Ativando a criptografia com servidores de chaves

Os servidores de chaves de criptografia criam e gerenciam chaves de criptografia que são usadas pelo sistema. Em ambientes com muitos sistemas, os servidores de chaves distribuem as chaves remotamente, sem exigir acesso físico aos sistemas.

Um servidor de chaves é um sistema centralizado que gera, armazena e envia chaves de criptografia ao sistema. Alguns provedores de servidor de chaves suportam a replicação de chaves entre múltiplos servidores de chaves. Se vários servidores de chaves forem suportados, será possível especificar até quatro servidores de chaves que se conectam ao sistema sobre uma rede pública ou uma rede privada separada. O sistema suporta os servidores de chaves IBM Security Key Lifecycle Manager ou Gemalto SafeNet KeySecure para manipular o gerenciamento de chaves no sistema. Ambos os aplicativos de gerenciamento de servidor de chaves suportados criam e gerenciam chaves criptográficas para o sistema e fornecem acesso a essas chaves por meio de um certificado. Somente um tipo de aplicativo de gerenciamento do servidor de chaves pode ser ativado no sistema de cada vez. A autenticação ocorre quando os certificados são trocados entre o sistema e o servidor de chaves. Os certificados devem ser gerenciados de perto, já que os certificados expirados podem causar interrupções do sistema. Os servidores de chaves devem ser instalados e configurados antes de serem definidos no sistema.

As versões suportadas do servidor de chaves para produtos IBM Spectrum Virtualize são mostradas no website a seguir:

http://www.ibm.com/support/docview.wss?uid=ibm10738187

Configurando servidores de chaves IBM Security Key Lifecycle Manager

Os servidores de chaves IBM Security Key Lifecycle Manager suportam o Key Management Interoperability Protocol (KMIP), que é um padrão para criptografia de dados armazenados e gerenciamento de chaves criptográficas.

O sistema suporta diferentes tipos de configurações do servidor de chaves no IBM Security Key Lifecycle Manager. As configurações a seguir são suportadas:
  • Um servidor de chaves principal (mestre) e vários servidores de chaves secundários: Os servidores de chaves IBM Security Key Lifecycle Manager designam um servidor de chaves mestre ou principal, que pode ter até três servidores de chaves secundários (também conhecidos como clones) definidos. Esses servidores de chaves adicionais suportam mais caminhos ao entregar chaves ao sistema. Entretanto, durante o rechaveamento, somente o caminho para o servidor de chaves principal é usado. Quando o sistema é rechaveado, os servidores de chaves secundários estão indisponíveis até que o servidor de chaves principal replique as novas chaves para esses servidores de chaves secundários. A quantia de tempo que leva para replicar a chave para um servidor de chaves secundário depende da quantia de informações de chave e de certificado que está sendo replicada. Cada replicação para um servidor de chaves secundário pode levar algum tempo. A replicação deve ser concluída antes de as chaves poderem ser usadas no sistema. É possível planejar a replicação automática ou concluí-la manualmente com o IBM Security Key Lifecycle Manager. Durante a replicação, os servidores de chaves não estão disponíveis para distribuir chaves ou aceitar novas chaves. O tempo total gasto para a conclusão de uma replicação no IBM Security Key Lifecycle Manager depende do número de servidores de chaves que estão configurados como clones. Se a replicação for acionada manualmente, o IBM Security Key Lifecycle Manager emitirá uma mensagem de conclusão quando a replicação for concluída. Verifique se todos os servidores de chaves contêm informações replicadas de chaves e de certificados antes que as chaves sejam usadas no sistema.
  • Servidores de chave mestra múltiplos: os servidores de chaves podem ser configurados em uma configuração de múltiplos mestres, onde cada servidor de chaves tem a capacidade de criar novas chaves de criptografia. Nessa instância, qualquer servidor pode ser configurado como o servidor de chaves principal. O servidor de chaves principal é o servidor de chaves que o sistema usa quando você cria quaisquer novas chaves de criptografia do servidor de chaves. Se o modo de múltiplos mestres for ativado no IBM Security Key Lifecycle Manager, a chave será imediatamente replicada para os outros servidores de chaves na configuração.
Certifique-se de que concluiu as seguintes tarefas no IBM Security Key Lifecycle Manager antes de ativar a criptografia:
  1. Defina o IBM Security Key Lifecycle Manager para usar a Segurança da Camada de Transporte versão 1.2 (TLSv1.2). A configuração padrão no IBM Security Key Lifecycle Manager é TLSv1, mas o sistema suporta somente a versão 1.2. No IBM Security Key Lifecycle Manager, configure o valor para SSL_TLSv2, que é um conjunto de protocolos que inclui TLSv1.2.
  2. Certifique-se de que o serviço de banco de dados seja iniciado automaticamente na inicialização.
  3. Assegure-se de que um certificado SSL válido do IBM Security Key Lifecycle Manager esteja instalado no sistema e em uso. Se a replicação automática estiver configurada no IBM Security Key Lifecycle Manager, este certificado precisa ser transferido por upload para o sistema uma vez. No entanto, se a replicação automática não estiver configurada no IBM Security Key Lifecycle Manager, um certificado para cada servidor de chaves independente deverá ser transferido por upload para o sistema.
  4. Especifique o grupo de dispositivos SPECTRUM_VIRT para a definição do sistema. Se você estiver configurando diversos servidores de chaves, o grupo de dispositivos SPECTRUM_VIRT deverá ser definido no primário e em todos os servidores de chaves secundários.
  5. Se a criptografia estiver ativada atualmente com unidades flash USB, pelo menos uma das unidades flash USB deverá ser inserida no sistema antes que os servidores de chaves possam ser configurados para gerenciar chaves.
Para obter informações adicionais sobre como concluir estas tarefas, consulte o IBM Knowledge Center para IBM Security Key Lifecycle Manager.

Quando você cria objetos do servidor de chaves no sistema para servidores de chaves IBM Security Key Lifecycle Manager, é necessário criar um grupo de dispositivos, além do nome, endereço IP, porta e informações de certificado. O grupo de dispositivos é uma coleção de credenciais de segurança (incluindo chaves e grupos de chaves) que permite o gerenciamento restrito de subconjuntos de dispositivos dentro de um conjunto maior. O sistema deverá ser definido no servidor de chaves para o grupo de dispositivos SPECTRUM_VIRT se você estiver usando as configurações padrão. Se o grupo de dispositivos SPECTRUM_VIRT não existir no servidor de chaves, ele deve ser criado com base na família de dispositivos GPFS. Se estiver configurando vários servidores de chaves, o grupo de dispositivos SPECTRUM_VIRT deve ser definido nos servidor de chaves principal e em todos os servidores de chaves adicionais.

Para ativar a criptografia com um servidor de chaves IBM Security Key Lifecycle Manager na GUI de gerenciamento, conclua estas etapas:
  1. Na GUI de gerenciamento, selecione Configurações > Segurança > Criptografia.
  2. Clique em Ativar criptografia.
  3. No painel Bem-vindo, selecione Servidores de chaves. Clique em Avançar.
    Nota: Também é possível selecionar Servidores de chave e Unidades flash USB para configurar ambos os métodos para gerenciar chaves de criptografia. Se um dos métodos ficar indisponível, será possível usar o outro método para acessar os dados criptografados no sistema.
  4. Selecione IBM SKLM (com KMIP) para o tipo de servidor de chaves.
  5. Insira o nome, o endereço IP e a porta para cada servidor de chaves. Se estiver configurando múltiplos servidores de chaves, o primeiro servidor de chaves que você especificar será o servidor de chaves principal e os restantes se tornam servidores de chaves secundários. Para assegurar que as chaves sejam distribuídas para todos os servidores de chaves secundários, deve-se configurar a replicação no IBM Security Key Lifecycle Manager.
  6. Selecione SPECTRUM_VIRT para o grupo de dispositivos para os servidores de chaves. Esse grupo de dispositivos também deve ser configurado em cada um dos servidores de chaves para o sistema.
  7. Na página Certificado do Servidor Principal, você deve fazer upload de todos os certificados do servidor principal necessários para o sistema. Os servidores de chaves podem usar o certificado do servidor para cada servidor de chaves, o certificado de autoridade de certificação raiz ou um arquivo que contém todos os certificados de autoridade de certificação dentro dessa cadeia. Esse arquivo não precisa incluir o certificado do servidor de chaves, apenas os certificados de autoridade de certificação intermediários e raiz. Todos os certificados do servidor têm prioridade sobre qualquer certificado de autoridade de certificação que esteja instalado no sistema para os servidores de chaves. Se os servidores de chaves estiverem configurados para replicação automática, este certificado será copiado do servidor de chaves principal para todos os servidores de chaves secundários. Todas as instâncias do IBM Security Key Lifecycle Manager são conectadas para proteger conexões com o mesmo certificado do servidor de chaves. Se a replicação for usada no IBM Security Key Lifecycle Manager, somente um certificado do servidor de chaves precisará ser instalado. O IBM Security Key Lifecycle Manager usa este certificado único para replicar chaves entre si. Os certificados autoassinados têm prioridade sobre qualquer certificado assinado por CA que está instalado no sistema para os servidores de chaves. Se apenas um certificado for usado e replicado automaticamente para todos os servidores de chaves configurados, selecione o certificado que você transferiu por download para o sistema no certificado no campo Certificado. Se a replicação automática não estiver configurada, selecione todos os certificados válidos que foram transferidos por download para o sistema para cada um dos servidores de chaves configurados. Clique em Avançar.
  8. Na página Certificado de criptografia do sistema, clique em Exportar chave pública para fazer download da chave pública para o sistema. Certificados de criptografia do sistema também podem ser autoassinados ou certificados pela autoridade de certificação. Esses certificados são transferidos por upload para cada um dos servidores de chave para estabelecer a confiança para o sistema se comunicar com os servidores de chave individuais. Se os servidores IBM Security Key Lifecycle Manager estiverem configurados para replicação automática, este certificado será copiado do servidor de chaves principal para todos os servidores de chaves secundários. Todas as instâncias do IBM Security Key Lifecycle Manager são conectadas para proteger conexões com o mesmo certificado do servidor de chaves. Se a replicação for usada no IBM Security Key Lifecycle Manager, o servidor de chaves principal replicará o certificado do sistema para os outros servidores de chaves. Se os servidores IBM Security Key Lifecycle Manager não estiverem configurados para replicação automática, você deve instalar o certificado do sistema para cada servidor de chaves independente. Se um certificado não existir, selecione Configurações > Segurança > Comunicações seguras. Na página Comunicações seguras, selecione Atualizar certificado para criar ou importar um certificado. Para obter mais informações sobre certificados, consulte o tópico sobre certificados que são usados para servidores de chaves.
  9. Copie a chave pública do sistema, incluindo-a no armazenamento confiável para o grupo de dispositivos SPECTRUM_VIRT em cada servidor de chaves configurado. Consulte o IBM® Security Key Lifecycle Manager IBM Knowledge Center para obter detalhes.
  10. Retorne à página Certificado de criptografia do sistema e selecione O certificado da chave pública do sistema foi transferido para cada servidor de chaves configurado.
  11. Se você tiver unidades flash USB configuradas como seu método de criptografia, a página Desativar criptografia USB será exibida. Se você deseja migrar para servidores de chaves e desativar unidades flash USB, selecione Sim. Se desejar ambos os métodos de criptografia que são configurados simultaneamente, clique em Não.
  12. Clique em Avançar.
  13. Na página Resumo, verifique a configuração para os servidores de chaves e clique em Concluir.
Para ativar a criptografia com um servidor de chaves IBM Security Key Lifecycle Manager na interface da linha de comandos, conclua as seguintes etapas:
  1. Exporte o Certificado SSL (chave pública) que está instalado no sistema :
    svctask chsystemcert -export

    Esta ação cria um arquivo /dumps/certificate.pem.

  2. Copie a chave pública do sistema como um certificado confiável para cada servidor de chaves configurado. Consulte o IBM Security Key Lifecycle Manager Knowledge Center para obter detalhes.
  3. Insira o comando da CLI a seguir para ativar a criptografia no sistema:
    chencryption -keyserver enable
  4. Ative o tipo de servidor de chaves e forneça o certificado assinado por autoridade de certificação (CA), se um for necessário:
    chkeyserverisklm -enable -sslcert /tmp/CASigned.crt
  5. Crie o servidor de chaves primário e especifique o certificado do servidor de chaves:
    mkkeyserver -ip ip_address -port port -primary
  6. Crie até três servidores de chaves secundários adicionais com o mesmo certificado do servidor de chaves:
    mkkeyserver -ip ip_address -port port
  7. Crie a chave de criptografia para o sistema no servidor de chaves:
    chencryption -keyserver newkey -key prepare
    Esse comando solicita que o servidor de chaves principal crie uma nova chave.
  8. Para verificar se o sistema está preparado, insira o seguinte comando:
    lsencryption
    Verifique se o parâmetro keyserver_rekey tem o valor preparado. O valor prepared indica que a chave nova está pronta para ser consolidada.
  9. Para confirmar a chave, insira o comando a seguir:
    chencryption -keyserver newkey -key commit
    Esse comando faz com que a nova chave se torne a chave atual no sistema.

Configurando servidores de chaves Gemalto SafeNet KeySecure

Os servidores de chaves Gemalto SafeNet KeySecure também suportam KMIP e criam chaves on demand e, em seguida, compartilham-nas com os outros servidores em cluster, fornecendo acesso redundante. O sistema suporta diferentes tipos de configurações nos servidores de chaves KeySecure. As seguintes configurações são suportadas:
  • Os servidores de chaves KeySecure usam um modelo ativo/ativo, em que há vários servidores de chaves para fornecer redundância. Um servidor de chaves KeySecure deve ser especificado como o servidor de chaves principal. O servidor de chaves principal é o servidor de chaves que o sistema usa quando são criadas novas chaves de criptografia. A chave é imediatamente replicada para os outros servidores de chaves no cluster KeySecure. Todos os servidores de chaves KeySecure que estão definidos no sistema podem ser usados para recuperar chaves. Embora seja possível configurar uma única instância do servidor de chaves com o KeySecure, são recomendados dois servidores de chaves, para assegurar a disponibilidade das chaves, em caso de indisponibilidade de um dos servidores de chaves.
  • O sistema suporta até quatro servidores de chaves com o KeySecure. Se o sistema estiver acessando vários servidores de chaves, eles precisam pertencer ao mesmo cluster de servidores de chaves KeySecure.
Certifique-se de concluir as seguintes tarefas nos servidores de chaves SafeNet KeySecure antes de ativar a criptografia:
  1. Cada servidor de chaves deve ser configurado para permitir o TLS 1.2 para comunicações seguras.
  2. Certifique-se de que um certificado SSL válido de cada servidor de chaves KeySecure esteja instalado no sistema e em uso. Inclua o certificado do servidor para cada servidor de chaves KeySecure ou inclua o certificado da autoridade de certificação raiz que foi usado para assinar cada certificado do servidor.
  3. Se você planeja usar um nome de usuário e senha para autenticar o sistema para esses servidores de chaves, será necessário configurar as credenciais do usuário para autenticação na interface KeySecure. Para o KeySecure versões 8.10 e superiores, os administradores podem configurar um nome de usuário e senha para autenticar o sistema quando ele se conectar. Antes do KeySecure versão 8.10, o uso de senha era opcional. Para configurar a autenticação com um nome de usuário e senha entre o sistema e os servidores de chaves KeySecure, desative as chaves globais no menu Alta segurança, na interface SafeNet KeySecure. Quando as chaves globais são desativadas, os servidores de chaves não podem autenticar clientes para criar ou acessar chaves sem credenciais válidas.
  4. Certifique-se de que o certificado de criptografia de sistema seja uma entidade confiável na interface KeySecure. É possível usar dois métodos para incluir o certificado de criptografia do sistema como uma entidade confiável. É possível exportar o certificado de criptografia de sistema atual e, em seguida, incluí-lo nas autoridades de certificação (CA) conhecidas na Lista de CAs confiáveis ou criar uma nova solicitação de assinatura de certificado para uma autoridade de certificação de terceiros que já esteja incluída na Lista de CAs confiáveis. O certificado de criptografia de sistema também pode requerer um nome de usuário, se um nome de usuário estiver ativado para certificados para servidores de chaves KeySecure.
  5. Se atualmente você tiver uma criptografia que esteja ativada com unidades flash USB, pelo menos uma das unidades flash USB deve ser inserida no sistema antes da configuração de servidores de chaves para gerenciar chaves.
Para ativar a criptografia com um servidor de chaves KeySecure com a GUI de gerenciamento, conclua estas etapas:
  1. Na GUI de gerenciamento, selecione Configurações > Segurança > Criptografia.
  2. Clique em Ativar criptografia.
  3. Na página de Boas-vindas, selecione Servidores de chaves. Clique em Avançar.
    Nota: Também é possível selecionar Servidores de chave e Unidades flash USB para configurar ambos os métodos para gerenciar chaves de criptografia. Se um dos métodos ficar indisponível, será possível usar o outro método para acessar os dados criptografados no sistema.
  4. Selecione Gemalto SafeNet KeySecure para o tipo de servidor de chaves.
  5. Insira o nome, o endereço IP e a porta para cada servidor de chaves. Se estiver configurando vários servidores de chaves, o primeiro servidor de chaves especificado será o servidor de chaves principal.
  6. Na página Credenciais do servidor de chaves, insira um nome de usuário e senha que serão usados para autenticar o sistema nos servidores de chaves.
  7. Na página Certificado do Servidor Principal, você deve fazer upload de todos os certificados do servidor principal necessários para o sistema. Os servidores de chaves podem usar um certificado de um terceiro confiável, um certificado autoassinado ou uma combinação desses certificados. Todas as instâncias são conectadas por meio de conexões seguras com o mesmo certificado do servidor de chaves. O certificado do servidor para cada servidor de chaves, o certificado de autoridade de certificação raiz ou um arquivo que contenha todos os certificados de autoridade de certificação dentro dessa cadeia. Esse arquivo não precisa incluir o certificado do servidor de chaves, apenas os certificados de autoridade de certificação intermediários e raiz. Todos os certificados do servidor têm prioridade sobre qualquer certificado de autoridade de certificação que esteja instalado no sistema para os servidores de chaves. Clique em Avançar.
  8. Na página Certificado de criptografia do sistema, clique em Exportar chave pública para fazer download da chave pública para o sistema. Esses certificados são transferidos por upload para um dos servidores de chaves para estabelecer a confiança para que o sistema se comunique com servidores de chaves individuais. Se um certificado não existir, selecione Configurações > Segurança > Comunicações seguras. Na página Comunicações seguras, selecione Atualizar certificado para criar ou importar um certificado. Para obter mais informações sobre certificados, consulte o tópico sobre certificados que são usados para servidores de chaves.
  9. Retorne à página Certificado de criptografia do sistema e selecione O certificado da chave pública do sistema foi transferido para cada servidor de chaves configurado.
  10. Se você tiver unidades flash USB configuradas como seu método de criptografia, a página Desativar criptografia USB será exibida. Se você deseja migrar para servidores de chaves e desativar unidades flash USB, selecione Sim. Se desejar ambos os métodos de criptografia que são configurados simultaneamente, clique em Não.
  11. Clique em Avançar.
  12. Na página Resumo, verifique a configuração para os servidores de chaves e clique em Concluir.
Para ativar a criptografia com um servidor de chaves KeySecure na interface da linha de comandos, conclua as seguintes etapas:
  1. Insira o comando da CLI a seguir para ativar a criptografia no sistema:
    chencryption -keyserver enable
  2. Ative o tipo de servidor de chaves e forneça o certificado assinado por autoridade de certificação (CA), se um for necessário:
    chkeyserverkeysecure -enable -sslcert /tmp/CASigned.crt
  3. Configure o nome de usuário e a senha que é usada para o sistema para os servidores de chaves, caso uma seja necessária:
    chkeyserverkeysecure -username admin -password 'examplepassword'
  4. Decida se deve usar um certificado assinado de uma CA ou um certificado de cliente autoassinado. Para usar o certificado autoassinado existente e exportá-lo para /dumps/certificate.pem, insira o comando da CLI a seguir:
    svctask chsystemcert -export

    Copie o certificado para KeySecure e inclua-o como uma CA confiável. Se estiver usando um certificado assinado, siga as instruções aqui Solicitando e instalando um novo certificado assinado e assine o certificado com uma CA em que o KeySecure confia.

  5. Crie o servidor de chaves primárias e especifique o certificado do servidor de chaves, se um for necessário:
    mkkeyserver -ip ip_address -port port -sslcert /tmp/ServerCert.crt -primary
  6. Crie até mais três servidores de chaves secundários e especifique o certificado do servidor de chaves, caso um seja necessário.
    mkkeyserver -ip ip_address -port port -sslcert /tmp/ServerCert.crt
  7. Crie a chave de criptografia para o sistema no servidor de chaves:
    chencryption -keyserver newkey -key prepare
    Esse comando solicita que o servidor de chaves principal crie uma nova chave.
  8. Para verificar se o sistema está preparado, insira o seguinte comando:
    lsencryption
    Verifique se o parâmetro keyserver_rekey tem o valor preparado. O valor prepared indica que a chave nova está pronta para ser consolidada.
  9. Para confirmar a chave, insira o comando a seguir:
    chencryption -keyserver newkey -key commit
    Esse comando faz com que a nova chave se torne a chave atual no sistema.