 IBM Security Key Lifecycle Manager 上使用了复制,那么主密钥服务器会将系统证书复制到其他密钥服务器。 如果 IBM Security Key Lifecycle Manager 服务器没有配置为自动复制,必须为每个独立的密钥服务器安装系统证书。 如果证书不存在,请选择设置 > 安全 > 安全通信。 在安全通信页面上,选择更新证书以创建或导入证书。 有关证书的更多信息,请参阅有关用于密钥服务器的证书的主题。
  9. 通过将系统公用密钥添加到每个配置的密钥服务器上 SPECTRUM_VIRT 设备组的信任库来复制该密钥。 请参阅 IBM® Security Key Lifecycle Manager Knowledge Center,以获取详细信息。
  10. 返回到系统加密证书页面并选择系统公用密钥证书已传输到每个配置的密钥服务器
  11. 如果将 USB 闪存驱动器配置为加密方法,那么会显示禁用 USB 加密页面。 如果想要迁移到密钥服务器并禁用 USB 闪存驱动器,请选择。 如果想要同时配置这两种加密方法,请单击
  12. 单击下一步
  13. 摘要页面上,验证密钥服务器的配置并单击完成

使用命令行界面

要使用密钥服务器启用加密,请完成以下步骤:
  1. 输入以下 CLI 命令在您的系统上启用加密功能:
    chencryption -keyserver enable
  2. 启用密钥服务器类型,并在需要时提供认证中心 (CA) 签名的证书。
    chkeyserverisklm -enable -sslcert /tmp/CASigned.crt
  3. 创建主密钥服务器并指定密钥服务器证书:
    mkkeyserver -ip ip_address -port port -primary
  4. 使用相同的密钥服务器证书最多创建三个其他辅助密钥服务器:
    mkkeyserver -ip ip_address -port port
  5. 在密钥服务器上为系统创建加密密钥:
    chencryption -keyserver newkey -key prepare
    此命令使准备好的密钥成为最新密钥,并将该密钥推送到配置为主密钥服务器的密钥服务器。
  6. 要验证系统是否准备就绪,请输入以下命令:
    lsencryption
    检查 keyserver_rekey 参数的值是否为 preparedprepared 值指示新密钥已准备好进行落实。
  7. 要落实密钥,请输入以下命令:
    chencryption -keyserver newkey -key commit
    此命令使新密钥成为最新密钥,并将其复制到主密钥服务器。
父主题: 启用加密
相关概念:
使用密钥服务器对已启用加密的系统进行再加密
用于加密密钥服务器的证书
相关信息:
IBM Security Key Lifecycle Manager
禁用加密功能