使用密钥服务器对已启用加密的系统进行再加密

如果已配置密钥服务器来管理加密密钥,可使用加密密钥服务器来生成新密钥。 再加密是为系统创建新密钥的过程。 要创建新密钥,必须在系统上启用加密;但是,无论是否有加密对象,再 加密操作都会正常运行。

您可以使用 USB 闪存驱动器或密钥服务器来启用加密。如果系统上配置了两种加密方法,请先完全再加密一种方法,然后再尝试对另一种方法进行再加密。

注: 为避免数据丢失,请在每次再加密时备份 IBM Security Key Lifecycle Manager 数据。

使用管理 GUI

在再加密过程中,密钥服务器将会生成新密钥,现有密钥将会过时。 如果使用多个密钥服务器,只能在主密钥服务器上执行再加密操作。 任何其他密钥服务器都将脱机,并且系统会针对这些密钥服务器报告错误,直到将新密钥从主密钥服务器复制到辅助密钥服务器为止。在多主 IBM Security Key Lifecycle Manager 配置下,会将密钥立即复制到克隆端点,配置中的其他密钥服务器不会发生任何停机情况。您可以使用 IBM Security Key Lifecycle Manager 自动或手动为主和辅助密钥服务器配置复制。 当在 IBM Security Key Lifecycle Manager 上安排复制时,复制过程会在主密钥服务器和辅助密钥服务器之间复制加密密钥。 例如,如果复制安排为每 5 小时执行一次,且系统已执行再加密,那么辅助密钥服务器保持脱机状态,直到发生安排的复制操作为止。 您也可以使用 IBM Security Key Lifecycle Manager 完成将密钥从主密钥服务器复制到辅助密钥服务器的手动复制过程。

在已配置的所有密钥服务器上生成新密钥之前,密钥服务器必须联机并连接到系统。在管理 GUI 中,选择设置 > 安全性 > 加密。 展开密钥服务器以显示系统上所有已配置密钥服务器的详细信息。 验证密钥服务器状态是否为联机并可供系统使用。

要对使用密钥服务器加密的系统再加密,请完成以下步骤:
  1. 在管理 GUI 中,选择设置 > 安全性 > 加密
  2. 展开密钥服务器以显示系统上所有已配置的密钥服务器并选择再加密
  3. 单击消息对话框上的确定。 加密密钥由主密钥服务器生成,并复制到主密钥服务器。 如果再加密过程中发生了错误,那么状态消息会显示在复制或创建新密钥时出现问题。 要确定并纠正可能存在的其他错误,请选择监控 > 事件
  4. 如果配置了多个密钥服务器,那么仅在主密钥服务器上创建加密密钥。 所有其他密钥服务器都会脱机,直到使用 IBM Security Key Lifecycle Manager 将密钥从主密钥服务器复制到 其他密钥服务器。如果在 IBM Security Key Lifecycle Manager 上启用了多主方式,那么会将密钥立即复制到配置中的其他密钥服务器。有关更多信息,请参阅 IBM Security Key Lifecycle Manager Knowledge Center。
如果除了密钥服务器之外还配置了 USB 闪存驱动器,那么现在可以对 USB 闪存驱动器再加密。

使用命令行界面

在已配置的所有密钥服务器上生成新密钥之前,密钥服务器必须联机并连接到系统。在命令行界面,输入 lskeyserver 以验证密钥服务器是否联机,以及是否可用于系统。

要对使用密钥服务器的系统再加密,请完成以下步骤:
  1. 输入以下命令以验证系统上是否启用加密功能: 
    lsencryption
    确保状态指示已启用加密功能。
  2. 确认启用了加密后,通过输入以下命令验证密钥服务器是否联机且可用:
    lskeyserver
    确保所有可用密钥服务器的状态为 online
  3. 确认已启用加密且密钥服务器联机后,您需要准备系统以对系统上当前使用的加密密钥进行再加密。 要准备再加密操作,请输入以下命令:
    chencryption -keyserver newkey -key prepare
    注: 此命令仅在主密钥服务器上创建新密钥。 所有其他密钥服务器脱机,直到使用 IBM Security Key Lifecycle Manager 将密钥从主密钥服务器复制到 其他密钥服务器。
  4. 要验证系统是否准备就绪,请输入以下命令:
    lsencryption
    检查 keyserver_rekey 参数的值是否为 preparedprepared 值指示新密钥已准备好进行落实。
  5. 要落实密钥,请输入以下命令:
    chencryption -keyserver newkey -key commit
    此命令使准备好的密钥成为最新密钥,并将密钥值存储在主密钥服务器上。
  6. 输入以下命令以验证是否已落实新密钥:
    lsencryption
    确保 keyserver_rekey 参数中的值为 no
  7. 如果配置了多个密钥服务器,那么仅在主密钥服务器上创建加密密钥。 配置所有其他密钥服务器,直到使用 IBM Security Key Lifecycle Manager 将密钥复制到其他密钥服务器。 有关更多信息,请参阅 IBM Security Key Lifecycle Manager Knowledge Center。
如果除了密钥服务器之外还配置了 USB 闪存驱动器,那么现在可以对 USB 闪存驱动器再加密。
父主题: 管理加密
相关概念:
加密
相关参考:
lsencryption
chencryption
相关信息:
IBM Security Key Lifecycle Manager