您可以使用管理 GUI 或指令行介面,在系統上啟用加密。系統支援 USB 快閃磁碟機,作為管理加密金鑰的方法。
使用管理 GUI 來啟用加密
系統啟用加密時,會提示您將 USB 快閃磁碟機插入系統中。系統會有系統地將加密金鑰複製到這些隨身碟。系統會產生加密金鑰並複製到所有可用的 USB 快閃磁碟機。如果要啟用加密,請完成這些步驟:
- 在管理 GUI 中,選取。
- 按一下啟用加密。
- 在歡迎使用畫面中,選取 USB 快閃磁碟機。
註: 您也可以將金鑰伺服器和 USB 快閃磁碟機都選取,以配置這兩種方法來管理加密金鑰。如果任一種方法變成無法使用,您可以利用另一種方法存取系統上加密的資料。
- 精靈會提示您將所需的 USB 快閃磁碟機數目插入系統中。當系統偵測到 USB 快閃磁碟機時,就會自動將加密金鑰複製到 USB 快閃磁碟機。請務必建立任何必要的額外副本當作備份。您可以讓 USB 快閃磁碟機一直插在系統中。不過,系統所在的區域必須很安全,以避免 USB 快閃記憶體隨身碟遺失或遭竊。如果系統所在的區域不安全,請從系統中移除所有 USB 快閃磁碟機,並安全地存放。
- 完成所有副本之後,按一下確認。
- 在 USB 快閃磁碟機或其他外部儲存體媒體上,建立數個金鑰備份副本,並安全地存放。
使用指令行介面來啟用加密
請遵循這些步驟,來啟用加密:
- 輸入下列 CLI 指令,在系統上啟用加密:
chencryption -usb enable
- 請確定已安裝至少三個 USB 快閃磁碟機:
lsportusb
檢查 status 參數的值為 active。這個狀態表示 USB 快閃磁碟機已插在節點上,可供系統使用。
- 建立系統加密金鑰,並將這些金鑰寫入系統連接的所有 USB 快閃磁碟機:
chencryption -usb newkey -key prepare
- 確定所準備的金鑰是現行金鑰。當 usb_rekey 的 lsencryption 值設為 prepared,且 USB 加密金鑰數目大於所需的最少數目時,請使用這個指令。
chencryption -usb newkey -key commit
如果金鑰未寫入至 USB 裝置,則無法存取加密的物件,且資料會遺失。基於可用性及災難發生時有額外的備份可用,準備足夠的金鑰副本非常重要。您可以從已建立的檔案製作備份,以複製金鑰資料。