USB フラッシュ・ドライブを使用した暗号化対応システムの鍵再設定

USB フラッシュ・ドライブを使用した暗号化を構成した場合、新しい鍵を作成し、USB フラッシュ・ドライブに保管することができます。鍵再設定とは、システムの鍵を新規作成するプロセスのことです。鍵を新規作成するには、システム上で暗号化が有効になっている必要があります。ただし、鍵再設定操作は、暗号化されたオブジェクトの有無に関係なく、可能です。システム上で両方の暗号化方式が構成されている場合は、一方の方式の鍵をすべて再設定してから、他方の鍵の再設定を行ってください。

新しい鍵を作成する前に、少なくとも 1 つの USB ポートに、現行鍵が入っている USB フラッシュ・ドライブが入っていることを確認します。鍵再設定のプロセスで、新規の鍵が生成され、USB フラッシュ・ドライブにコピーされます。 その後、この新しい鍵が、現行の鍵の代わりに使用されます。 少なくとも 1 つの USB フラッシュ・ドライブに現行鍵が入っていない限り、鍵再設定操作は失敗します。 システムの鍵を再設定するには、コピーされた鍵素材を保管するために、少なくとも 3 つの USB フラッシュ・ドライブが必要です。

管理 GUI を使用する場合

管理 GUI でシステムの鍵再設定を行うには、以下の手順を実行します。
  1. 管理 GUI で、「設定」 > 「セキュリティー」 > 「暗号化」を選択します。 暗号鍵がアクセス可能であることを確認します。これは、少なくとも 1 つの USB フラッシュ・ドライブに最新の鍵が含まれていることを意味します。ノードの残りのポートに、他の USB フラッシュ・ドライブを挿入します。どのポートに USB フラッシュ・ドライブが必要であるかを示すために、使用可能なポートが表示されます。
  2. 「USB フラッシュ・ドライブ」を展開して、システム上で検出されたすべての USB フラッシュ・ドライブを表示し、「鍵再設定」を選択します。
  3. システムが、必要な数の USB フラッシュ・ドライブを検出し、そのうちの少なくとも 1 つのドライブに既存の鍵が入っていると、新しい鍵が生成され、USB フラッシュ・ドライブにコピーされます。鍵が作成された後、「コミット」をクリックして、鍵再設定操作を実行します。鍵再設定プロセスでエラーが発生した場合、状況メッセージにより、新しい鍵のコピーまたは作成での問題が表示されます。例えば、最小数の USB ドライブが挿入されていても、そのどれにも既存の暗号鍵が存在しなければ、鍵再設定操作は失敗します。他に考えられるエラーを判別および修正するには、「モニター」 > 「イベント」を選択します。
    注: USB フラッシュ・ドライブに加えて鍵サーバーも構成されている場合は、鍵サーバーの鍵再設定が可能になりました。

コマンド・ライン・インターフェースの使用

システムの鍵再設定をコマンド・ライン・インターフェースで実行するには、以下の手順を実行します。
  1. 次のコマンドを入力して、システム上で暗号化が有効になっていることを確認します。
    lsencryption

    暗号化が有効であることを状況が示していることを確認します。

  2. 暗号化が有効であることを確認した後、システム上で現在使用されている暗号鍵の鍵再設定をするために、システムを準備する必要があります。現行鍵が入っている USB フラッシュ・ドライブの少なくとも 1 つが構成ノードに挿入されていることを確認します。現行鍵は必要であり、現行鍵がないと鍵再設定プロセスは失敗します。システムの背面にある残りの USB ポートに、他の USB フラッシュ・ドライブを挿入します。鍵再設定操作を準備し、システムに挿入されているすべての USB フラッシュ・ドライブに新しい鍵をコピーするには、次のコマンドを入力します。
    chencryption -usb newkey -key prepare

    このコマンドは、少なくとも 1 つの USB フラッシュ・ドライブに現行暗号鍵が入っていることを確認します。また、システムの新しい暗号鍵を生成して、システムに挿入されているすべての USB フラッシュ・ドライブにその鍵をコピーします。オプションで、USB フラッシュ・ドライブが盗難または損傷した場合のバックアップ用に、暗号鍵のコピーをさらに作成することができます。

  3. 鍵をコミットするには、次のコマンドを入力します。
    chencryption -usb newkey -key commit

    このコマンドは、準備された鍵を現行鍵にして、鍵の値を USB フラッシュ・ドライブに保管します。

  4. 次のコマンドを入力して、新しい鍵がコミットされたことを確認します。
    lsencryption

    usb_rekey パラメーターの値が no であり、usb_key_copies が、鍵のコピーが入った USB フラッシュ・ドライブの最小必要数であることを確認してください。システムには、鍵の 1 コピーごとに少なくとも 3 つの USB フラッシュ・ドライブが必要です。鍵の追加コピーを作成し、安全に保管することをお勧めします。

親トピック: 暗号化の管理