如果已配置密钥服务器来管理加密密钥,可使用加密密钥服务器来生成新密钥。
再加密是为系统创建新密钥的过程。 要创建新密钥,必须在系统上启用加密;但是,无论是否有加密对象,再加密操作都会正常运行。如果系统上配置了两种加密方法,请先对一种方法进行完全再加密,然后再对另一种方法进行再加密。
使用管理 GUI
在再加密过程中,密钥服务器将会生成新密钥,现有密钥将会过时。
在再加密过程中,密钥服务器将会生成新密钥,现有密钥将会过时。如果使用多个主密钥服务器或主动/主动密钥服务器,那么会自动将新密钥复制到所有已配置的密钥服务器。
在具有单个主密钥服务器和多个辅助密钥服务器的配置中,仅在再加密操作期间更新主密钥服务器。任何其他密钥服务器都将脱机,并且系统会针对这些密钥服务器报告错误,直到将新密钥从主密钥服务器复制到辅助密钥服务器为止。
注: 要避免数据丢失,请在每次再加密时备份密钥服务器管理应用程序上的数据。
在已配置的所有密钥服务器上创建新密钥之前,密钥服务器必须联机并连接到系统。 在管理 GUI 中,选择。 展开密钥服务器以显示系统上所有已配置密钥服务器的详细信息。 验证密钥服务器状态是否为联机并可供系统使用。
在命令行界面,输入 lskeyserver 以验证密钥服务器是否联机,以及是否可用于系统。
要对使用密钥服务器加密的系统再加密,请完成以下步骤:
- 在管理 GUI 中,选择。
- 展开密钥服务器以显示系统上所有已配置的密钥服务器并选择再加密。
- 单击消息对话框上的确定。 加密密钥由主密钥服务器生成,并复制到主密钥服务器。 如果再加密过程中发生了错误,那么状态消息会显示在复制或创建新密钥时出现问题。 要确定并纠正可能存在的其他错误,请选择。
再加密操作完成后,如果具有多个主服务器或主动/主动密钥服务器配置,那么会立即复制新密钥。如果除密钥服务器之外还配置了 USB 闪存驱动器,现在可以再加密 USB 闪存驱动器。使用命令行界面
要对使用密钥服务器的系统再加密,请完成以下步骤:
- 输入以下命令以验证系统上是否启用加密功能:
lsencryption
确保状态指示已启用加密功能。
- 确认启用了加密后,通过输入以下命令验证密钥服务器是否联机且可用:
lskeyserver
确保所有可用密钥服务器的状态为 online。
- 确认已启用加密且密钥服务器联机后,您需要准备系统以对系统上当前使用的加密密钥进行再加密。 要准备再加密操作,请输入以下命令:
chencryption -keyserver newkey -key prepare
注: 此命令仅在主密钥服务器上创建新密钥。 所有其他密钥服务器脱机,直到使用 IBM Security Key Lifecycle Manager 将密钥从主密钥服务器复制到
其他密钥服务器。
- 要验证系统是否准备就绪,请输入以下命令:
lsencryption
检查 keyserver_rekey 参数的值是否为 prepared。 prepared 值指示新密钥已准备好进行落实。
- 要落实密钥,请输入以下命令:
chencryption -keyserver newkey -key commit
此命令使准备好的密钥成为最新密钥,并将密钥值存储在主密钥服务器上。
- 输入以下命令以验证是否已落实新密钥:
lsencryption
确保 keyserver_rekey 参数中的值为 no。
完成再加密操作后,如果您具有多种主密钥服务器配置或主动/主动密钥服务器配置,那么会立即复制新密钥。如果除了密钥服务器之外还配置了 USB 闪存驱动器,那么现在可以对 USB 闪存驱动器再加密。 如果除了密钥服务器之外还配置了 USB 闪存驱动器,那么现在可以对 USB 闪存驱动器再加密。
