使用金鑰伺服器來啟用加密

加密金鑰伺服器建立和管理系統所使用的加密金鑰。 在有大量系統的環境中,金鑰伺服器會從遠端分送金鑰,不需要實體存取系統。

金鑰伺服器是產生、儲存及傳送加密金鑰給系統的中央系統。如果金鑰伺服器提供者支援多個金鑰伺服器之間的金鑰抄寫,您可以指定最多 4 個透過公用網路或個別私密網路連接至系統的金鑰伺服器。

系統支援使用 IBM Security Key Lifecycle Manager 金鑰伺服器來啟用加密。 在定義金鑰伺服器之前,必須在 IBM Security Key Lifecycle Manager 上配置所有金鑰伺服器。 IBM Security Key Lifecycle Manager 支援「金鑰管理互通協定」(Key Management Interoperability Protocol, KMIP),這是加密已儲存的資料和管理加密金鑰的一項標準。 IBM Security Key Lifecycle Manager 可用來為系統建立受管理金鑰,還可讓您透過憑證存取這些金鑰。

系統在 IBM Security Key Lifecycle Manager 上支援各種不同的金鑰伺服器配置。支援的配置如下:
  • 一個主要金鑰伺服器和多個次要金鑰伺服器: IBM Security Key Lifecycle Manager 金鑰伺服器指定一個主要金鑰伺服器,最多可以定義三個次要金鑰伺服器(也稱為複本)。 這些額外的金鑰伺服器支援多個路徑來提供金鑰給系統;不過,在重設金鑰的期間,只能使用主要金鑰伺服器的路徑。當系統完成重設金鑰時,在主要金鑰伺服器還未將新的金鑰抄寫到這些次要金鑰伺服器之前,次要金鑰伺服器仍無法使用。將金鑰抄寫至次要金鑰伺服器所花的時間,視要抄寫的金鑰和憑證資訊數量而定。每次抄寫至次要金鑰伺服器都需要一些時間。必須完成抄寫作業,才能在系統上使用金鑰。您可以排程自動抄寫,或使用 IBM Security Key Lifecycle Manager 以手動完成抄寫。在抄寫的期間,無法使用金鑰伺服器來配送金鑰或接受新的金鑰。在 IBM Security Key Lifecycle Manager 上完成抄寫所花的時間總計,視配置為複本的金鑰伺服器數目而定。如果是手動觸發抄寫,當抄寫完成時,IBM Security Key Lifecycle Manager 會發出完成訊息。 請先驗證所有金鑰伺服器都包含抄寫的金鑰和憑證資訊,然後才在系統上使用金鑰。
  • 多個主要金鑰伺服器:在多重主要配置中可以配置金鑰伺服器,其中每一個金鑰伺服器都能夠建立新的加密金鑰。 在此情況下,任何伺服器都可以設為主要金鑰伺服器。主要金鑰伺服器是指當您建立任何新的金鑰伺服器加密金鑰時,系統所使用的金鑰伺服器。如果 IBM Security Key Lifecycle Manager 上已啟用多重主要模式,則金鑰會立即抄寫至配置中的其他金鑰伺服器。

如需受支援版本的相關資訊,請參閱 IBM Security Key Lifecycle Manager Knowledge Center。

當您建立 IBM Security Key Lifecycle Manager 金鑰伺服器物件時,您必須指定 IP 位址、埠、憑證和裝置群組。裝置群組是一組儲存體 ID、金鑰及金鑰群組。裝置群組容許有限制地管理更大儲存區之內的裝置子集。如果您使用預設值,系統必須在金鑰伺服器上定義給 SPECTRUM_VIRT 裝置群組。如果金鑰伺服器上沒有 SPECTRUM_VIRT 裝置群組,則必須根據 GPFS™ 裝置系列來建立該群組。如果配置多個金鑰伺服器,必須在主要和所有其他金鑰伺服器定義 SPECTRUM_VIRT 裝置群組。

啟用加密時的先決條件

在啟用加密之前,請務必先在 IBM Security Key Lifecycle Manager 上完成下列作業:
  1. 定義 IBM Security Key Lifecycle Manager 來使用「傳輸層安全 (TLS)」1.2 版 (TLSv1.2)。IBM Security Key Lifecycle Manager 上的預設值是 TLSv1,但系統僅支援 1.2 版。請在 IBM Security Key Lifecycle Manager 上將值設為 SSL_TLSv2,這是包含 TLSv1.2 的通訊協定集合。
  2. 確保資料庫服務在開機時自動啟動。
  3. 確保 IBM Security Key Lifecycle Manager 所提供的有效 SSL 憑證已安裝在系統上,而且在使用中。如果 IBM Security Key Lifecycle Manager 上已配置自動抄寫,這個憑證必須上傳至系統一次。不過,如果 IBM Security Key Lifecycle Manager 上未配置自動抄寫,則每個獨立式金鑰伺服器的憑證都必須上傳至系統。
  4. 在系統定義中指定 SPECTRUM_VIRT 裝置群組。 如果配置多個金鑰伺服器,必須在主要和所有次要金鑰伺服器定義 SPECTRUM_VIRT 裝置群組。
  5. 如果您目前使用 USB 快閃磁碟機啟用加密,系統上必須插入至少一個 USB 快閃磁碟機,才能配置金鑰伺服器來管理金鑰。
如需完成這些作業的相關資訊,請參閱 IBM Security Key Lifecycle Manager Knowledge Center。

使用管理 GUI

如果要使用金鑰伺服器來啟用加密,請完成下列步驟:
  1. 在管理 GUI 中,選取設定 > 安全性 > 加密
  2. 按一下啟用加密
  3. 歡迎使用畫面中,選取金鑰伺服器。按下一步
    註: 您也可以將金鑰伺服器USB 快閃磁碟機都選取,以配置這兩種方法來管理加密金鑰。 如果任一種方法變成無法使用,您可以利用另一種方法存取系統上加密的資料。
  4. 選取 IBM SKLM(含 KMIP)作為金鑰伺服器類型。
  5. 輸入每一個金鑰伺服器的名稱、IP 位址和埠。如果配置多個金鑰伺服器,您指定的第一個金鑰伺服器是主要金鑰伺服器,其餘的會成為次要金鑰伺服器。為了確保金鑰會配送至所有的次要金鑰伺服器,您必須在 IBM Security Key Lifecycle Manager 配置抄寫。
  6. 選取 SPECTRUM_VIRT 作為金鑰伺服器的裝置群組。在每一個金鑰伺服器上也必須為系統配置這個裝置群組。
  7. 金鑰伺服器憑證頁面中,您必須將所有必要的金鑰伺服器憑證上傳至系統。金鑰伺服器可以使用具公信力第三者發行的憑證、自簽憑證,或這些憑證的組合。如果 IBM Security Key Lifecycle Manager 伺服器已配置自動抄寫,這個憑證會從主要金鑰伺服器複製到所有次要金鑰伺服器。透過安全連線來連接至所有 IBM Security Key Lifecycle Manager 實例時,都是使用相同的金鑰伺服器憑證。如果在 IBM Security Key Lifecycle Manager 上使用抄寫,則只需要安裝一個金鑰伺服器憑證。IBM Security Key Lifecycle Manager 會使用這個單一憑證來彼此抄寫金鑰。 任何自簽憑證都優先於系統上為金鑰伺服器所安裝的任何 CA 簽章憑證。如果只使用一個憑證,而且會自動抄寫至所有已配置的金鑰伺服器,請在憑證欄位中選取您下載到系統的憑證。如果未配置自動抄寫,請為每一個已配置的金鑰伺服器,選取所有已下載至系統的有效憑證。按下一步
  8. 系統加密憑證頁面中,按一下匯出公開金鑰,將公開金鑰下載至系統。系統加密憑證也可以是自簽憑證或 CA 憑證。這些憑證會上傳至每一個金鑰伺服器,讓系統信任與個別金鑰伺服器之間的通訊。如果 IBM Security Key Lifecycle Manager 伺服器已配置自動抄寫,這個憑證會從主要金鑰伺服器複製到所有次要金鑰伺服器。透過安全連線來連接至所有 IBM Security Key Lifecycle Manager 實例時,都是使用相同的金鑰伺服器憑證。如果在 IBM Security Key Lifecycle Manager 上使用抄寫,主要金鑰伺服器會將系統憑證抄寫至其他金鑰伺服器。如果 IBM Security Key Lifecycle Manager 伺服器未配置自動抄寫,您必須將系統憑證安裝到每一個獨立式金鑰伺服器。 如果憑證不存在,請選取設定 > 安全性 > 安全通訊。在安全通訊頁面上,選取更新憑證來建立或匯入憑證。如需憑證的相關資訊,請參閱與金鑰伺服器適用之憑證相關的主題。
  9. 將系統的公開金鑰新增至信任儲存庫,以複製給每一已配置的金鑰伺服器上的 SPECTRUM_VIRT 裝置群組。 詳細資料,請參閱 IBM® Security Key Lifecycle Manager Knowledge Center。
  10. 回到系統加密憑證頁面,選取系統的公開金鑰憑證已傳送至每一個已配置的金鑰伺服器
  11. 如果您將 USB 快閃磁碟機配置成加密方法,則會顯示停用 USB 加密頁面。如果您想要移轉至金鑰伺服器並停用 USB 快閃磁碟機,請選取。如果想同時配置這兩種加密方法,請按一下
  12. 下一步
  13. 摘要頁面上,驗證金鑰伺服器的配置,然後按一下完成

使用指令行介面

如果要使用金鑰伺服器來啟用加密,請完成下列步驟:
  1. 輸入下列 CLI 指令,在系統上啟用加密:
    chencryption -keyserver enable
  2. 啟用金鑰伺服器類型,並提供憑證管理中心 (CA) 已簽章的憑證(如果需要的話):
    chkeyserverisklm -enable -sslcert /tmp/CASigned.crt
  3. 建立主要金鑰伺服器並指定金鑰伺服器憑證:
    mkkeyserver -ip ip_address -port port -primary
  4. 以相同的金鑰伺服器憑證建立最多三個其他的次要金鑰伺服器:
    mkkeyserver -ip ip_address -port port
  5. 在金鑰伺服器上建立系統的加密金鑰:
    chencryption -keyserver newkey -key prepare
    這個指令會使備妥的金鑰成為現行金鑰,並將該金鑰推送到配置成主要金鑰伺服器的金鑰伺服器。
  6. 如果要驗證系統已備妥,請輸入下列指令:
    lsencryption
    檢查 keyserver_rekey 參數的值為 preparedprepared 值指出新的金鑰已備妥可確定。
  7. 如果要確定金鑰,請輸入下列指令:
    chencryption -keyserver newkey -key commit
    這個指令會將新的金鑰變成現行金鑰,並將金鑰複製到主要金鑰伺服器。
上層主題: 啟用加密
相關概念:
使用金鑰伺服器針對已啟用加密的系統重設金鑰
用於加密金鑰伺服器的憑證
相關資訊:
IBM Security Key Lifecycle Manager
停用加密