Ativando a criptografia com servidores de chaves

Os servidores de chaves de criptografia criam e gerenciam chaves de criptografia que são usadas pelo sistema. Em ambientes com muitos sistemas, os servidores de chaves distribuem as chaves remotamente, sem exigir acesso físico aos sistemas.

Um servidor de chaves é um sistema centralizado que gera, armazena e envia chaves de criptografia ao sistema. Se o provedor de servidor de chaves suporta a replicação de chaves entre múltiplos servidores de chaves, é possível especificar até quatro servidores de chaves que se conectam ao sistema por meio de uma rede pública ou de uma rede privada separada. O sistema suporta servidores de chaves IBM Security Key Lifecycle Manager ou Gemalto SafeNet KeySecure para manipular o gerenciamento de chave no sistema. Ambos os aplicativos de gerenciamento de servidor de chaves suportados criam e gerenciam chaves criptográficas para o sistema e fornecem acesso a essas chaves por meio de um certificado. Somente um tipo de aplicativo de gerenciamento do servidor de chaves pode ser ativado no sistema de cada vez. A autenticação ocorre quando os certificados são trocados entre o sistema e o servidor de chaves. Os certificados devem ser gerenciados de perto, já que os certificados expirados podem causar interrupções do sistema. Os servidores de chaves devem ser instalados e configurados antes de serem definidos no sistema.

Configurando servidores de chaves IBM Security Key Lifecycle Manager

Os servidores de chaves IBM Security Key Lifecycle Manager suportam o Key Management Interoperability Protocol (KMIP), que é um padrão para criptografia de dados armazenados e gerenciamento de chaves criptográficas.

O sistema suporta diferentes tipos de configurações do servidor de chaves no IBM Security Key Lifecycle Manager. As seguintes configurações são suportadas:
  • Um servidor de chaves principal (mestre) e vários servidores de chaves secundários: Os servidores de chaves IBM Security Key Lifecycle Manager designam um servidor de chaves mestre ou principal, que pode ter até três servidores de chaves secundários (também conhecidos como clones) definidos. Esses servidores de chaves adicionais suportam mais caminhos ao entregar chaves ao sistema. Entretanto, durante o rechaveamento, somente o caminho para o servidor de chaves principal é usado. Quando o sistema é rechaveado, os servidores de chaves secundários estão indisponíveis até que o servidor de chaves principal replique as novas chaves para esses servidores de chaves secundários. A quantia de tempo que leva para replicar a chave para um servidor de chaves secundário depende da quantia de informações de chave e de certificado que está sendo replicada. Cada replicação para um servidor de chaves secundário pode levar algum tempo. A replicação deve ser concluída antes de as chaves poderem ser usadas no sistema. É possível planejar a replicação automática ou concluí-la manualmente com o IBM Security Key Lifecycle Manager. Durante a replicação, os servidores de chaves não estão disponíveis para distribuir chaves ou aceitar novas chaves. O tempo total gasto para a conclusão de uma replicação no IBM Security Key Lifecycle Manager depende do número de servidores de chaves que estão configurados como clones. Se a replicação for acionada manualmente, o IBM Security Key Lifecycle Manager emitirá uma mensagem de conclusão quando a replicação for concluída. Verifique se todos os servidores de chaves contêm informações replicadas de chaves e de certificados antes que as chaves sejam usadas no sistema.
  • Múltiplos servidores de chave mestra: servidores de chaves podem ser configurados em uma configuração multimestre na qual cada servidor de chaves tem a capacidade de criar novas chaves de criptografia. Nessa instância, qualquer servidor pode ser configurado como o servidor de chaves principal. O servidor de chaves principal é o servidor de chaves que o sistema usa quando você cria qualquer nova chave de criptografia do servidor de chaves. Se o modo multimestre estiver ativado no IBM Security Key Lifecycle Manager, a chave será imediatamente replicada para os outros servidores de chaves na configuração.
Certifique-se de que concluiu as seguintes tarefas no IBM Security Key Lifecycle Manager antes de ativar a criptografia:
  1. Defina o IBM Security Key Lifecycle Manager para usar a Segurança da Camada de Transporte versão 1.2 (TLSv1.2). A configuração padrão no IBM Security Key Lifecycle Manager é TLSv1, mas o sistema suporta somente a versão 1.2. No IBM Security Key Lifecycle Manager, configure o valor para SSL_TLSv2, que é um conjunto de protocolos que inclui TLSv1.2.
  2. Assegure que o serviço de banco de dados seja iniciado automaticamente na inicialização.
  3. Assegure-se de que um certificado SSL válido do IBM Security Key Lifecycle Manager esteja instalado no sistema e em uso. Se a replicação automática estiver configurada no IBM Security Key Lifecycle Manager, este certificado precisa ser transferido por upload para o sistema uma vez. Entretanto, se a replicação automática não estiver configurada no IBM Security Key Lifecycle Manager, um certificado para cada servidor de chaves independente deverá ser transferido por upload para o sistema.
  4. Especifique o grupo de dispositivos SPECTRUM_VIRT para a definição do sistema. Se você estiver configurando diversos servidores de chaves, o grupo de dispositivos SPECTRUM_VIRT deverá ser definido no primário e em todos os servidores de chaves secundários.
  5. Se a criptografia estiver ativada atualmente com unidades flash USB, pelo menos uma das unidades flash USB deverá ser inserida no sistema antes que os servidores de chaves possam ser configurados para gerenciar chaves.
Para obter informações adicionais sobre como concluir estas tarefas, consulte o IBM Knowledge Center para IBM Security Key Lifecycle Manager.

Ao criar objetos do servidor de chaves no sistema para servidores de chaves IBM Security Key Lifecycle Manager, você deve criar um grupo de dispositivos, além do nome, endereço IP, porta e informações de certificado. O grupo de dispositivos é uma coleção de credenciais de segurança (incluindo chaves e grupos de chaves) que permite o gerenciamento restrito de subconjuntos de dispositivos em um conjunto maior. O sistema deve ser definido no servidor de chaves para o grupo de dispositivos SPECTRUM_VIRT se você está usando as configurações padrão. Se o grupo de dispositivos SPECTRUM_VIRT não existir no servidor de chaves, ele deve ser criado com base na família de dispositivos GPFS. Se estiver configurando vários servidores de chaves, o grupo de dispositivos SPECTRUM_VIRT deve ser definido nos servidor de chaves principal e em todos os servidores de chaves adicionais.

Para ativar a criptografia com um servidor de chaves IBM Security Key Lifecycle Manager na GUI de gerenciamento, conclua estas etapas:
  1. Na GUI de gerenciamento, selecione Configurações > Segurança > Criptografia.
  2. Clique em Ativar criptografia.
  3. No painel Bem-vindo, selecione Servidores de chaves. Clique em Avançar.
    Nota: Também é possível selecionar Servidores de chave e Unidades flash USB para configurar ambos os métodos para gerenciar chaves de criptografia. Se um dos métodos ficar indisponível, será possível usar o outro método para acessar os dados criptografados no sistema.
  4. Selecione IBM SKLM (com KMIP) para o tipo de servidor de chaves.
  5. Insira o nome, o endereço IP e a porta para cada servidor de chaves. Se você estiver configurando múltiplos servidores de chaves, o primeiro especificado será o principal e o restante dos servidores de chaves será secundário. Para assegurar que as chaves sejam distribuídas para todos os servidores de chaves secundários, deve-se configurar a replicação no IBM Security Key Lifecycle Manager.
  6. Selecione SPECTRUM_VIRT para o grupo de dispositivos para os servidores de chaves. Esse grupo de dispositivos também deve ser configurado em cada um dos servidores de chaves para o sistema.
  7. Na página Certificado do Servidor Principal, você deve fazer upload de todos os certificados do servidor principal necessários para o sistema. Os servidores de chaves podem usar um certificado de um terceiro confiável, um certificado autoassinado ou uma combinação desses certificados. Se os servidores IBM Security Key Lifecycle Manager estiverem configurados para replicação automática, este certificado será copiado do servidor de chaves principal para todos os servidores de chaves secundários. Todas as instâncias do IBM Security Key Lifecycle Manager são conectadas para proteger conexões com o mesmo certificado do servidor de chaves. Se a replicação for usada no IBM Security Key Lifecycle Manager, somente um certificado do servidor de chaves precisará ser instalado. O IBM Security Key Lifecycle Manager usa este certificado único para replicar chaves entre si. Os certificados autoassinados têm prioridade sobre qualquer certificado assinado por CA que está instalado no sistema para os servidores de chaves. Se apenas um certificado for usado e replicado automaticamente para todos os servidores de chaves configurados, selecione o certificado que você transferiu por download para o sistema no certificado no campo Certificado. Se a replicação automática não estiver configurada, selecione todos os certificados válidos que foram transferidos por download para o sistema para cada um dos servidores de chaves configurados. Clique em Avançar.
  8. Na página Certificado de criptografia do sistema, clique em Exportar chave pública para fazer download da chave pública para o sistema. Os certificados de criptografia do sistema também podem ser um certificado autoassinado ou de autoridade de certificação (CA). Esses certificados são transferidos por upload para cada um dos servidores de chaves para estabelecer a confiança para que o sistema se comunique com servidores de chaves individuais. Se os servidores IBM Security Key Lifecycle Manager estiverem configurados para replicação automática, este certificado será copiado do servidor de chaves principal para todos os servidores de chaves secundários. Todas as instâncias do IBM Security Key Lifecycle Manager são conectadas para proteger conexões com o mesmo certificado do servidor de chaves. Se a replicação for usada no IBM Security Key Lifecycle Manager, o servidor de chaves principal replicará o certificado do sistema para os outros servidores de chaves. Se os servidores IBM Security Key Lifecycle Manager não estiverem configurados para replicação automática, você deve instalar o certificado do sistema para cada servidor de chaves independente. Se não existe um certificado, selecione Configurações > Segurança > Comunicações seguras. Na página Comunicações seguras, selecione Atualizar certificado para criar ou importar um certificado. Para obter mais informações sobre certificados, consulte o tópico sobre certificados que são usados para servidores de chaves.
  9. Copie a chave pública do sistema, incluindo-a no armazenamento confiável para o grupo de dispositivos SPECTRUM_VIRT em cada servidor de chaves configurado. Consulte o IBM® Security Key Lifecycle Manager IBM Knowledge Center para obter detalhes.
  10. Retorne à página Certificado de criptografia do sistema e selecione O certificado da chave pública do sistema foi transferido para cada servidor de chaves configurado.
  11. Se você tiver unidades flash USB configuradas como seu método de criptografia, a página Desativar criptografia USB será exibida. Se você deseja migrar para servidores de chaves e desativar unidades flash USB, selecione Sim. Se você deseja que ambos os métodos de criptografia sejam configurados simultaneamente, clique em Não.
  12. Clique em Avançar.
  13. Na página Resumo, verifique a configuração para os servidores de chaves e clique em Concluir.
Para ativar a criptografia com um servidor de chaves IBM Security Key Lifecycle Manager na interface da linha de comandos, conclua as seguintes etapas:
  1. Insira o comando da CLI a seguir para ativar a criptografia no sistema:
    chencryption -keyserver enable
  2. Ative o tipo de servidor de chaves e forneça o certificado assinado pela autoridade de certificação (CA), se um for necessário:
    chkeyserverisklm -enable -sslcert /tmp/CASigned.crt
  3. Crie o servidor de chaves primário e especifique o certificado do servidor de chaves:
    mkkeyserver -ip ip_address -port port -primary
  4. Crie até três servidores de chaves secundários adicionais com o mesmo certificado do servidor de chaves:
    mkkeyserver -ip ip_address -port port
  5. Crie a chave de criptografia para o sistema no servidor de chaves:
    chencryption -keyserver newkey -key prepare
    Esse comando torna a chave preparada a chave atual e envia a chave por push para o servidor de chaves configurado como o servidor de chaves principal.
  6. Para verificar se o sistema está preparado, insira o seguinte comando:
    lsencryption
    Verifique se o parâmetro keyserver_rekey tem o valor preparado. O valor prepared indica que a chave nova está pronta para ser consolidada.
  7. Para confirmar a chave, insira o comando a seguir:
    chencryption -keyserver newkey -key commit
    Esse comando torna a nova chave a chave atual e a copia no servidor de chaves principal.

Configurando servidores de chaves Gemalto SafeNet KeySecure

Os servidores de chaves Gemalto SafeNet KeySecure também suportam KMIP e criam chaves on demand e, em seguida, compartilham-nas com os outros servidores em cluster, fornecendo acesso redundante. O sistema suporta diferentes tipos de configurações no servidor de chaves KeySecure. As seguintes configurações são suportadas:
  • Os servidores de chaves KeySecure usam um modelo ativo/ativo, em que há vários servidores de chaves para fornecer redundância. Um servidor de chaves KeySecure deve ser especificado como o servidor de chaves principal. O servidor de chaves principal é o servidor de chaves que o sistema usa quando são criadas novas chaves de criptografia. A chave é imediatamente replicada para os outros servidores de chaves no cluster KeySecure. Todos os servidores de chaves KeySecure que estão definidos no sistema podem ser usados para recuperar chaves. Embora seja possível configurar uma única instância do servidor de chaves com o KeySecure, são recomendados dois servidores de chaves para assegurar a disponibilidade das chaves, se um servidor de chaves tiver uma indisponibilidade.
  • O sistema suporta até quatro servidores de chaves com o KeySecure. Se o sistema estiver acessando vários servidores de chaves, eles precisam pertencer ao mesmo cluster de servidores de chaves KeySecure.
Certifique-se de concluir as seguintes tarefas nos servidores de chaves SafeNet KeySecure antes de ativar a criptografia:
  1. Cada servidor de chaves deve ser configurado para permitir o TLS 1.2 para comunicações seguras.
  2. Certifique-se de que um certificado SSL válido de cada servidor de chaves KeySecure esteja instalado no sistema e em uso. Inclua o certificado do servidor para cada servidor de chaves KeySecure ou inclua o certificado de autoridade de certificação que foi usado para assinar cada certificado do servidor.
  3. Se você planeja usar um nome de usuário e uma senha para autenticar o sistema para esses servidores de chaves, deverá configurar credenciais do usuário para autenticação na interface KeySecure. Para o KeySecure versões 8.10 e superiores, os administradores podem configurar um nome de usuário e senha para autenticar o sistema quando ele se conectar. Antes do KeySecure versão 8.10, o uso de senha era opcional. Para configurar a autenticação com um nome de usuário e senha entre o sistema e os servidores de chaves KeySecure, desative as chaves globais no menu Alta segurança, na interface SafeNet KeySecure. Quando as chaves globais são desativadas, os servidores de chaves não podem autenticar clientes para criar ou acessar chaves sem credenciais válidas.
  4. Certifique-se de que o certificado de criptografia de sistema seja uma entidade confiável na interface KeySecure. É possível usar dois métodos para incluir o certificado de criptografia de sistema como uma entidade confiável. É possível exportar o certificado de criptografia de sistema atual e, em seguida, incluí-lo nas autoridades de certificação (CA) conhecidas na Lista de CAs confiáveis ou criar uma nova solicitação de assinatura de certificado para uma autoridade de certificação de terceiros que já esteja incluída na Lista de CAs confiáveis. O certificado de criptografia de sistema também pode requerer um nome de usuário, se um nome de usuário estiver ativado para certificados para servidores de chaves KeySecure.
  5. Se atualmente você tiver uma criptografia que esteja ativada com unidades flash USB, pelo menos uma das unidades flash USB deve ser inserida no sistema antes da configuração de servidores de chaves para gerenciar chaves.
Para ativar a criptografia com um servidor de chaves KeySecure com a GUI de gerenciamento, conclua estas etapas:
  1. Na GUI de gerenciamento, selecione Configurações > Segurança > Criptografia.
  2. Clique em Ativar criptografia.
  3. Na página de Boas-vindas, selecione Servidores de chaves. Clique em Avançar.
    Nota: Também é possível selecionar Servidores de chave e Unidades flash USB para configurar ambos os métodos para gerenciar chaves de criptografia. Se um dos métodos ficar indisponível, será possível usar o outro método para acessar os dados criptografados no sistema.
  4. Selecione Gemalto SafeNet KeySecure para o tipo de servidor de chaves.
  5. Insira o nome, o endereço IP e a porta para cada servidor de chaves. Se estiver configurando vários servidores de chaves, o primeiro servidor de chaves especificado será o servidor de chaves principal.
  6. Na página Credenciais do servidor de chaves, insira um nome de usuário e senha que serão usados para autenticar o sistema nos servidores de chaves.
  7. Na página Certificado do Servidor Principal, você deve fazer upload de todos os certificados do servidor principal necessários para o sistema. Os servidores de chaves podem usar um certificado de um terceiro confiável, um certificado autoassinado ou uma combinação desses certificados. Todas as instâncias são conectadas por meio de conexões seguras com o mesmo certificado de servidor de chaves. O certificado do servidor para cada servidor de chaves ou o certificado de autoridade de certificação que assinou os certificados do servidor deve ser instalado. Todos os certificados do servidor têm prioridade sobre qualquer certificado de autoridade de certificação que esteja instalado no sistema para os servidores de chaves. Clique em Avançar.
  8. Na página Certificado de criptografia do sistema, clique em Exportar chave pública para fazer download da chave pública para o sistema. Esses certificados são transferidos por upload para um dos servidores de chaves para estabelecer confiança para que o sistema se comunique com servidores de chaves individuais. Se não existe um certificado, selecione Configurações > Segurança > Comunicações seguras. Na página Comunicações seguras, selecione Atualizar certificado para criar ou importar um certificado. Para obter mais informações sobre certificados, consulte o tópico sobre certificados que são usados para servidores de chaves.
  9. Retorne à página Certificado de criptografia do sistema e selecione O certificado da chave pública do sistema foi transferido para cada servidor de chaves configurado.
  10. Se você tiver unidades flash USB configuradas como seu método de criptografia, a página Desativar criptografia USB será exibida. Se você deseja migrar para servidores de chaves e desativar unidades flash USB, selecione Sim. Se desejar ambos os métodos de criptografia que são configurados simultaneamente, clique em Não.
  11. Clique em Avançar.
  12. Na página Resumo, verifique a configuração para os servidores de chaves e clique em Concluir.
Para ativar a criptografia com um servidor de chaves KeySecure na interface da linha de comandos, conclua as seguintes etapas:
  1. Insira o comando da CLI a seguir para ativar a criptografia no sistema:
    chencryption -keyserver enable
  2. Ative o tipo de servidor de chaves e forneça o certificado assinado pela autoridade de certificação (CA), se um for necessário:
    chkeyserverkeysecure -enable -sslcert /tmp/CASigned.crt
  3. Configure o nome de usuário e a senha que são usados no sistema para os servidores de chaves, se um for necessário:
    chkeyserverkeysecure -username admin -password examplepassword
  4. Crie o servidor de chaves principal e especifique o certificado do servidor de chaves, se um for necessário:
    mkkeyserver -ip ip_address -port port -sslcert /tmp/ServerCert.crt -primary
  5. Crie até três servidores de chaves secundários adicionais e especifique o certificado do servidor de chaves, se um for necessário.
    mkkeyserver -ip ip_address -port port -sslcert /tmp/ServerCert.crt
  6. Crie a chave de criptografia para o sistema no servidor de chaves:
    chencryption -keyserver newkey -key prepare
    Esse comando torna a chave preparada a chave atual e envia a chave por push para o servidor de chaves configurado como o servidor de chaves principal.
  7. Para verificar se o sistema está preparado, insira o seguinte comando:
    lsencryption
    Verifique se o parâmetro keyserver_rekey tem o valor preparado. O valor prepared indica que a chave nova está pronta para ser consolidada.
  8. Para confirmar a chave, insira o comando a seguir:
    chencryption -keyserver newkey -key commit
    Esse comando torna a nova chave a chave atual e a copia no servidor de chaves principal.
Tópico pai: Ativação de criptografia
Conceitos relacionados:
Rechaveando um sistema ativado pela criptografia usando um servidor de chaves
Certificados que são usados para servidores de chaves de criptografia
Informações relacionadas:
IBM Security Key Lifecycle Manager
Desativando a criptografia