chencryption

請使用 chencryption 指令來管理系統的加密狀態。

語法 

讀取語法圖表略過語法圖表
>>-chencryption--+---------------------------------------+------>
                 '- -usb--+-enable---------------------+-'   
                          +-停用-------------------------+     
                          +-validate-------------------+     
                          '-newkey-- -key--+-prepare-+-'     
                                           +-commit--+       
                                           '-cancel--'       

>--+---------------------------------------------+-------------><
   '- -keyserver--+-enable---------------------+-'   
                  +-停用-------------------------+     
                  '-newkey-- -key--+-prepare-+-'     
                                   +-commit--+       
                                   '-cancel--'       

參數

-usb enable | disable | validate | newkey
(如果未指定 -keyserver,則為必要)指定是否啟用加密或是否驗證加密金鑰。您也可以建立新的加密金鑰(一樣儲存在通用序列匯流排 (USB) 快閃磁碟機),以便於系統忘記加密金鑰時使用。
-usb enable
在系統上啟用加密功能。然後指定 -usb newkey 來建立新的金鑰。請在系統具有加密硬體和加密授權時(例如,statuslsencryption 值設為 licensed)使用這個指令。
-usb disable
停用系統的加密功能。如果未準備好任何加密金鑰,這個作業會完成且無需進一步動作。如果加密金鑰已備妥,或加密物件存在,請勿使用這個指令。
記住: 這會移除系統中的所有加密金鑰(不在 USB 快閃磁碟機上)。
-usb validate
驗證加密金鑰是否存在於 USB 快閃磁碟機中,並確定金鑰符合系統加密金鑰。請在已啟用加密且加密金鑰存在時(例如,usb_rekeylsencryption 值設為 no)使用這個指令。
-usb newkey
在連接至系統的 USB 快閃磁碟機中產生新的加密金鑰。只有當可作為金鑰資料儲存庫的最少 USB 快閃磁碟機數量已連接至系統時(依 lsportusb 所報告),才使用這個指令。指定此參數時也必須提供 -key 選項。
-keyserver enable | disable | newkey
(如果未指定 -usb,則為必要)指定加密作業,其中涉及金鑰伺服器所管理的加密金鑰。
-keyserver enable
在系統上啟用加密功能。請在系統具有加密硬體和加密授權時(例如,keyserver_statuslsencryption 值設為 licensed)使用這個指令。
-keyserver disable
停用系統的加密功能。如果未準備好任何加密金鑰,這個作業會完成且無需進一步動作。如果加密金鑰已備妥,或加密物件存在,請勿使用這個指令。
-keyserver newkey
在連接至系統的主要金鑰伺服器上產生新的加密金鑰。指定這個參數時也必須指定 -key
-key prepare | commit | cancel
(選用)當指定 -usb newkey-keyserver newkey 時,管理如何建立新的或取代(重設金鑰)加密金鑰。有三個階段:
-key prepare
產生系統加密金鑰,並將這些金鑰寫入系統連接的所有 USB 快閃磁碟機或金鑰伺服器。如果有作用中的加密金鑰資料,請確認至少有一個 USB 快閃磁碟機或金鑰伺服器具有現行的金鑰資料。請只在 usb_rekeykeyserver_rekeylsencryption 值設為 nono_key 時,才使用這個指令。
-key commit
將備妥的金鑰確定為現行金鑰。請在 usb_rekeykeyserver_rekeylsencryption 值設為 prepared,而且 USB 加密金鑰數目至少等於所需的最少數目時,才使用這個指令。
-key cancel
取消任何指定的金鑰變更。請在 usb_rekeykeyserver_rekeylsencryption 值設為 prepared 時,才使用這個指令。

說明

請使用這個指令來管理系統的加密狀態。 您必須指定 -usb-keyserver

您可以使用此指令來開啟或關閉 USB 金鑰加密或金鑰伺服器加密 (但是如果有任何加密物件,則無法停用加密)。有四種類型:
  • enable:啟用加密
  • disable:停用加密
  • validate:驗證加密
    註: validate 選項不適用於金鑰伺服器加密。
  • newkey:指定新的加密金鑰
您也可以執行外部 USB 金鑰或金鑰伺服器的金鑰資料重設金鑰,這可分為三階段:
  • prepare:產生新的金鑰,並將系統設為在套用期間變更加密金鑰
  • commit:包括套用新的金鑰(以及複製金鑰資料)
  • cancel:回復 prepare 期間所執行的金鑰設定,並取消重設金鑰要求

如果金鑰提供者屬於雲端帳戶(處於 import 模式),則您不能執行啟用、停用或重設金鑰作業。

您可以在相同的系統上同時使用 USB 快閃磁碟機加密和金鑰伺服器加密。不過,您必須分別配置和管理這些加密方法。

呼叫範例 

chencryption -usb enable

結果輸出:

No feedback

呼叫範例 

chencryption -usb newkey -key prepare

結果輸出:

No feedback

呼叫範例 

chencryption -usb newkey -key commit

結果輸出:

No feedback

呼叫範例 

chencryption -keyserver enable

結果輸出:

chencryption -keyserver newkey -key prepare

呼叫範例 

chencryption -keyserver newkey -key commit

結果輸出:

No feedback
上層主題: 加密指令
相關概念:
使用金鑰伺服器針對已啟用加密的系統重設金鑰
相關參考:
chkeyserver
chkeyserverisklm
chkeyserverkeysecure
lsencryption
lskeyserver
lskeyserverisklm
lskeyserverkeysecure
mkkeyserver
rmkeyserver
testkeyserver