使用金鑰伺服器針對已啟用加密的系統重設金鑰

如果您已配置金鑰伺服器來管理加密金鑰,您可以使用加密金鑰伺服器,來產生新金鑰。 重設金鑰是指為系統建立新金鑰的過程。如果要建立新的金鑰,系統上必須啟用加密;然而,不論是否有加密的物件,重設金鑰作業都能運作。

您可以使用 USB 快閃磁碟機或金鑰伺服器,來啟用加密。如果您的系統上同時配置這兩種加密方法,請先針對其中一種方法重設金鑰,再針對另一種方法重設金鑰。

註: 為了避免資料遺失,每當您重設金鑰時,都要備份 IBM Security Key Lifecycle Manager 資料。

使用管理 GUI

在重設金鑰過程中,金鑰伺服器會產生新的金鑰,而現有的金鑰就作廢。如果您使用多個金鑰伺服器,重設金鑰作業只會發生在主要金鑰伺服器。任何其他的金鑰伺服器變為離線,系統會報告這些金鑰伺服器發生錯誤,直到新的金鑰從主要金鑰伺服器抄寫到次要金鑰伺服器為止。在多重主要 IBM Security Key Lifecycle Manager 配置中,金鑰會立即抄寫至複本節點,配置中的其他金鑰伺服器完全不會停止運作。 您可以利用 IBM Security Key Lifecycle Manager,自動或手動配置主要和次要金鑰伺服器的抄寫。當 IBM Security Key Lifecycle Manager 上排程抄寫時,抄寫會在主要和次要金鑰伺服器之間複製加密金鑰。比方說,如果排程為每 5 小時進行抄寫,而系統重建金鑰,則在排程的抄寫發生之前,次要金鑰伺服器會維持離線。您也可以利用 IBM Security Key Lifecycle Manager 手動完成從主要到次要抄寫金鑰。

在您於所有已配置的金鑰伺服器上產生新的金鑰之前,金鑰伺服器必須在線上,並連接至系統。在管理 GUI 中,選取設定 > 安全性 > 加密。展開金鑰伺服器,以顯示系統上所有已配置的金鑰伺服器的詳細資料。請確認金鑰伺服器為線上狀態且可供系統使用。

如果要為使用金鑰伺服器加密的系統重設金鑰,請完成下列步驟:
  1. 在管理 GUI 中,選取設定 > 安全性 > 加密
  2. 展開金鑰伺服器,以顯示系統上所有已配置的金鑰伺服器,然後選取重設金鑰
  3. 按一下訊息對話框的確定。加密金鑰由主要金鑰伺服器產生,並複製到主要金鑰伺服器。如果重設金鑰過程中發生錯誤,狀態訊息會顯示複製或建立新金鑰的問題。如果要判斷並修正其他可能的錯誤,請選取監視 > 事件
  4. 如果您配置了多個金鑰伺服器,加密金鑰只會複製到主要金鑰伺服器。所有其他的金鑰伺服器會變為離線,直到利用 IBM Security Key Lifecycle Manager 將金鑰從主要金鑰伺服器抄寫到其他金鑰伺服器為止。如果 IBM Security Key Lifecycle Manager 上已啟用多重主要模式,則金鑰會立即抄寫至配置中的其他金鑰伺服器。如需相關資訊,請參閱 IBM Security Key Lifecycle Manager Knowledge Center。
如果您除了金鑰伺服器以外,還配置 USB 快閃磁碟機,則現在就可以重設 USB 快閃磁碟機的金鑰。

使用指令行介面

在您於所有已配置的金鑰伺服器上產生新的金鑰之前,金鑰伺服器必須在線上,並連接至系統。在指令行介面中,輸入 lskeyserver,以驗證金鑰伺服器是否在線上且可供系統使用。

如果要為使用金鑰伺服器的系統重設金鑰,請完成下列步驟:
  1. 輸入這個指令,確認系統上已啟用加密:
    lsencryption
    請確定狀態指出加密已啟用。
  2. 確認加密已啟用之後,請輸入下列指令來驗證金鑰伺服器是否在線上且可供使用:
    lskeyserver
    請確定所有可用金鑰伺服器的狀態都是 online
  3. 確認加密已啟用且金鑰伺服器在線上之後,您需要準備好系統來針對系統上目前使用的加密金鑰進行重設金鑰。如果要準備重設金鑰作業,請輸入下列指令:
    chencryption -keyserver newkey -key prepare
    註: 這個指令只會在主要金鑰伺服器上建立新的金鑰。所有其他的金鑰伺服器會變為離線,直到利用 IBM Security Key Lifecycle Manager 將金鑰從主要金鑰伺服器抄寫到其他金鑰伺服器為止。
  4. 如果要驗證系統已備妥,請輸入下列指令:
    lsencryption
    檢查 keyserver_rekey 參數的值為 preparedprepared 值指出新的金鑰已備妥可確定。
  5. 如果要確定金鑰,請輸入下列指令:
    chencryption -keyserver newkey -key commit
    這個指令會將備妥的金鑰變成現行金鑰,並將金鑰值儲存在主要金鑰伺服器上。
  6. 輸入下列指令,以確認新的金鑰已確定:
    lsencryption
    請確定 keyserver_rekey 參數中的值為 no
  7. 如果您配置了多個金鑰伺服器,加密金鑰只會複製到主要金鑰伺服器。所有配置的其他金鑰伺服器會使用先前的金鑰,直到利用 IBM Security Key Lifecycle Manager 將金鑰抄寫到其他金鑰伺服器為止。如需相關資訊,請參閱 IBM Security Key Lifecycle Manager Knowledge Center。
如果您除了金鑰伺服器以外,還配置 USB 快閃磁碟機,則現在就可以重設 USB 快閃磁碟機的金鑰。
上層主題: 管理加密
相關概念:
加密
相關參考:
lsencryption
chencryption
相關資訊:
IBM Security Key Lifecycle Manager