如果您使用了 USB 快閃磁碟機來配置加密,您可以建立新金鑰,並儲存在 USB 快閃磁碟機中。
重設金鑰是指為系統建立新金鑰的過程。如果要建立新的金鑰,系統上必須啟用加密;然而,不論是否有加密的物件,重設金鑰作業都能運作。
建立新的金鑰之前,請確定至少一個 USB 埠中已插入含有現行金鑰的 USB 快閃磁碟機。
在重設金鑰過程中,將會產生新的金鑰並複製到 USB 快閃磁碟機。然後,這些金鑰就會取代現行金鑰。至少要有一個 USB 快閃磁碟機包含現行金鑰,否則重設金鑰作業會失敗。如果要重設系統的金鑰,您最少需要三個 USB 快閃磁碟機來儲存複製的金鑰資料。如果系統上同時配置這兩種加密方法,請完整地重設一種方法的金鑰,再重設另一種方法的金鑰。
使用管理 GUI
在為系統重設金鑰之前,請確認在 USB 快閃磁碟機中,至少有一個包含現行金鑰,以確保可存取加密金鑰。將其他 USB 快閃磁碟機插入控制機箱背面面板的其餘埠。畫面上會顯示可用的埠,指出需要插入 USB 快閃磁碟機的埠。如果系統上同時配置這兩種加密方法,請完整地重設一種方法的金鑰,再重設另一種方法的金鑰。
如果要在管理 GUI 中重設系統的金鑰,請完成這些步驟:
- 在管理 GUI 中,選取。請確認可存取加密金鑰,這表示在 USB 快閃磁碟機中,至少有一個包含現行金鑰。
將其他 USB 快閃磁碟機插入節點上的其餘埠中。
可用的埠會出現,指出哪些埠需要 USB 快閃磁碟機。
- 展開 USB 快閃磁碟機,以顯示系統上偵測到的所有 USB 快閃磁碟機,然後選取重設金鑰。
- 當系統偵測到所需的 USB 快閃磁碟機數目,且至少有一個磁碟機內含現有的金鑰時,就會產生新的金鑰並複製到 USB 快閃磁碟機。建立金鑰之後,按一下確定,以完成重設金鑰作業。如果重設金鑰程序期間發生錯誤,狀態訊息會顯示複製或建立新金鑰的問題。比方說,如果已插入的 USB 磁碟機數已達下限數量,但都不含現有的加密金鑰,則重設金鑰作業會失敗。如果要判斷並修正其他可能的錯誤,請選取。
註: 如果您除了 USB 快閃磁碟機以外,還配置金鑰伺服器,則現在就可以重設金鑰伺服器的金鑰。
使用指令行介面
在為系統重設金鑰之前,請確認在 USB 快閃磁碟機中,至少有一個包含現行金鑰,以確保可存取加密金鑰。將其他 USB 快閃磁碟機插入控制機箱背面面板的其餘埠。畫面上會顯示可用的埠,指出需要插入 USB 快閃磁碟機的埠。如果系統上同時配置這兩種加密方法,請完整地重設一種方法的金鑰,再重設另一種方法的金鑰。
如果要在指令行介面中重設系統的金鑰,請完成這些步驟:
- 輸入這個指令,確認系統上已啟用加密:
lsencryption
請確定狀態指出加密已啟用。
- 確認加密已啟用之後,您需要準備好系統來針對系統上目前使用的加密金鑰進行重設金鑰。請確定含有現行金鑰的 USB 快閃磁碟機中,至少有一個已插在配置節點中。
需要有現行金鑰;否則重設金鑰程序會失敗。將其他 USB 快閃磁碟機插入系統背面的其餘 USB 埠中。
如果要準備重設金鑰作業,並將新的金鑰複製到系統上所有已插入的 USB 快閃磁碟機,請輸入下列指令:
chencryption -usb newkey -key prepare
這個指令會確認 USB 快閃磁碟機中,至少有一個包含現行加密金鑰。
它也會為系統產生新的加密金鑰,並將金鑰複製到所有已插入系統中的 USB 快閃磁碟機。您可以選擇性地為加密金鑰建立其他副本,以防 USB 快閃磁碟機遺失或損壞時有備份可用。
- 如果要確定金鑰,請輸入下列指令:
chencryption -usb newkey -key commit
這個指令會將備妥的金鑰變成現行金鑰,並將金鑰值儲存在 USB 快閃磁碟機。
- 輸入下列指令,以確認新的金鑰已確定:
lsencryption
請確定 usb_rekey 參數的值為 no,且 usb_key_copies 具有包含金鑰副本的最少必要數目 USB 快閃磁碟機。系統至少需要三個 USB 快閃磁碟機,各含有一個金鑰副本。建議您製作額外的金鑰副本,並妥善保存。