chencryption

使用 chencryption 命令可管理系统的加密状态。

语法

阅读语法图跳过直观语法图
>>-chencryption--+---------------------------------------+------>
                 '- -usb--+-enable---------------------+-'   
                          +-disable--------------------+     
                          +-validate-------------------+     
                          '-newkey-- -key--+-prepare-+-'     
                                           +-commit--+       
                                           '-cancel--'       

>--+---------------------------------------------+-------------><
   '- -keyserver--+-enable---------------------+-'   
                  +-disable--------------------+     
                  '-newkey-- -key--+-prepare-+-'     
                                   +-commit--+       
                                   '-cancel--'       

参数

-usb enable | disable | validate | newkey
(如果未指定 -keyserver,那么这为必需项)指定是否启用(或禁用)USB 加密,或是否验证加密密钥。如果系统忘记加密密钥,那么您还可以新建加密密钥(也存储在通用串行总线 (USB) 闪存驱动器上)以供使用。
-usb enable
在系统上启用加密功能。然后指定 -usb newkey 以新建密钥。当系统具有加密硬件和加密许可证(例如,statuslsencryption 值设置为 licensed)时,请使用此命令。
-usb disable
禁用系统的加密功能。如果没有准备任何加密密钥,那么此操作已完成并且无需进一步操作。如果准备了加密密钥,或存在加密对象,请勿使用该命令。
切记: 这将移除系统中的所有(不在 USB 闪存驱动器上的)加密密钥。
-usb validate
验证加密密钥是否存在于 USB 闪存驱动器上,并且确保这些密钥与系统加密密钥匹配。请在已启用加密并且加密密钥存在的情况下(例如,usb_rekeylsencryption 值设置为 no)使用此命令。
-usb newkey
在连接到系统的 USB 闪存驱动器上生成新的加密密钥。只有在将最小数目的可用作密钥资料库的 USB 闪存驱动器(由 lsportusb 报告)连接到系统时,才可使用此命令。 在指定该参数时,还必须提供 -key 选项。
-keyserver enable | disable | newkey
(如果未指定 -usb,那么这为必需项)指定涉及由密钥服务器管理的加密密钥的加密任务。
-keyserver enable
在系统上启用加密功能。当系统具有加密硬件和加密许可证(例如,keyserver_statuslsencryption 值设置为 licensed)时,请使用此命令。
-keyserver disable
禁用系统的加密功能。如果未准备加密密钥,那么完成此操作后无需执行任何其他操作。 如果准备了加密密钥,或存在加密对象,请勿使用该命令。
-keyserver newkey
在连接到系统的主密钥服务器上生成新的加密密钥。 在指定该参数时,还必须指定 -key
-key prepare | commit | cancel
(可选)在指定了 -usb newkey-keyserver newkey 的情况下管理新加密密钥或替换(再加密)加密密钥的创建过程。有三个阶段:
-key prepare
生成系统加密密钥并将这些密钥写入所有与系统连接的 USB 闪存驱动器或密钥服务器。如果存在活动的加密密钥资料,请确认至少有一个 USB 闪存驱动器或密钥服务器包含最新的密钥资料。 请仅在 usb_rekeykeyserver_rekeylsencryption 值设置为 nono_key 时使用此命令。
-key commit
将准备好的密钥落实为当前密钥。请在 usb_rekeykeyserver_rekeylsencryption 值设置为 prepared 并且 USB 加密密钥数至少等于所需的最小数目时使用此命令。
-key cancel
取消任何指定的密钥更改。请在 usb_rekeykeyserver_rekeylsencryption 值设置为 prepared 时使用此命令。

描述

使用此命令可管理系统的加密状态。您必须指定 -usb-keyserver

可使用此命令来开启或关闭 USB 密钥加密或密钥服务器加密(但不能在存在任何加密对象的情况下禁用加密)。存在以下四种类型:
  • enable,这将启用加密
  • disable,这将禁用加密。
  • validate,这将验证加密
    注: validate 选项不适用于密钥服务器加密。
  • newkey,这将指定用于加密的新密钥
您还可以对外部 USB 密钥或密钥服务器密钥资料执行再加密,这一过程分为以下三个阶段:
  • prepare,这将生成新密钥并设置系统以在应用期间更改加密密钥
  • commit,包括应用新密钥(以及复制密钥资料)
  • cancel,这将回滚 prepare 期间执行的密钥设置并取消再加密请求

您不能在导入方式中对属于云帐户的密钥提供者执行启用、禁用或再加密操作。

您可以在同一系统上并行使用 USB 闪存驱动器加密和密钥服务器加密。 但是,您必须独立配置和管理这些加密方法。

调用示例

chencryption -usb enable

生成的输出:

无反馈

调用示例

chencryption -usb newkey -key prepare

生成的输出:

无反馈

调用示例

chencryption -usb newkey -key commit

生成的输出:

无反馈

调用示例

chencryption -keyserver enable

生成的输出:

chencryption -keyserver newkey -key prepare

调用示例

chencryption -keyserver newkey -key commit

生成的输出:

无反馈
父主题: 加密命令
相关概念:
使用密钥服务器对已启用加密的系统进行再加密
相关参考:
chkeyserver
chkeyserverisklm
chkeyserverkeysecure
lsencryption
lskeyserver
lskeyserverisklm
lskeyserverkeysecure
mkkeyserver
rmkeyserver
testkeyserver