您可以使用管理 GUI 或命令行界面来对系统启用加密功能。系统支持使用 USB 闪存驱动器作为一种管理加密密钥的方法。基于 USB 闪存驱动器的加密要求实际访问系统,并且在包含最少量系统的环境中有效。对于需要有关 USB 闪存驱动器的严密安全策略的组织,系统支持禁用这些端口以阻止系统数据到便携媒体设备的未经授权传输。如果您具有此类安全性需求,请使用密钥服务器来管理加密密钥。
在可以启用加密之前,必须在要使用加密的每个节点上设置加密许可证。在管理 GUI 中,选择,以验证获得加密许可的节点。使用 lsencryption 命令确保状态设置为 licensed。
使用管理 GUI 来启用加密
在系统启用加密的情况下,会提示您将 USB 闪存驱动器插入系统中。系统会有计划地将加密密钥复制到这些驱动器中。系统会生成加密密钥并将其复制到所有可用的 USB 闪存驱动器。要启用加密,请完成以下步骤:
- 如果您激活加密许可证并完成系统设置向导,请单击启用加密并完成此向导。
- 如果您选择稍后启用加密,请在管理 GUI 中选择。
- 单击启用加密。
- 在欢迎面板上,选择 USB 闪存驱动器。
注: 您还可以同时选择密钥服务器和 USB 闪存驱动器以配置这两种加密密钥管理方法。如果任何一种方法不可用,可以使用另一种方法访问系统上加密的数据。
- 在此向导中,系统会提示您将所需数目的 USB 闪存驱动器插入系统中。 系统检测到 USB 闪存驱动器后,加密密钥将自动拷贝到 USB 闪存驱动器。确保创建所需的所有额外副本以进行备份。
您可以将 USB 闪存驱动器保持插在系统中。 但是,系统所在的区域必须安全才能防止 USB 闪存驱动器丢失或被盗。 如果系统所在的区域不安全,请从系统中卸下所有 USB 闪存驱动器并将其存放在安全的地方。
- 完成所有复制操作后,单击确认。
- 在 USB 闪存驱动器或另一个外部存储介质上创建密钥的多个备份副本并将其存放在安全的地方。
使用命令行界面来启用加密
在启用加密之前,请先验证是否使用 lsencryption 命令为系统设置了加密许可证。
遵循以下步骤来启用加密:
- 输入以下 CLI 命令在您的系统上启用加密功能:
chencryption -usb enable
- 确保至少已安装三个 USB 闪存驱动器:
lsportusb
检查 status 参数的值是否为 active。该状态指示 USB 闪存驱动器已插入到节点,且可供系统使用。
- 创建系统加密密钥,并将这些密钥写入系统连接的所有 USB 闪存驱动器:
chencryption -usb newkey -key prepare
- 将准备好的密钥落实为最新密钥。在 usb_rekey 的 lsencryption 值设置为 prepared 并且 USB 加密密钥的数量大于所需的最小数量时,请使用此命令。
chencryption -usb newkey -key commit
没有写入 USB 设备的密钥,就不能访问加密阵列,且数据将丢失。因此,拥有足够多的密钥副本(用于保障可用性)和额外备份(用于应对灾难情况)至关重要。可通过创
建已创建文件的备份来复制密钥资料。