Migrando entre os métodos de gerenciamento de chave

É possível migrar entre as criptografias baseadas na unidade flash USB e no servidor de chaves sem interrupção usando a GUI de gerenciamento ou a interface da linha de comandos. Para migrar de servidores de chaves para unidades flash USB, use somente a interface da linha de comandos. Durante a migração, o sistema suporta a configuração simultânea de ambos os métodos de gerenciamento de chave. Após a migração ser concluída, é possível desativar o antigo método de gerenciamento de chaves.

Usando a GUI de gerenciamento

Durante a migração, o sistema não desativa o método de gerenciamento de chave atualmente configurado até que o novo método esteja configurado completamente. Portanto, os dados criptografados ainda podem ser acessados com a chave atual até que a migração seja concluída. Por exemplo, se estiver migrando de unidades flash USB para servidores de chaves, as chaves antigas na unidade flash USB ainda estarão disponíveis até que a criptografia do servidor de chaves esteja configurada. No entanto, pelo menos uma das unidades flash USB com a chave de criptografia atual deve ser inserida no sistema antes de migrar para o servidor de chaves. Após os servidores de chaves serem configurados, as chaves antigas na unidade flash USB não poderão mais decriptografar dados no sistema. Descarte todas as unidades flash USB antigas, de acordo com seus procedimentos recomendados para descarte de informações confidenciais.
Nota: A GUI de gerenciamento suporta a migração de unidades flash USB somente para um método de criptografia do servidor de chaves. Para migrar dos servidores de chaves para unidades flash USB, deve-se usar a interface da linha de comandos.
Antes de migrar para a criptografia baseada no servidor de chaves, assegure-se de que pelo menos uma unidade flash USB com a chave de criptografia atual esteja inserida no sistema. Para migrar a criptografia de uma unidade flash USB para servidores de chaves, conclua estas etapas:
  1. Na GUI de gerenciamento, selecione Configurações > Segurança > Criptografia.
  2. Na página Criptografia, verifique as seguintes informações:
    1. Expanda Unidades flash USB e verifique se as unidades flash USB estão configuradas e detectadas no sistema.
    2. Expanda Servidores de chaves e verifique se os servidores de chaves não estão configurados no sistema.
  3. Em Servidores de chaves, clique em Configurar.
  4. Selecione IBM SKLM (com KMIP) ou Gemalto SafeNet KeySecure para o tipo de servidor de chaves.
  5. Insira o nome, o endereço IP e a porta para cada servidor de chaves. Se você estiver configurando múltiplos servidores de chaves, o primeiro especificado será o principal e o restante dos servidores de chaves será secundário.
    Nota: Se você selecionou IBM SKLM (com KMIP) e os servidores de chaves estiverem configurados com um servidor de chaves principal e diversos secundários, certifique-se de que a replicação esteja ativada para assegurar que as chaves sejam distribuídas para todos os servidores de chaves secundários.
  6. Se você selecionou IBM SKLM (com KMIP), a página Opções de servidor de chaves é exibida. Selecione SPECTRUM_VIRT para o grupo de dispositivos para os servidores de chaves. Esse grupo de dispositivos também deve ser configurado em cada um dos servidores de chaves para o sistema.
  7. Se você selecionou Gemalto SafeNet KeySecure, a página Credenciais do servidor de chaves será exibida. Se você ativou a autenticação para o servidor de chaves usando um nome de usuário e senha, insira esse nome de usuário e senha. Essas credenciais são usadas para autenticar o sistema sempre que ele se conecta ao servidor de chaves. O nome do usuário e a senha devem corresponder às credenciais que estão configuradas no servidor de chaves.
  8. Na página Certificado do servidor principal, deve-se fazer upload de todos os certificados do servidor principal necessários para o sistema. Os servidores de chaves podem usar um certificado de autoridade de certificação (CA) de um terceiro confiável ou um certificado autoassinado que seja criado nos servidores de chaves. Também é possível utilizar esses dois tipos de certificados nos servidores de chaves. Se múltiplos servidores principais forem configurados e usarem o mesmo certificado de autoridade de certificação, faça upload do certificado assinado pela autoridade de certificação única, que abrange todos os servidores principais. Se os servidores principais usarem certificados autoassinados, os certificados deverão ser transferidos por upload separadamente para o sistema. Qualquer certificado autoassinado tem prioridade sobre qualquer certificado assinado por CA instalado no sistema para os servidores de chaves.
  9. Na página Certificado de criptografia do sistema, clique em Exportar chave pública para fazer download da chave pública para o sistema. Certificados de criptografia do sistema também podem ser autoassinados ou certificados pela autoridade de certificação. Esses certificados são transferidos por upload para cada um dos servidores de chaves para estabelecer a confiança para que o sistema se comunique com servidores de chaves individuais. Se um certificado não existir, selecione Configurações > Segurança > Comunicações seguras. Na página Comunicações seguras, selecione Atualizar certificado para criar ou importar um certificado. Para obter mais informações, consulte o tópico sobre certificados que são usados para servidores de chaves.
  10. Se você selecionou IBM SKLM (com KMIP) como seu tipo de servidor de chaves, copie a chave pública do sistema, incluindo-a no armazenamento confiável para o grupo de dispositivos SPECTRUM_VIRT em cada servidor de chaves configurado. Se você selecionou Gemalto SafeNet KeySecure, certifique-se de que o certificado de criptografia de sistema seja uma entidade confiável na interface KeySecure. É possível usar dois métodos para incluir o certificado de criptografia de sistema como uma entidade confiável. É possível exportar o certificado de criptografia do sistema atual e, em seguida, incluí-lo nas autoridades de certificação (CA) conhecidas na Lista de CAs confiáveis ou criar uma nova solicitação de assinatura de certificado para uma autoridade de certificação de terceiros que já esteja na Lista de CAs confiáveis. O certificado de criptografia de sistema também pode requerer um nome de usuário, se um nome de usuário tiver sido ativado para certificados para servidores de chaves KeySecure. Para obter informações, veja a documentação correspondente para seu servidor de chaves.
  11. Retorne à página Certificado de criptografia do sistema e selecione O certificado da chave pública do sistema foi transferido para cada servidor de chaves configurado.
  12. No painel Desativar criptografia de USB, selecione Sim e clique em Avançar.
  13. Na página de Resumo, verifique a configuração para os servidores principais e clique em Concluir. Após a configuração ser concluída, as chaves que foram armazenadas nas unidades flash USB não são válidas. Assegure-se de descartar todas as unidades flash USB com segurança.

Usando a CLI

Antes de migrar para a criptografia baseada no servidor de chaves, assegure-se de que pelo menos uma unidade flash USB com a chave de criptografia atual esteja inserida no sistema. Para migrar de uma unidade flash USB para servidores de chaves para gerenciar chaves de criptografia, conclua as etapas a seguir:
Migrando de unidades flash USB para servidores de chaves IBM Security Key Lifecycle Manager
  1. Insira o comando a seguir para verificar se a criptografia está ativada no sistema com unidades flash USB:
    lsencryption
  2. Insira o comando da CLI a seguir para ativar a criptografia com servidores de chaves em seu sistema:
    chencryption -keyserver enable
  3. Ative o tipo de servidor de chaves e forneça o certificado assinado pela autoridade de certificação (CA), se um for necessário:
    chkeyserverisklm -enable -sslcert /tmp/CASigned.crt
  4. Crie o servidor de chaves primário e especifique o certificado do servidor de chaves:
    mkkeyserver -ip ip_address -port port -primary
  5. Se você planeja usar múltiplos servidores de chaves, insira o comando a seguir diversas vezes para especificar até mais três servidores de chaves secundários que usam o certificado do servidor de chaves:
    mkkeyserver -ip ip_address -port port
  6. Crie a chave de criptografia do sistema e grave a chave para o servidor principal especificado:
    chencryption -keyserver newkey -key prepare
    Esse comando torna a chave preparada a chave atual e armazena os valores da chave em todos os servidores principais configurados.
  7. Para verificar se o sistema está preparado, insira o seguinte comando:
    lsencryption
    Verifique se o parâmetro keyserver_rekey tem o valor preparado. O valor prepared indica que a chave nova está pronta para ser consolidada.
  8. Para confirmar a chave, insira o comando a seguir:
    chencryption -keyserver newkey -key commit
  9. Após a nova chave para o servidor de chaves ser confirmada, desative a criptografia para a unidade flash USB inserindo o comando a seguir:
    chencryption -usb disable
Migrando de unidades flash USB para servidores de chaves Gemalto SafeNet SecureKey
  1. Insira o comando a seguir para verificar se a criptografia está ativada no sistema com unidades flash USB:
    lsencryption
  2. Insira o comando da CLI a seguir para ativar a criptografia no sistema:
    chencryption -keyserver enable
  3. Ative o tipo de servidor de chaves e forneça o certificado assinado pela autoridade de certificação (CA), se um for necessário:
    chkeyserverkeysecure -enable -sslcert /tmp/CASigned.crt
  4. Configure o nome do usuário e a senha que são usados para o sistema nos servidores de chaves, se um for necessário:
    chkeyserverkeysecure -username admin -password examplepassword
  5. Crie o servidor de chaves principal e especifique o certificado do servidor de chaves, se um for necessário:
    mkkeyserver -ip ip_address -port port -sslcert /tmp/ServerCert.crt -primary
  6. Crie até três servidores de chaves secundários adicionais e especifique o certificado do servidor de chaves, se um for necessário.
    mkkeyserver -ip ip_address -port port -sslcert /tmp/ServerCert.crt
  7. Crie a chave de criptografia para o sistema no servidor de chaves:
    chencryption -keyserver newkey -key prepare
    Esse comando torna a chave preparada a chave atual e envia a chave por push para o servidor de chaves configurado como o servidor de chaves principal.
  8. Para verificar se o sistema está preparado, insira o seguinte comando:
    lsencryption
    Verifique se o parâmetro keyserver_rekey tem o valor preparado. O valor prepared indica que a chave nova está pronta para ser consolidada.
  9. Para confirmar a chave, insira o comando a seguir:
    chencryption -keyserver newkey -key commit
    Esse comando torna a nova chave a chave atual e a copia no servidor de chaves principal.
  10. Após a nova chave para o servidor de chaves ser confirmada, desative a criptografia para a unidade flash USB inserindo o comando a seguir:
    chencryption -usb disable
Se a criptografia já estiver ativada no sistema com servidores de chaves, assegure-se de que o servidor de chaves principal esteja conectado ao sistema e que distribua a chave de criptografia atual. Para migrar de um servidor de chaves para unidades flash USB para gerenciar chaves de criptografia, conclua as etapas a seguir:
  1. Insira o comando a seguir para verificar se a criptografia está ativada no sistema com servidores de chaves:
    lsencryption
  2. Insira o comando da CLI a seguir para ativar a criptografia no sistema:
    chencryption -usb enable
  3. Certifique-se de que haja ao menos três unidades flash USB instaladas:
    lsportusb
    Verifique se o valor para o parâmetro status é active. Esse status indica que a unidade flash USB está inserida no nó e pode ser usada pelo sistema.
  4. Crie chaves de criptografia do sistema e grave essas chaves para todas as unidades flash USB conectadas ao sistema:
    chencryption -usb newkey -key prepare
  5. Confirme a chave preparada como a chave atual. Utilize este comando quando o valor de lsencryption para usb_rekey for configurado como prepared e o número de chaves de criptografia USB for maior que o número mínimo requerido.
    chencryption -usb newkey -key commit

    Sem a chave que é gravada no dispositivo USB, o acesso aos objetos criptografados não é possível e os dados são perdidos. É de vital importância ter cópias suficientes de chaves para disponibilidade e backups adicionais no caso de desastre. É possível copiar o material da chave fazendo backups dos arquivos criados.

  6. Após a nova chave ser confirmada, desative a criptografia para o servidor de chaves inserindo o comando a seguir:
    chencryption -keyserver disable
Tópico pai: Gerenciando a criptografia
Referências relacionadas:
chencryption
chkeyserverisklm
lsencryption
lsportusb
mkkeyserver