使用金鑰伺服器來啟用加密

加密金鑰伺服器建立和管理由系統使用的加密金鑰。在包含許多系統的環境中,金鑰伺服器遠端分發金鑰,而無需實際存取系統。

金鑰伺服器是產生、儲存及傳送加密金鑰給系統的中央系統。如果金鑰伺服器提供者支持在多個金鑰伺服器之間抄寫金鑰,最多可以指定四個金鑰伺服器,這些伺服器通過公用網路或個別的私密網路連接到系統。該系統支援透過 IBM Security Key Lifecycle Manager 或 Gemalto SafeNet KeySecure 金鑰伺服器來管理系統上的金鑰。這兩種受支援的金鑰伺服器管理應用程式均可為系統建立和管理加密金鑰,並通過憑證提供對這些加密金鑰的存取權。系統上每次只能啟用一種類型的金鑰伺服器管理應用程式。 系統和金鑰伺服器之間交換憑證時,會執行此鑑別。必須嚴密管理憑證,因為過期的憑證會造成系統運作中斷。在系統上定義金鑰伺服器之前,必須先安裝和配置金鑰伺服器。

配置 IBM Security Key Lifecycle Manager 金鑰伺服器

IBM Security Key Lifecycle Manager 加密金鑰伺服器支援加密金鑰管理交互作業能力協定 (KMIP),這是加密儲存資料和管理加密金鑰的標準。

系統在 IBM Security Key Lifecycle Manager 上支援不同類型的金鑰伺服器配置。支援的配置如下:
  • 一個主要金鑰伺服器和多個次要金鑰伺服器:IBM Security Key Lifecycle Manager 金鑰伺服器指定一個主金鑰伺服器,它最多可定義三個輔助金鑰伺服器(也稱為複本)。這些額外金鑰伺服器在向系統傳遞金鑰時支援更多路徑;但是,在重設金鑰期間,僅使用到主要金鑰伺服器的路徑。當系統重設金鑰時,次要金鑰伺服器不可用,直到主要金鑰伺服器將新金鑰抄寫到這些次要金鑰伺服器為止。將金鑰抄寫至次要金鑰伺服器所花的時間,視要抄寫的金鑰和憑證資訊數量而定。每次抄寫至次要金鑰伺服器都需要一些時間。必須完成抄寫作業,才能在系統上使用金鑰。您可以排程自動抄寫,或使用 IBM Security Key Lifecycle Manager 以手動完成抄寫。在抄寫的期間,無法使用金鑰伺服器來配送金鑰或接受新的金鑰。在 IBM Security Key Lifecycle Manager 上完成抄寫所花費的總時間取決於配置為複本的金鑰伺服器數量。如果是手動觸發抄寫,當抄寫完成時,IBM Security Key Lifecycle Manager 會發出完成訊息。 請先驗證所有金鑰伺服器都包含抄寫的金鑰和憑證資訊,然後才在系統上使用金鑰。
  • 多個主要金鑰伺服器:在多重主要配置中可以配置金鑰伺服器,其中每一個金鑰伺服器都能夠建立新的加密金鑰。在此情況下,任何伺服器都可以設為主要金鑰伺服器。主要金鑰伺服器是指當您建立任何新的金鑰伺服器加密金鑰時,系統所使用的金鑰伺服器。如果 IBM Security Key Lifecycle Manager 上已啟用多重主要模式,則金鑰會立即抄寫至配置中的其他金鑰伺服器。
在啟用加密之前,請務必先在 IBM Security Key Lifecycle Manager 上完成下列作業:
  1. 定義 IBM Security Key Lifecycle Manager 來使用「傳輸層安全 (TLS)」1.2 版 (TLSv1.2)。IBM Security Key Lifecycle Manager 上的預設值是 TLSv1,但系統僅支援 1.2 版。請在 IBM Security Key Lifecycle Manager 上將值設為 SSL_TLSv2,這是包含 TLSv1.2 的通訊協定集合。
  2. 確保資料庫服務在開機時自動啟動。
  3. 確保 IBM Security Key Lifecycle Manager 所提供的有效 SSL 憑證已安裝在系統上,而且在使用中。如果在 IBM Security Key Lifecycle Manager 上配置了自動抄寫,則需要將該憑證上載到系統一次。不過,如果 IBM Security Key Lifecycle Manager 上未配置自動抄寫,則每個獨立式金鑰伺服器的憑證都必須上傳至系統。
  4. 為系統定義指定 SPECTRUM_VIRT 裝置群組。如果要配置多個金鑰伺服器,必須在主要金鑰伺服器和所有次要金鑰伺服器上定義 SPECTRUM_VIRT 裝置群組。
  5. 如果您目前使用 USB 快閃磁碟機啟用加密,系統上必須插入至少一個 USB 快閃磁碟機,才能配置金鑰伺服器來管理金鑰。
有關完成這些作業的更多資訊,請參閱 IBM Security Key Lifecycle Manager 的 IBM Knowledge Center。

在系統上為 IBM Security Key Lifecycle Manager 金鑰伺服器建立金鑰伺服器物件時,除名稱、IP 位址、埠和憑證資訊外還必須建立一個裝置群組。裝置群組是安全認證(包括金鑰和金鑰群組)的集合,它容許對較大儲存區中的裝置子集進行有限管理。如果使用的是預設設定,則必須在金鑰伺服器上將系統定義到 SPECTRUM_VIRT 裝置群組中。如果金鑰伺服器上不存在 SPECTRUM_VIRT 裝置群組,則必須基於 GPFS™ 裝置系列建立該群組。如果要配置多個金鑰伺服器,則必須在主要金鑰伺服器和所有其他金鑰伺服器上定義 SPECTRUM_VIRT 裝置群組。

要在管理 GUI 中使用 IBM Security Key Lifecycle Manager 金鑰伺服器啟用加密,請完成以下步驟:
  1. 在管理 GUI 中,選取設定 > 安全性 > 加密
  2. 按一下啟用加密
  3. 歡迎使用畫面中,選取金鑰伺服器。按下一步
    註: 您也可以將金鑰伺服器USB 快閃磁碟機都選取,以配置這兩種方法來管理加密金鑰。如果任一種方法變成無法使用,您可以利用另一種方法存取系統上加密的資料。
  4. 選取 IBM SKLM(含 KMIP)作為金鑰伺服器類型。
  5. 輸入每個金鑰伺服器的名稱、IP 位址和埠。如果配置多個金鑰伺服器,您指定的第一個金鑰伺服器是主要金鑰伺服器,其餘的會成為次要金鑰伺服器。為了確保金鑰會配送至所有的次要金鑰伺服器,您必須在 IBM Security Key Lifecycle Manager 配置抄寫。
  6. 選取 SPECTRUM_VIRT 作為金鑰伺服器的裝置群組。在每一個金鑰伺服器上也必須為系統配置這個裝置群組。
  7. 金鑰伺服器憑證頁面中,您必須將所有必要的金鑰伺服器憑證上傳至系統。金鑰伺服器可以使用具公信力第三者發行的憑證、自簽憑證,或這些憑證的組合。如果 IBM Security Key Lifecycle Manager 伺服器配置為自動抄寫,則該憑證將從主要金鑰伺服器抄寫到所有次要金鑰伺服器。透過安全連線來連接至所有 IBM Security Key Lifecycle Manager 實例時,都是使用相同的金鑰伺服器憑證。如果在 IBM Security Key Lifecycle Manager 上使用抄寫,則只需要安裝一個金鑰伺服器憑證。IBM Security Key Lifecycle Manager 會使用這個單一憑證來彼此抄寫金鑰。任何自簽憑證都優先於系統上為金鑰伺服器所安裝的任何 CA 簽章憑證。如果只使用一個憑證,而且會自動抄寫至所有已配置的金鑰伺服器,請在憑證欄位中選取您下載到系統的憑證。如果未配置自動抄寫,請為每一個已配置的金鑰伺服器,選取所有已下載至系統的有效憑證。按下一步
  8. 系統加密憑證頁面中,按一下匯出公開金鑰,將公開金鑰下載至系統。系統加密憑證也可以是自簽憑證或 CA 憑證。這些憑證會上傳至每一個金鑰伺服器,讓系統信任與個別金鑰伺服器之間的通訊。如果 IBM Security Key Lifecycle Manager 伺服器配置為自動抄寫,則該憑證將從主要金鑰伺服器抄寫到所有次要金鑰伺服器。透過安全連線來連接至所有 IBM Security Key Lifecycle Manager 實例時,都是使用相同的金鑰伺服器憑證。如果在 IBM Security Key Lifecycle Manager 上使用抄寫,主要金鑰伺服器會將系統憑證抄寫至其他金鑰伺服器。如果 IBM Security Key Lifecycle Manager 伺服器沒有配置為自動抄寫,必須為每個獨立式的金鑰伺服器安裝系統憑證。如果憑證不存在,請選取設定 > 安全性 > 安全通訊。在安全通訊頁面上,選取更新憑證來建立或匯入憑證。如需憑證的相關資訊,請參閱與金鑰伺服器適用之憑證相關的主題。
  9. 透過將系統公開金鑰新增到每個配置的金鑰伺服器上 SPECTRUM_VIRT 裝置群組的信任儲存庫來複製該金鑰。 請參閱 IBM® Security Key Lifecycle Manager IBM Knowledge Center,以獲取詳細資訊。
  10. 回到系統加密憑證頁面,選取系統的公開金鑰憑證已傳送至每一個已配置的金鑰伺服器
  11. 如果您將 USB 快閃磁碟機配置成加密方法,則會顯示停用 USB 加密頁面。如果您想要移轉至金鑰伺服器並停用 USB 快閃磁碟機,請選取。如果想同時配置這兩種加密方法,請按一下
  12. 下一步
  13. 摘要頁面上,驗證金鑰伺服器的配置,然後按一下完成
要在指令行介面中使用 IBM Security Key Lifecycle Manager 金鑰伺服器啟用加密,請完成下列步驟:
  1. 輸入下列 CLI 指令,在系統上啟用加密:
    chencryption -keyserver enable
  2. 啟用金鑰伺服器類型,並提供憑證管理中心 (CA) 已簽章的憑證(如果需要的話):
    chkeyserverisklm -enable -sslcert /tmp/CASigned.crt
  3. 建立主要金鑰伺服器並指定金鑰伺服器憑證:
    mkkeyserver -ip ip_address -port port -primary
  4. 使用相同的金鑰伺服器憑證最多再建立三個次要金鑰伺服器:
    mkkeyserver -ip ip_address -port port
  5. 在金鑰伺服器上建立系統的加密金鑰:
    chencryption -keyserver newkey -key prepare
    這個指令會使備妥的金鑰成為現行金鑰,並將該金鑰推送到配置成主要金鑰伺服器的金鑰伺服器。
  6. 如果要驗證系統已備妥,請輸入下列指令:
    lsencryption
    檢查 keyserver_rekey 參數的值為 preparedprepared 值指出新的金鑰已備妥可確定。
  7. 如果要確定金鑰,請輸入下列指令:
    chencryption -keyserver newkey -key commit
    這個指令會將新的金鑰變成現行金鑰,並將金鑰複製到主要金鑰伺服器。

配置 Gemalto SafeNet KeySecure 金鑰伺服器

Gemalto SafeNet KeySecure 金鑰伺服器也支援 KMIP,並且可隨需建立金鑰,然後將金鑰與其他叢集伺服器共用,從而提供冗餘存取。系統在 KeySecure 金鑰伺服器上支援不同類型的配置。支援的配置如下:
  • KeySecure 金鑰伺服器使用主動/主動模型,其中有多個金鑰伺服器以用於提供備援。必須將一個 KeySecure 金鑰伺服器指定為主要金鑰伺服器。主要金鑰伺服器是在建立任何新的加密金鑰時系統使用的金鑰伺服器。該金鑰將立即抄寫到 KeySecure 叢集中的其他金鑰伺服器。系統上定義的所有 KeySecure 金鑰伺服器都可用於擷取金鑰。雖然可以使用 KeySecure 配置單個金鑰伺服器實例,但建議使用兩個金鑰伺服器以確保當其中一個金鑰伺服器停機時的金鑰可用性。
  • 系統透過 KeySecure 最多支援四台金鑰伺服器。如果系統正在存取多個金鑰伺服器,則這些伺服器需要屬於相同的 KeySecure 金鑰伺服器叢集。
在啟用加密之前,請確保在 SafeNet KeySecure 金鑰伺服器上完成下列作業:
  1. 必須將每個金鑰伺服器配置為容許 TLS 1.2 進行安全通訊。
  2. 確保在系統上安裝來自每台 KeySecure 金鑰伺服器的有效 SSL 憑證並正在使用該憑證。為每台 KeySecure 金鑰伺服器新增伺服器憑證,或者新增用於對每個伺服器憑證進行簽名的 CA 憑證。
  3. 如果計劃使用使用者名稱和密碼向這些金鑰伺服器鑑別系統,則必須在 KeySecure 介面中配置用於鑑別的使用者認證。對於 8.10 版和更高版本的 KeySecure,管理者可以配置使用者名和密碼,以在連接時對系統進行鑑別。在 KeySecure 8.10 版之前,密碼是選用性的。 若要設定在系統和 KeySecure 金鑰伺服器之間使用使用者名稱和密碼進行鑑別,請在 SafeNet KeySecure 介面的 High Security 功能表中停用廣域金鑰。停用廣域金鑰時,金鑰伺服器不能在沒有有效認證的情況下鑑別用戶端以建立或存取金鑰。
  4. 確保系統加密憑證是 KeySecure 介面上的授信實體。您可以使用兩種方法來將系統加密憑證新增為授信實體。您可以匯出現行系統加密憑證,然後將其新增到可信 CA 清單上的已知憑證管理中心 (CA),或者針對已在可信 CA 清單中列出的第三方憑證管理中心建立新的憑證簽名要求。如果針對 KeySecure 金鑰伺服器的憑證啟用了使用者名稱,則系統加密憑證可能還需要使用者名稱。
  5. 如果現行透過 USB 快閃記憶體磁碟機啟用了加密,則必須先將至少一個 USB 快閃記憶體磁碟機插入系統中,之後才可以配置金鑰伺服器以管理金鑰。
如果要透過管理 GUI 使用 KeySecure 金鑰伺服器來啟用加密,請完成下列步驟:
  1. 在管理 GUI 中,選取設定 > 安全性 > 加密
  2. 按一下啟用加密
  3. 歡迎使用頁面上,選取金鑰伺服器。按下一步
    註: 您也可以將金鑰伺服器USB 快閃磁碟機都選取,以配置這兩種方法來管理加密金鑰。如果任一種方法變成無法使用,您可以利用另一種方法存取系統上加密的資料。
  4. 選取 Gemalto SafeNet KeySecure 作為金鑰伺服器類型。
  5. 輸入每個金鑰伺服器的名稱、IP 位址和埠。如果配置多個金鑰伺服器,則您指定的第一個金鑰伺服器是主要金鑰伺服器。
  6. 金鑰伺服器認證頁面上,輸入用於向金鑰伺服器鑑別系統的使用者名和密碼。
  7. 金鑰伺服器憑證頁面中,您必須將所有必要的金鑰伺服器憑證上傳至系統。金鑰伺服器可以使用來自可信第三方的憑證、自簽憑證或這兩種憑證的組合。所有實例都透過受同一金鑰伺服器憑證保護的安全連線進行連線。必須安裝每台金鑰伺服器的伺服器憑證或簽署伺服器憑證的 CA 憑證。任何伺服器憑證都優先於系統上針對金鑰伺服器安裝的任何 CA 憑證。按下一步
  8. 系統加密憑證頁面中,按一下匯出公開金鑰,將公開金鑰下載至系統。這些憑證將上傳到其中一個金鑰伺服器以建立信任,便於系統與個別金鑰伺服器通訊。如果憑證不存在,請選取設定 > 安全性 > 安全通訊。在安全通訊頁面上,選取更新憑證來建立或匯入憑證。如需憑證的相關資訊,請參閱與金鑰伺服器適用之憑證相關的主題。
  9. 回到系統加密憑證頁面,選取系統的公開金鑰憑證已傳送至每一個已配置的金鑰伺服器
  10. 如果您將 USB 快閃磁碟機配置成加密方法,則會顯示停用 USB 加密頁面。如果您想要移轉至金鑰伺服器並停用 USB 快閃磁碟機,請選取。如果希望同時配置兩種加密方法,請按一下
  11. 下一步
  12. 摘要頁面上,驗證金鑰伺服器的配置,然後按一下完成
要在指令行介面中使用 KeySecure 金鑰伺服器啟用加密,請完成以下步驟:
  1. 輸入下列 CLI 指令,在系統上啟用加密:
    chencryption -keyserver enable
  2. 啟用金鑰伺服器類型,並提供憑證管理中心 (CA) 已簽章的憑證(如果需要的話):
    chkeyserverkeysecure -enable -sslcert /tmp/CASigned.crt
  3. 如果需要,可配置用於向金鑰伺服器鑑別系統的使用者名稱和密碼:
    chkeyserverkeysecure -username admin -password examplepassword
  4. 如果需要,可建立主要金鑰伺服器並指定金鑰伺服器憑證:
    mkkeyserver -ip ip_address -port port -sslcert /tmp/ServerCert.crt -primary
  5. 如果需要,可最多再建立三個次要金鑰伺服器,並指定金鑰伺服器憑證。
    mkkeyserver -ip ip_address -port port -sslcert /tmp/ServerCert.crt
  6. 在金鑰伺服器上建立系統的加密金鑰:
    chencryption -keyserver newkey -key prepare
    這個指令會使備妥的金鑰成為現行金鑰,並將該金鑰推送到配置成主要金鑰伺服器的金鑰伺服器。
  7. 如果要驗證系統已備妥,請輸入下列指令:
    lsencryption
    檢查 keyserver_rekey 參數的值為 preparedprepared 值指出新的金鑰已備妥可確定。
  8. 如果要確定金鑰,請輸入下列指令:
    chencryption -keyserver newkey -key commit
    這個指令會將新的金鑰變成現行金鑰,並將金鑰複製到主要金鑰伺服器。
上層主題: 啟用加密
相關概念:
使用金鑰伺服器針對已啟用加密的系統重設金鑰
用於加密金鑰伺服器的憑證
相關資訊:
IBM Security Key Lifecycle Manager
停用加密