規劃加密

加密規劃包括在系統上啟用此功能。系統上可以啟用 USB 加密、金鑰伺服器加密，或兩者。系統支援透過 IBM Security Key Lifecycle Manager2.6.0 版或更新的版本，以啟用金鑰伺服器加密。

如果要將磁碟機上儲存的資料加密，可以加密的節點必須配置成使用加密。在系統上啟用加密之後，當系統將磁碟機解除鎖定或使用者產生新的金鑰時，系統上必須存在有效的加密金鑰。如果在系統上啟用 USB 加密，加密金鑰必須儲存在 USB 快閃磁碟機上，其中含有啟用加密時所產生的金鑰副本。

如果您使用加密來保護複製到雲端儲存體的資料，雲端帳戶一律與系統加密設定同步。如果同時配置 USB 快閃記憶體隨身碟和金鑰伺服器，則建立的雲端帳戶支援這兩種方法。如果只配置其中一種加密方法而停用另一種方法，則雲端帳戶支援採用其餘配置之加密方法的加密。為了確保雲端帳戶支援加密，當建立雲端帳戶時必須以作用中的金鑰來配置一或兩種方法。

如果以一種加密方法來建立雲端帳戶，您可以稍後配置第二種方法，但在進行配置時，雲端帳戶必須為線上。在配置第二種方法之後，雲端帳戶將支援兩種金鑰提供者。

在您啟用加密之前，必須決定一旦系統要求出示加密金鑰，要用來存取金鑰資訊的方法。在下列作業期間，系統會要求出示加密金鑰：

系統開啟電源
系統重新啟動
使用者起始重設金鑰作業
系統回復

規劃加密時必須考量幾項因素。

系統的實體安全
在系統要求時手動存取加密金鑰的需求與好處
金鑰資料的可用性
在系統上啟用加密
使用 Security Key Lifecycle Manager 複本
建議對系統上建立的任何新複本端點使用 IBM Security Key Lifecycle Manager 2.7.0 版或更新版本。

金鑰伺服器加密

金鑰伺服器因為有實用的特性而更值得使用，例如負責產生加密金鑰、備份及遵循開放式標準來輔助交互作業能力。在規劃金鑰伺服器加密時，考量下列各項很重要。

SSL 憑證: 憑證是金鑰伺服器用來鑑別用戶端（例如，系統節點）和用戶端用來鑑別金鑰伺服器的主要方法，以便驗證是否允許存取儲存在金鑰伺服器中的金鑰。用戶端鑑別可確保金鑰伺服器不會讓不受信任的任一方存取金鑰。金鑰伺服器鑑別可以確保用戶端不會要求將機密的金鑰交給不受信任的一方儲存。系統需要伺服器憑證才能與 IBM Security Key Lifecycle Manager 伺服器通訊。在佈建金鑰伺服器的過程中，使用者必須匯出鑑別金鑰伺服器憑證所需的憑證管理中心 (CA) 憑證，並安裝在系統中。所有 IBM Security Key Lifecycle Manager 金鑰伺服器可配置成使用單一 CA 憑證（用於所有金鑰伺服器），或配置成讓每一個金鑰伺服器有自己的自簽憑證。此外，使用者還必須將系統憑證安裝在每一個金鑰伺服器，然後，IBM Security Key Lifecycle Manager 管理者就可以接受憑證來授權系統存取金鑰伺服器。實作金鑰伺服器加密時，需要有外部金鑰伺服器來產生金鑰並作為這些金鑰的儲存庫。

系統需求: 目前僅支援一種金鑰伺服器。系統實作「金鑰管理互通協定」(Key Management Interoperability Protocol, KMIP)，這會在用戶端和伺服器之間透過 SSL 連線傳送。支援自簽憑證和 CA 簽章的憑證。系統會驗證伺服器的 SSL 憑證並遵循 KMIP 標準。現有的 SAS 硬體需要存取至少一個主要金鑰來解除鎖定，也需要能夠回應金鑰伺服器主要金鑰。第一次啟用金鑰伺服器很簡單。啟用金鑰伺服器加密之後，即可配置和啟用類型、建立伺服器端點，然後準備和確定金鑰。

安全需求: 所有金鑰伺服器通訊的安全都由 TLS 1.2 通訊協定控管。加密金鑰在系統上使用 TLS 1.2 形成叢集。系統使用 AES-128 加密（採用 OpenSSL 程式庫介面）。

IP 位址和埠

所有想要與金鑰伺服器通訊的節點都必須配置服務 IP 位址。節點必須配置完整服務 IP 堆疊（位址、閘道、遮罩），才有資格嘗試連接金鑰伺服器。金鑰伺服器通常在專用 LAN 上設定，這需要強制使用服務 IP 位址。如果只有一部分節點設定服務 IP 位址，則那些沒有服務 IP 位址的節點會記載錯誤。使用者提供的 IP 位址必須是系統用來與金鑰伺服器通訊的 IP 位址。

每一個金鑰伺服器的存取有其相關聯的 TCP 埠。因為一個金鑰伺服器會會為多個用戶端提供服務，系統可讓使用者對每一個伺服器使用不同的埠，並在需要時啟用存取這個埠。 KMIP 伺服器相符性規定支援 TCP 埠 5696，因此這是伺服器端點的預設埠。

金鑰產生原則和金鑰資料庫

如果啟用金鑰伺服器加密，則金鑰伺服器會產生和管理主要金鑰。節點會產生其他所有金鑰。

金鑰資料庫可以是叢集化或未叢集化，視使用的金鑰伺服器類型而定。對於未叢集化的金鑰伺服器，使用者需要考量備份和抄寫金鑰資料庫。IBM Security Key Lifecycle Manager 是金鑰伺服器產品的範例，其中必須配置抄寫，才能在 IBM Security Key Lifecycle Manager 實例之間自動共用加密金鑰。如果不配置抄寫，則必須使用手動的備份及還原作業。其他產品可能自我抄寫，因此其他金鑰伺服器實例會自動建立任何新的金鑰。若為 IBM Security Key Lifecycle Manager，請遵循 IBM Security Key Lifecycle Manager 使用手冊來完成備份和還原。

金鑰伺服器加密的更新需求

如果是在 7.8.0 程式碼層次以前的系統上啟用加密，且系統已更新至程式碼層次 7.8.x 或更新層次，您必須執行 USB 重設金鑰作業來啟用金鑰伺服器加密。啟用金鑰伺服器加密之前，請使用管理 GUI 或執行 chencryption 指令。如果要執行重設金鑰作業，請使用管理 GUI 或執行下列指令。

chencyrption -usb newkey -key prepare
chencryption -usb newkey -key commit

重設金鑰作業必須在完成更新至 7.8.x 程式碼層次或更新層次之後，且在嘗試啟用金鑰伺服器加密之前。