用于加密密钥服务器的证书
使用密钥服务器启用加密功能时,需要两种类型的证书来确保系统与加密密钥服务器安全地进行通信。
一般而言,证书是密钥服务器用于认证系统以及系统用于向密钥服务器进行认证的主要方法。交换这些证书将会验证是否允许访问密钥服务器中存储的加密密钥。系统认证确保密钥服务器不会将密钥访问权授予不受信任方。密钥服务器认证确保系统不会索要将由不受信任方存储的敏感密钥。系统安全取决于两个因素。第一,密钥服务器和系统的公用证书必须以安全方式进行交换,以便每个设备都能彼此信任。第二,密钥服务器和系统必须保护与证书关联的专用密钥的安全。
密钥服务器用于验证系统的密钥服务器证书要求将认证中心 (CA) 或自签名证书传输到系统。密钥服务器可以使用来自可信第三方的证书、自签名证书或这两种证书的组合。 如果 IBM Security Key Lifecycle Manager 服务器配置为自动复制,那么该证书将从主密钥服务器复制到所有辅助密钥服务器。所有 IBM Security Key Lifecycle Manager 实例都通过用同一密钥服务器证书保护的安全连接进行连接。 如果在 IBM Security Key Lifecycle Manager 上使用了复制,只需要安装一个密钥服务器证书。 IBM Security Key Lifecycle Manager 使用该证书来相互复制密钥。 针对密钥服务器,任何自签名证书优先于在系统上安装的任何 CA 签名的证书。此外,系统加密证书也必须安装到每个配置的密钥服务器中。密钥服务器管理员接受证书以授予对密钥服务器的访问权。如果在 IBM Security Key Lifecycle Manager 上配置了自动复制,那么系统证书将复制到主密钥服务器,并自动分发到其他已配置的密钥服务器。系统加密证书也可以是自签名证书或来自某个认证中心。 要配置系统加密证书以用于安全通信,请选择。