如果您已配置金鑰伺服器來管理加密金鑰,您可以使用加密金鑰伺服器,來產生新金鑰。
重設金鑰是指為系統建立新金鑰的過程。要建立新金鑰,必須在系統上啟用加密;但是,無論是否有加密物件,重設金鑰作業都會正常運行。如果在系統上同時配置了這兩種加密方法,請完整地重設一種方法的金鑰,再重設另一種方法的金鑰。
使用管理 GUI
在重設金鑰程序期間,金鑰伺服器將會產生新金鑰,現有金鑰將會作廢。
在重設金鑰程序期間,金鑰伺服器將會產生新金鑰,現有金鑰將會作廢。如果使用多個主要金鑰伺服器或主動/主動金鑰伺服器,則會自動將新金鑰抄寫到所有已配置的金鑰伺服器。
在具有單個主要金鑰伺服器和多個次要金鑰伺服器的配置中,僅在重設金鑰操作期間更新主要金鑰伺服器。任何其他的金鑰伺服器變為離線,系統會報告這些金鑰伺服器發生錯誤,直到新的金鑰從主要金鑰伺服器抄寫到次要金鑰伺服器為止。
註: 為了避免資料遺失,請在每次重設金鑰時備份金鑰伺服器管理應用程式上的資料。
在所有已配置的金鑰伺服器上建立新的金鑰之前,金鑰伺服器必須在線上並連接至系統。在管理 GUI 中,選取。展開金鑰伺服器,以顯示系統上所有已配置的金鑰伺服器的詳細資料。請確認金鑰伺服器為線上狀態且可供系統使用。在指令行介面,輸入 lskeyserver 以驗證金鑰伺服器是否線上,以及是否可用於系統。
如果要為使用金鑰伺服器加密的系統重設金鑰,請完成下列步驟:
- 在管理 GUI 中,選取。
- 展開金鑰伺服器,以顯示系統上所有已配置的金鑰伺服器,然後選取重設金鑰。
- 按一下訊息對話框的確定。加密金鑰由主要金鑰伺服器產生,並複製到主要金鑰伺服器。如果重設金鑰程序期間發生錯誤,狀態訊息會顯示複製或建立新金鑰的問題。如果要判斷並修正其他可能的錯誤,請選取。
重設金鑰作業完成後,如果具有多個主要金鑰伺服器或主動/主動金鑰伺服器配置,則會立即抄寫新金鑰。如果除金鑰伺服器之外還配置了 USB 快閃記憶體磁碟機,現在可以重設金鑰 USB 快閃記憶體磁碟機。使用指令行介面
如果要為使用金鑰伺服器的系統重設金鑰,請完成下列步驟:
- 輸入這個指令,確認系統上已啟用加密:
lsencryption
請確定狀態指出加密已啟用。
- 確認加密已啟用之後,請輸入下列指令來驗證金鑰伺服器是否在線上且可供使用:
lskeyserver
請確定所有可用金鑰伺服器的狀態都是 online。
- 確認加密已啟用且金鑰伺服器在線上之後,您需要準備好系統來針對系統上目前使用的加密金鑰進行重設金鑰。如果要準備重設金鑰作業,請輸入下列指令:
chencryption -keyserver newkey -key prepare
註: 這個指令只會在主要金鑰伺服器上建立新的金鑰。所有其他的金鑰伺服器會變為離線,直到利用 IBM Security Key Lifecycle Manager 將金鑰從主要金鑰伺服器抄寫到其他金鑰伺服器為止。
- 如果要驗證系統已備妥,請輸入下列指令:
lsencryption
檢查 keyserver_rekey 參數的值為 prepared。prepared 值指出新的金鑰已備妥可確定。
- 如果要確定金鑰,請輸入下列指令:
chencryption -keyserver newkey -key commit
這個指令會將備妥的金鑰變成現行金鑰,並將金鑰值儲存在主要金鑰伺服器上。
- 輸入下列指令,以確認新的金鑰已確定:
lsencryption
請確定 keyserver_rekey 參數中的值為 no。
如果您有多個主要或「主動-主動」金鑰伺服器配置,則重設金鑰作業完成之後即會立即抄寫新的金鑰。如果您除了金鑰伺服器以外,還配置 USB 快閃磁碟機,則現在就可以重設 USB 快閃磁碟機的金鑰。如果您除了金鑰伺服器以外,還配置 USB 快閃磁碟機,則現在就可以重設 USB 快閃磁碟機的金鑰。
