在金鑰管理方法之間移轉

您可以利用管理 GUI 或指令行介面,在根據 USB 快閃磁碟機和金鑰伺服器的加密之間移轉,而不會引起干擾。 如果要從金鑰伺服器移轉至 USB 快閃磁碟機,只能使用指令行介面。在移轉期間,系統支援同時配置這兩種金鑰管理方法。移轉完成之後,您可以停用舊的金鑰管理方法。

使用管理 GUI

在移轉期間,要等到新的方法配置完成,系統才會停用目前配置的金鑰管理方法。因此,在完成移轉之前,仍可使用現行金鑰來存取加密的資料。 比方說,如果您從 USB 快閃磁碟機移轉至金鑰伺服器,在配置金鑰伺服器加密之前,仍可使用 USB 快閃磁碟機上的舊金鑰。 不過,系統上必須插入至少一個含有現行加密金鑰的 USB 快閃磁碟機,才能移轉到金鑰伺服器。配置金鑰伺服器之後,USB 快閃磁碟機上的舊金鑰就無法再將系統上的資料解密。請根據處置機密性資訊的建議程序,處置任何舊的 USB 快閃磁碟機。
註: 管理 GUI 僅支援從 USB 快閃磁碟機移轉至金鑰伺服器加密方法。如果要從金鑰伺服器移轉至 USB 快閃磁碟機,您必須使用指令行介面。
移轉到金鑰伺服器型加密之前,請確定系統上插入至少一個含有現行加密金鑰的 USB 快閃磁碟機。如果要從 USB 快閃磁碟機加密移轉至金鑰伺服器加密,請完成下列步驟:
  1. 在管理 GUI 中,選取設定 > 安全性 > 加密
  2. 加密頁面上,驗證下列資訊:
    1. 展開 USB 快閃磁碟機,驗證系統中已配置並偵測到 USB 快閃磁碟機。
    2. 展開金鑰伺服器,驗證系統上未配置金鑰伺服器。
  3. 金鑰伺服器下,按一下配置
  4. 選取 IBM SKLM(含 KMIP)作為金鑰伺服器類型。
  5. 輸入每一個金鑰伺服器的名稱、IP 位址和埠。如果配置多個金鑰伺服器,您指定的第一個金鑰伺服器是主要金鑰伺服器,其餘的會成為次要金鑰伺服器。 為了確保金鑰會配送至所有的次要金鑰伺服器,必須在 IBM Security Key Lifecycle Manager 上配置抄寫。
  6. 選取 SPECTRUM_VIRT 作為金鑰伺服器的裝置群組。在每一個金鑰伺服器上也必須為系統配置這個裝置群組。
  7. 金鑰伺服器憑證頁面中,您必須將所有必要的金鑰伺服器憑證上傳至系統。金鑰伺服器可以使用具公信力第三者發行的憑證管理中心 (CA) 憑證,或金鑰伺服器上建立的自簽憑證。 您也可以在金鑰伺服器上同時使用這兩種憑證。 如果配置多個金鑰伺服器,且使用相同的 CA 憑證,請上傳單一 CA 簽章憑證,其中涵蓋所有金鑰伺服器。如果金鑰伺服器使用自簽憑證,則必須另外將這些憑證上傳至系統。任何自簽憑證都優先於系統上為金鑰伺服器所安裝的任何 CA 簽章憑證。
  8. 系統加密憑證頁面中,按一下匯出公開金鑰,將公開金鑰下載至系統。系統加密憑證也可以是自簽憑證或 CA 憑證。這些憑證會上傳至每一部金鑰伺服器,讓系統信任與個別金鑰伺服器之間的通訊。如果憑證不存在,請選取設定 > 安全 > 安全通訊。在安全通訊頁面上,選取更新憑證來建立或匯入憑證。如需相關資訊,請參閱與用於金鑰伺服器的憑證相關的主題。
  9. 將系統的公開金鑰新增至信任儲存庫,以複製給每一已配置的金鑰伺服器上的 SPECTRUM_VIRT 裝置群組。 如需詳細資料,請參閱 IBM Security Key Lifecycle Manager Knowledge Center。
  10. 回到系統加密憑證頁面,選取系統的公開金鑰憑證已傳送至每一個已配置的金鑰伺服器
  11. 停用 USB 加密畫面上,選取並按下一步
  12. 摘要頁面上,驗證金鑰伺服器的配置,然後按一下完成。配置完成之後,儲存在 USB 快閃磁碟機上的金鑰就無效。 務必安全地處置所有 USB 快閃磁碟機。

使用 CLI

移轉到金鑰伺服器型加密之前,請確定系統上插入至少一個含有現行加密金鑰的 USB 快閃磁碟機。如果要從 USB 快閃磁碟機移轉至金鑰伺服器,以管理加密金鑰,請完成下列步驟:
  1. 輸入下列指令,驗證已在系統上對 USB 快閃磁碟機啟用加密:
    lsencryption
  2. 輸入下列 CLI 指令,以便在系統上啟用金鑰伺服器加密:
    chencryption -keyserver enable
  3. 啟用金鑰伺服器類型,並提供憑證管理中心 (CA) 已簽章的憑證(如果需要的話):
    chkeyserverisklm -enable -sslcert /tmp/CASigned.crt
  4. 建立主要金鑰伺服器並指定金鑰伺服器憑證:
    mkkeyserver -ip ip_address -port port -primary
  5. 如果您打算使用多部金鑰伺服器,請多次輸入下列指令,以便指定使用相同金鑰伺服器憑證的次要金鑰伺服器(最多指定三部):
    mkkeyserver -ip ip_address -port port
  6. 建立系統加密金鑰,並將金鑰寫入指定的金鑰伺服器:
    chencryption -keyserver newkey -key prepare
    這個指令會將備妥的金鑰變成現行金鑰,並將金鑰值儲存在所有已配置的金鑰伺服器上。
  7. 如果要驗證系統已備妥,請輸入下列指令:
    lsencryption
    檢查 keyserver_rekey 參數的值為 preparedprepared 值指出新的金鑰已備妥可確定。
  8. 如果要確定金鑰,請輸入下列指令:
    chencryption -keyserver newkey -key commit
  9. 確定金鑰伺服器的新金鑰之後,請輸入下列指令,停用 USB 快閃磁碟機的加密:
    chencryption -usb disable
如果已在系統上啟用金鑰伺服器加密,請確定已將主要金鑰伺服器連接至該系統,並已配送現行的加密金鑰。如果要從金鑰伺服器移轉至 USB 快閃磁碟機,以管理加密金鑰,請完成下列步驟:
  1. 輸入下列指令,驗證已在系統上啟用金鑰伺服器加密:
    lsencryption
  2. 輸入下列 CLI 指令,在系統上啟用加密:
    chencryption -usb enable
  3. 請確定已安裝至少三個 USB 快閃磁碟機: 
    lsportusb
    檢查 status 參數的值為 active。 這個狀態表示 USB 快閃磁碟機已插在節點上,可供系統使用。
  4. 建立系統加密金鑰,並將這些金鑰寫入系統連接的所有 USB 快閃磁碟機:
    chencryption -usb newkey -key prepare
  5. 確定所準備的金鑰是現行金鑰。當 usb_rekeylsencryption 值設為 prepared,且 USB 加密金鑰數目大於所需的最少數目時,請使用這個指令。
    chencryption -usb newkey -key commit

    如果金鑰未寫入至 USB 裝置,則無法存取加密的物件,且資料會遺失。 基於可用性及災難發生時有額外的備份可用,準備足夠的金鑰副本非常重要。您可以從已建立的檔案製作備份,以複製金鑰資料。

  6. 確定新金鑰之後,請輸入下列指令,停用金鑰伺服器的加密:
    chencryption -keyserver disable
上層主題: 管理加密
相關參考:
chencryption
chkeyserverisklm
lsencryption
lsportusb
mkkeyserver