用於加密金鑰伺服器的憑證
當您使用金鑰伺服器來啟用加密時,需要有兩種憑證,才能確保系統與加密金鑰伺服器之間的安全通訊。
一般而言,金鑰伺服器鑑別系統時及系統向金鑰伺服器鑑別時,都是以憑證為主要方法。交換這些憑證可以確認允許存取金鑰伺服器中儲存的加密金鑰。系統鑑別可以確保金鑰伺服器不會讓不受信任的一方存取金鑰。金鑰伺服器鑑別可以確保系統不會要求將機密的金鑰交給不受信任的一方儲存。系統的安全取決於兩個因素。首先,金鑰伺服器和系統的公開憑證必須安全地交換,使每一個裝置可以彼此信任。其次,金鑰伺服器和系統必須妥善保管其私密金鑰(與憑證相關聯)。
金鑰伺服器憑證(供金鑰伺服器用於驗證系統)要求將憑證管理中心 (CA) 憑證或自簽憑證傳送至系統。金鑰伺服器可以使用具公信力第三者發行的憑證、自簽憑證,或這些憑證的組合。如果 IBM Security Key Lifecycle Manager 伺服器配置為自動抄寫,則該憑證將從主要金鑰伺服器抄寫到所有次要金鑰伺服器。透過安全連線來連接至所有 IBM Security Key Lifecycle Manager 實例時,都是使用相同的金鑰伺服器憑證。如果在 IBM Security Key Lifecycle Manager 上使用抄寫,則只需要安裝一個金鑰伺服器憑證。IBM Security Key Lifecycle Manager 會使用這個單一憑證來彼此抄寫金鑰。任何自簽憑證都優先於系統上為金鑰伺服器所安裝的任何 CA 簽章憑證。此外,系統加密憑證必須安裝在每一部已配置的金鑰伺服器上。金鑰伺服器管理者接受憑證以授權存取金鑰伺服器。如果 IBM Security Key Lifecycle Manager 上已配置自動抄寫,系統憑證會抄寫到主要金鑰伺服器,並自動配送至其他已配置的金鑰伺服器。系統加密憑證也可以是自簽憑證,或來自憑證管理中心。如果要為安全通訊配置系統加密憑證,請選取。