使用密钥服务器启用加密

加密密钥服务器创建和管理由系统使用的加密密钥。在包含许多系统的环境中,密钥服务器远程分发密钥,而无需实际访问系统。

密钥服务器是用于生成和存储加密密钥并向系统发送加密密钥的集中式系统。某些密钥服务器提供者支持在多个密钥服务器之间复制密钥。如果支持多个密钥服务器,那么最多可以指定 4 个密钥服务器,这些密钥服务器通过公共网络或单独的专用网络连接到系统。该系统支持通过 IBM Security Key Lifecycle Manager 或 Gemalto SafeNet KeySecure 密钥服务器来管理系统上的密钥。这两种受支持的密钥服务器管理应用程序均可为系统创建和管理加密密钥,并通过证书提供对这些密钥的访问权。系统上每次只能启用一种类型的密钥服务器管理应用程序。 在系统和密钥服务器之间交换证书时进行认证。必须严格管理证书,因为到期的证书会导致系统中断。必须先安装和配置密钥服务器,然后才能在系统上进行定义。

将在以下 Web 站点显示 IBM Spectrum Virtualize 产品的受支持的密钥服务器版本:

http://www.ibm.com/support/docview.wss?uid=ibm10738187

配置 IBM Security Key Lifecycle Manager 密钥服务器

IBM Security Key Lifecycle Manager 密钥服务器支持密钥管理互操作性协议 (KMIP),这是加密存储数据和管理密钥的标准。

系统在 IBM Security Key Lifecycle Manager 上支持不同类型的密钥服务器配置。支持以下配置:
  • 一个主密钥服务器和多个辅助密钥服务器:IBM Security Key Lifecycle Manager 密钥服务器指定一个主密钥服务器,它最多可定义三个辅助密钥服务器(也称为克隆)。这些附加密钥服务器在向系统传递密钥时支持更多路径;但是,在再加密期间,仅使用到主密钥服务器的路径。当系统再加密时,辅助密钥服务器不可用,直到主密钥服务器将新密钥复制到这些辅助密钥服务器。将密钥复制到辅助密钥服务器所花费的时间取决于复制的密钥和证书信息的总量。到辅助密钥服务器的每次复制都会花费一些时间。必须先完成复制,然后才能在系统上使用密钥。您可以调度自动复制或通过 IBM Security Key Lifecycle Manager 手动完成。在复制期间,密钥服务器不可用于分发密钥或接受新密钥。在 IBM Security Key Lifecycle Manager 上完成复制所花费的总时间取决于配置为克隆的密钥服务器数量。如果手动触发了复制,那么在复制完成时,IBM Security Key Lifecycle Manager 会发出一条完成消息。在系统上使用密钥之前,请验证所有密钥服务器均包含复制的密钥和证书信息。
  • 多个主密钥服务器:可在多主密钥服务器配置中配置密钥服务器,其中每个密钥服务器都能够创建新的加密密钥。在此情况下,可将任何服务器设置为主密钥服务器。主密钥服务器是在创建任何新的密钥服务器加密密钥时系统使用的密钥服务器。如果在 IBM Security Key Lifecycle Manager 上启用了多主密钥服务器方式,那么会立即将该密钥复制到配置中的其他密钥服务器。
确保先在 IBM Security Key Lifecycle Manager 上完成以下任务,再启用加密:
  1. 定义 IBM Security Key Lifecycle Manager 以使用传输层安全性 V1.2 (TLSv1.2)。IBM Security Key Lifecycle Manager 上的缺省设置是 TLSv1,但系统仅支持 V1.2。在 IBM Security Key Lifecycle Manager 上,将值设置为 SSL_TLSv2,这是包含 TLSv1.2 在内的协议集。
  2. 确保数据库服务在启动时自动启动。
  3. 确保在系统上安装来自 IBM Security Key Lifecycle Manager 的有效 SSL 证书并正在使用该证书。如果在 IBM Security Key Lifecycle Manager 上配置了自动复制,那么需要将该证书上载到系统一次。但是,如果未在 IBM Security Key Lifecycle Manager 上配置自动复制,那么必须将每个独立密钥服务器的证书上载到系统。
  4. 为系统定义指定 SPECTRUM_VIRT 设备组。如果要配置多个密钥服务器,必须在主密钥服务器和所有辅助密钥服务器上定义 SPECTRUM_VIRT 设备组。
  5. 如果当前通过 USB 闪存驱动器启用了加密,那么必须先将至少一个 USB 闪存驱动器插入系统中,之后才可以配置密钥服务器以管理密钥。
有关完成这些任务的更多信息,请参阅 IBM Security Key Lifecycle Manager 的 IBM Knowledge Center。

在系统上为 IBM Security Key Lifecycle Manager 密钥服务器创建密钥服务器对象时,除名称、IP 地址、端口和证书信息外,还必须创建设备组。设备组是安全凭证(包括密钥和密钥组)的集合,它允许对较大池中的设备子集进行有限管理。如果使用的是缺省设置,那么必须在密钥服务器上将系统定义到 SPECTRUM_VIRT 设备组中。如果密钥服务器上不存在 SPECTRUM_VIRT 设备组,那么必须基于 GPFS 设备系列创建该组。如果要配置多个密钥服务器,那么必须在主密钥服务器和所有其他密钥服务器上定义 SPECTRUM_VIRT 设备组。

要在管理 GUI 中使用 IBM Security Key Lifecycle Manager 密钥服务器启用加密,请完成以下步骤:
  1. 在管理 GUI 中,选择设置 > 安全性 > 加密
  2. 单击启用加密
  3. 欢迎面板上,选择密钥服务器。单击下一步
    注: 您还可以同时选择密钥服务器USB 闪存驱动器以配置这两种加密密钥管理方法。如果任一方法不可用,可以使用另外一种方法来访问系统上的加密数据。
  4. 选择 IBM SKLM(带 KMIP)作为密钥服务器类型。
  5. 输入每个密钥服务器的名称、IP 地址和端口。如果配置多个密钥服务器,那么您指定的第一个密钥服务器是主密钥服务器,其余的将成为辅助密钥服务器。要确保将密钥分发到所有辅助密钥服务器,您必须在 IBM Security Key Lifecycle Manager 上配置复制。
  6. 选择 SPECTRUM_VIRT 作为密钥服务器的设备组。此外还必须在系统的每个密钥服务器上配置此设备组。
  7. 密钥服务器证书页面上,必须将所有必需密钥服务器证书上载到系统。密钥服务器可以使用每个密钥服务器的服务器证书,或者根 CA 证书或包含此链中所有 CA 证书的文件。此文件无需包含密钥服务器证书,仅需中间和根 CA 证书。任何服务器证书优先于系统上针对密钥服务器安装的任何 CA 证书。如果密钥服务器配置为自动复制,那么该证书将从主密钥服务器复制到所有辅助密钥服务器。所有 IBM Security Key Lifecycle Manager 实例都通过用同一密钥服务器证书保护的安全连接进行连接。 如果在 IBM Security Key Lifecycle Manager 上使用了复制,只需要安装一个密钥服务器证书。 IBM Security Key Lifecycle Manager 使用该证书来相互复制密钥。 针对密钥服务器,任何自签名证书优先于在系统上安装的任何 CA 签名的证书。 如果仅使用一个证书,并且该证书自动复制到所有配置的密钥服务器,请在证书字段中选择下载到系统的证书。 如果未配置自动复制,选择为配置的每个密钥服务器下载到系统的所有有效证书。 单击下一步
  8. 系统加密证书页面上,单击导出公用密钥以将公用密钥下载到系统。 系统加密证书也可以是自签名证书或 CA 证书。 这些证书将上载到每个密钥服务器以建立信任,便于系统与个别密钥服务器通信。 如果 IBM Security Key Lifecycle Manager 服务器配置为自动复制,那么该证书将从主密钥服务器复制到所有辅助密钥服务器。所有 IBM Security Key Lifecycle Manager 实例都通过用同一密钥服务器证书保护的安全连接进行连接。 如果在 IBM Security Key Lifecycle Manager 上使用了复制,那么主密钥服务器会将系统证书复制到其他密钥服务器。 如果 IBM Security Key Lifecycle Manager 服务器没有配置为自动复制,必须为每个独立的密钥服务器安装系统证书。如果证书不存在,请选择设置 > 安全 > 安全通信。 在安全通信页面上,选择更新证书以创建或导入证书。 有关证书的更多信息,请参阅有关用于密钥服务器的证书的主题。
  9. 通过将系统公用密钥添加到每个配置的密钥服务器上 SPECTRUM_VIRT 设备组的信任库来复制该密钥。 请参阅 IBM® Security Key Lifecycle Manager IBM Knowledge Center,以获取详细信息。
  10. 返回到系统加密证书页面并选择系统公用密钥证书已传输到每个配置的密钥服务器
  11. 如果将 USB 闪存驱动器配置为加密方法,那么会显示禁用 USB 加密页面。 如果想要迁移到密钥服务器并禁用 USB 闪存驱动器,请选择。 如果希望同时配置两种加密方法,请单击
  12. 单击下一步
  13. 摘要页面上,验证密钥服务器的配置并单击完成
要在命令行界面中使用 IBM Security Key Lifecycle Manager 密钥服务器启用加密,请完成以下步骤:
  1. 导出系统上安装的 SSL 证书(公用密钥):
    svctask chsystemcert -export

    本部分创建一个 /dumps/certificate.pem 文件。

  2. 将系统的公用密钥作为可信证书复制到每个配置的密钥服务器。请参阅 IBM Security Key Lifecycle Manager Knowledge Center,以获取详细信息。
  3. 输入以下 CLI 命令在您的系统上启用加密功能:
    chencryption -keyserver enable
  4. 启用密钥服务器类型,并在需要时提供认证中心 (CA) 签名的证书。
    chkeyserverisklm -enable -sslcert /tmp/CASigned.crt
  5. 创建主密钥服务器并指定密钥服务器证书:
    mkkeyserver -ip ip_address -port port -primary
  6. 使用相同的密钥服务器证书最多再创建三个辅助密钥服务器:
    mkkeyserver -ip ip_address -port port
  7. 在密钥服务器上为系统创建加密密钥:
    chencryption -keyserver newkey -key prepare
    此命令请求主密钥服务器创建新密钥。
  8. 要验证系统是否准备就绪,请输入以下命令:
    lsencryption
    检查 keyserver_rekey 参数的值是否为 preparedprepared 值指示新密钥已准备好进行落实。
  9. 要落实密钥,请输入以下命令:
    chencryption -keyserver newkey -key commit
    此命令使新密钥成为系统上的最新密钥。

配置 Gemalto SafeNet KeySecure 密钥服务器

Gemalto SafeNet KeySecure 密钥服务器也支持 KMIP,并且可随需创建密钥,然后将密钥与其他集群服务器共享,从而提供冗余访问。系统支持在 KeySecure 密钥服务器上使用不同类型的配置。支持以下配置:
  • KeySecure 密钥服务器使用主动/主动模型,其中有多个密钥服务器以用于提供冗余。必须将一个 KeySecure 密钥服务器指定为主密钥服务器。主密钥服务器是在创建任何新的加密密钥时系统使用的密钥服务器。该密钥将立即复制到 KeySecure 集群中的其他密钥服务器。系统上定义的所有 KeySecure 密钥服务器都可用于检索密钥。虽然可以对 KeySecure 配置单个密钥服务器实例,但建议使用两个密钥服务器以确保当其中一个密钥服务器停运时的密钥可用性。
  • 系统通过 KeySecure 最多支持四台密钥服务器。如果系统正在访问多个密钥服务器,那么这些服务器需要属于相同的 KeySecure 密钥服务器集群。
在启用加密之前,请确保在 SafeNet KeySecure 密钥服务器上完成以下任务:
  1. 必须将每个密钥服务器配置为允许 TLS 1.2 进行安全通信。
  2. 确保在系统上安装来自每台 KeySecure 密钥服务器的有效 SSL 证书并正在使用该证书。为每个 KeySecure 密钥服务器添加服务器证书,或者添加用于签署每个服务器证书的根 CA 证书。
  3. 如果计划使用用户名和密码来向这些密钥服务器认证系统,那么必须在 KeySecure 界面中配置用于认证的用户凭证。对于 V8.10 和更高版本的 KeySecure,管理员可以配置用户名和密码,以在连接时对系统进行认证。在 KeySecure V8.10 之前,密码是可选的。 要设置在系统和 KeySecure 密钥服务器之间使用用户名和密码进行认证,请在 SafeNet KeySecure 界面的 High Security 菜单中禁用全局密钥。禁用全局密钥时,密钥服务器不能在没有有效凭证的情况下认证客户机以创建或访问密钥。
  4. 确保系统加密证书是 KeySecure 界面上的可信实体。可以使用两种方法将系统加密证书添加为可信实体。您可以导出当前系统加密证书,然后将其添加到可信 CA 列表上的已知认证中心 (CA),或者针对已在可信 CA 列表中列出的第三方认证中心创建新的证书签名请求。如果针对 KeySecure 密钥服务器的证书启用了用户名,那么系统加密证书可能还需要用户名。
  5. 如果当前通过 USB 闪存驱动器启用了加密,那么必须先将至少一个 USB 闪存驱动器插入系统中,之后才可以配置密钥服务器以管理密钥。
要通过管理 GUI 使用 KeySecure 密钥服务器启用加密,请完成以下步骤:
  1. 在管理 GUI 中,选择设置 > 安全性 > 加密
  2. 单击启用加密
  3. 欢迎页面上,选择密钥服务器。单击下一步
    注: 您还可以同时选择密钥服务器USB 闪存驱动器以配置这两种加密密钥管理方法。如果任一方法不可用,可以使用另外一种方法来访问系统上的加密数据。
  4. 选择 Gemalto SafeNet KeySecure 作为密钥服务器类型。
  5. 输入每个密钥服务器的名称、IP 地址和端口。如果配置多个密钥服务器,那么您指定的第一个密钥服务器是主密钥服务器。
  6. 密钥服务器凭证页面上,输入用于向密钥服务器认证系统的用户名和密码。
  7. 密钥服务器证书页面上,必须将所有必需密钥服务器证书上载到系统。密钥服务器可以使用来自可信第三方的证书、自签名证书或这两种证书的组合。所有实例都通过受同一密钥服务器证书保护的安全连接进行连接。每个密钥服务器的服务器证书,或者根 CA 证书或包含该链中所有 CA 证书的文件。此文件无需包含密钥服务器证书,仅需中间和根 CA 证书。任何服务器证书优先于系统上针对密钥服务器安装的任何 CA 证书。单击下一步
  8. 系统加密证书页面上,单击导出公用密钥以将公用密钥下载到系统。 这些证书将上载到其中一个密钥服务器以建立信任,便于系统与个别密钥服务器通信。如果证书不存在,请选择设置 > 安全 > 安全通信。 在安全通信页面上,选择更新证书以创建或导入证书。 有关证书的更多信息,请参阅有关用于密钥服务器的证书的主题。
  9. 返回到系统加密证书页面并选择系统公用密钥证书已传输到每个配置的密钥服务器
  10. 如果将 USB 闪存驱动器配置为加密方法,那么会显示禁用 USB 加密页面。 如果想要迁移到密钥服务器并禁用 USB 闪存驱动器,请选择。 如果希望同时配置两种加密方法,请单击
  11. 单击下一步
  12. 摘要页面上,验证密钥服务器的配置并单击完成
要在命令行界面中使用 KeySecure 密钥服务器启用加密,请完成以下步骤:
  1. 输入以下 CLI 命令在您的系统上启用加密功能:
    chencryption -keyserver enable
  2. 启用密钥服务器类型,并在需要时提供认证中心 (CA) 签名的证书。
    chkeyserverkeysecure -enable -sslcert /tmp/CASigned.crt
  3. 如果需要,可配置用于向密钥服务器认证系统的用户名和密码:
    chkeyserverkeysecure -username admin -password 'examplepassword'
  4. 确定是使用来自 CA 的签名证书还是使用自签名客户机证书。要使用现有的自签名证书并将其导出到 /dumps/certificate.pem,请输入以下 CLI 命令:
    svctask chsystemcert -export

    将证书复制到 KeySecure,然后将其添加为可信 CA。如果使用的是签名证书,请遵循此处的指示信息:请求并安装新签名证书,并使用 KeySecure 信任的 CA 来签署证书。

  5. 如果需要,请创建主密钥服务器并指定密钥服务器证书:
    mkkeyserver -ip ip_address -port port -sslcert /tmp/ServerCert.crt -primary
  6. 如果需要,可最多再创建三个辅助密钥服务器,并指定密钥服务器证书。
    mkkeyserver -ip ip_address -port port -sslcert /tmp/ServerCert.crt
  7. 在密钥服务器上为系统创建加密密钥:
    chencryption -keyserver newkey -key prepare
    此命令请求主密钥服务器创建新密钥。
  8. 要验证系统是否准备就绪,请输入以下命令:
    lsencryption
    检查 keyserver_rekey 参数的值是否为 preparedprepared 值指示新密钥已准备好进行落实。
  9. 要落实密钥,请输入以下命令:
    chencryption -keyserver newkey -key commit
    此命令使新密钥成为系统上的最新密钥。