使用金鑰伺服器來啟用加密

加密金鑰伺服器建立和管理由系統使用的加密金鑰。在包含許多系統的環境中,金鑰伺服器遠端分發金鑰,而無需實際存取系統。

金鑰伺服器是產生、儲存及傳送加密金鑰給系統的中央系統。部分金鑰伺服器提供者支援在多部金鑰伺服器之間抄寫金鑰。如果支援多部金鑰伺服器,您可以指定最多四部透過公用網路或個別私密網路連接至系統的金鑰伺服器。該系統支援透過 IBM Security Key Lifecycle Manager 或 Gemalto SafeNet KeySecure 金鑰伺服器來管理系統上的金鑰。這兩個受支援的金鑰伺服器管理應用程式可為系統建立及管理加密金鑰,並可讓您透過憑證存取這些金鑰。系統上每次只能啟用一種類型的金鑰伺服器管理應用程式。 系統和金鑰伺服器之間交換憑證時,會執行此鑑別。必須嚴密管理憑證,因為過期的憑證會造成系統運作中斷。在系統上定義金鑰伺服器之前,必須先安裝和配置金鑰伺服器。

IBM Spectrum Virtualize 產品支援的金鑰伺服器版本顯示在下列網站上:

http://www.ibm.com/support/docview.wss?uid=ibm10738187

配置 IBM Security Key Lifecycle Manager 金鑰伺服器

IBM Security Key Lifecycle Manager 加密金鑰伺服器支援加密金鑰管理交互作業能力協定 (KMIP),這是加密儲存資料和管理加密金鑰的標準。

系統在 IBM Security Key Lifecycle Manager 上支援不同類型的金鑰伺服器配置。支援的配置如下:
  • 一個主要金鑰伺服器和多個次要金鑰伺服器:IBM Security Key Lifecycle Manager 金鑰伺服器指定一個主金鑰伺服器,它最多可定義三個輔助金鑰伺服器(也稱為複本)。這些額外的金鑰伺服器支援透過多個路徑來提供金鑰給系統;不過,在重設金鑰期間,只會使用主要金鑰伺服器的路徑。當系統重設金鑰時,在主要金鑰伺服器將新的金鑰抄寫到次要金鑰伺服器之前,這些次要金鑰伺服器無法使用。抄寫金鑰至次要金鑰伺服器所需要的時間,視要抄寫的金鑰和憑證資訊數量而定。每一個抄寫至次要金鑰伺服器的作業都需要一些時間。必須完成抄寫作業,才能在系統上使用金鑰。您可以排程自動抄寫,或使用 IBM Security Key Lifecycle Manager 以手動完成抄寫。在抄寫的期間,無法使用金鑰伺服器來配送金鑰或接受新的金鑰。在 IBM Security Key Lifecycle Manager 上完成抄寫所花費的總時間取決於配置為複本的金鑰伺服器數量。如果是手動觸發抄寫,當抄寫完成時,IBM Security Key Lifecycle Manager 會發出完成訊息。請先驗證所有金鑰伺服器都包含抄寫的金鑰和憑證資訊,然後才在系統上使用金鑰。
  • 多個主要金鑰伺服器:可在多重主要配置中配置金鑰伺服器,其中每個金鑰伺服器都能夠建立新的加密金鑰。在這種情況下,可以將任一伺服器設定為主要金鑰伺服器。主要金鑰伺服器是您建立任何新金鑰伺服器加密金鑰時系統所使用的金鑰伺服器。如果在 IBM Security Key Lifecycle Manager 上已啟用多重主要模式,則會立即將金鑰抄寫到配置中的其他金鑰伺服器。
在啟用加密之前,請務必先在 IBM Security Key Lifecycle Manager 上完成下列作業:
  1. 定義 IBM Security Key Lifecycle Manager 來使用「傳輸層安全 (TLS)」1.2 版 (TLSv1.2)。IBM Security Key Lifecycle Manager 上的預設值是 TLSv1,但系統僅支援 1.2 版。請在 IBM Security Key Lifecycle Manager 上將值設為 SSL_TLSv2,這是包含 TLSv1.2 的通訊協定集合。
  2. 確保資料庫服務在開機時自動啟動。
  3. 確保 IBM Security Key Lifecycle Manager 所提供的有效 SSL 憑證已安裝在系統上,而且在使用中。如果在 IBM Security Key Lifecycle Manager 上配置了自動抄寫,則需要將該憑證上載到系統一次。不過,如果 IBM Security Key Lifecycle Manager 上未配置自動抄寫,則每個獨立式金鑰伺服器的憑證都必須上傳至系統。
  4. 為系統定義指定 SPECTRUM_VIRT 裝置群組。如果要配置多個金鑰伺服器,必須在主要金鑰伺服器和所有次要金鑰伺服器上定義 SPECTRUM_VIRT 裝置群組。
  5. 如果您目前使用 USB 快閃記憶體隨身碟啟用加密,系統上必須插入至少一個 USB 快閃記憶體隨身碟,才能配置金鑰伺服器來管理金鑰。
有關完成這些作業的更多資訊,請參閱 IBM Security Key Lifecycle Manager 的 IBM Knowledge Center。

在系統上為 IBM Security Key Lifecycle Manager 金鑰伺服器建立金鑰伺服器物件時,除名稱、IP 位址、埠和憑證資訊外還必須建立一個裝置群組。裝置群組是安全認證(包括金鑰和金鑰群組)的集合,它容許對較大儲存區中的裝置子集進行有限管理。如果您是使用預設值,則必須在金鑰伺服器上將系統定義給 SPECTRUM_VIRT 裝置群組。如果金鑰伺服器上不存在 SPECTRUM_VIRT 裝置群組,則必須基於 GPFS 裝置系列建立該群組。如果要配置多個金鑰伺服器,則必須在主要金鑰伺服器和所有其他金鑰伺服器上定義 SPECTRUM_VIRT 裝置群組。

要在管理 GUI 中使用 IBM Security Key Lifecycle Manager 金鑰伺服器啟用加密,請完成以下步驟:
  1. 在管理 GUI 中,選取設定 > 安全性 > 加密
  2. 按一下啟用加密
  3. 歡迎使用畫面中,選取金鑰伺服器。按下一步
    註: 您也可以將金鑰伺服器USB 快閃記憶體隨身碟都選取,以配置這兩種方法來管理加密金鑰。如果任一種方法變成無法使用,您可以使用另一種方法存取系統上加密的資料。
  4. 選取 IBM SKLM(含 KMIP)作為金鑰伺服器類型。
  5. 輸入每個金鑰伺服器的名稱、IP 位址和埠。如果配置多個金鑰伺服器,您指定的第一個金鑰伺服器是主要金鑰伺服器,其餘的會成為次要金鑰伺服器。為了確保金鑰會配送至所有的次要金鑰伺服器,您必須在 IBM Security Key Lifecycle Manager 上配置抄寫。
  6. 選取 SPECTRUM_VIRT 作為金鑰伺服器的裝置群組。還必須在系統的每一個金鑰伺服器上配置這個裝置群組。
  7. 金鑰伺服器憑證頁面中,您必須將所有必要的金鑰伺服器憑證上傳至系統。金鑰伺服器可以使用每個金鑰伺服器的伺服器憑證,或是主要 CA 憑證或包含該鏈結內所有 CA 憑證的檔案。此檔案無需包含金鑰伺服器憑證,只需包含中繼憑證及主要 CA 憑證。任何伺服器憑證都優先於系統上為金鑰伺服器所安裝的任何 CA 憑證。如果已針對自動抄寫配置金鑰伺服器,則會將此憑證從主要金鑰伺服器複製到所有次要金鑰伺服器。透過安全連線來連接至所有 IBM Security Key Lifecycle Manager 實例時,都是使用相同的金鑰伺服器憑證。如果在 IBM Security Key Lifecycle Manager 上使用抄寫,則只需要安裝一個金鑰伺服器憑證。IBM Security Key Lifecycle Manager 會使用此單一憑證來彼此抄寫金鑰。任何自簽憑證都優先於系統上為金鑰伺服器所安裝的任何 CA 簽章憑證。如果只使用一個憑證,而且會自動抄寫至所有已配置的金鑰伺服器,請在憑證欄位中選取您下載到系統的憑證。如果未配置自動抄寫,請為每一個已配置的金鑰伺服器,選取所有已下載至系統的有效憑證。按下一步
  8. 系統加密憑證頁面中,按一下匯出公開金鑰,將公開金鑰下載至系統。系統加密憑證也可以是自簽憑證或 CA 憑證。這些憑證會上傳至每一個金鑰伺服器,讓系統信任與個別金鑰伺服器之間的通訊。如果 IBM Security Key Lifecycle Manager 伺服器配置為自動抄寫,則該憑證將從主要金鑰伺服器抄寫到所有次要金鑰伺服器。透過安全連線來連接至所有 IBM Security Key Lifecycle Manager 實例時,都是使用相同的金鑰伺服器憑證。如果在 IBM Security Key Lifecycle Manager 上使用抄寫,主要金鑰伺服器會將系統憑證抄寫至其他金鑰伺服器。如果 IBM Security Key Lifecycle Manager 伺服器沒有配置為自動抄寫,必須為每個獨立式的金鑰伺服器安裝系統憑證。如果憑證不存在,請選取設定 > 安全 > 安全通訊。在安全通訊頁面上,選取更新憑證來建立或匯入憑證。如需憑證的相關資訊,請參閱與金鑰伺服器適用之憑證相關的主題。
  9. 透過將系統公開金鑰新增到每個配置的金鑰伺服器上 SPECTRUM_VIRT 裝置群組的信任儲存庫來複製該金鑰。請參閱 IBM® Security Key Lifecycle Manager IBM Knowledge Center,以獲取詳細資訊。
  10. 回到系統加密憑證頁面,選取系統的公開金鑰憑證已傳送至每一個已配置的金鑰伺服器
  11. 如果您已配置 USB 快閃記憶體隨身碟作為加密方法,則會出現停用 USB 加密頁面。如果想要移轉至金鑰伺服器並停用 USB 快閃記憶體隨身碟,請選取。如果希望同時配置兩種加密方法,請按一下
  12. 下一步
  13. 摘要頁面上,驗證金鑰伺服器的配置,然後按一下完成
要在指令行介面中使用 IBM Security Key Lifecycle Manager 金鑰伺服器啟用加密,請完成下列步驟:
  1. 匯出系統上安裝的 SSL 憑證(公開金鑰):
    svctask chsystemcert -export

    此動作會建立 /dumps/certificate.pem 檔。

  2. 將系統的公開金鑰當作授信憑證複製到每一個已配置的金鑰伺服器。如需詳細資料,請參閱 IBM Security Key Lifecycle Manager Knowledge Center。
  3. 輸入下列 CLI 指令,在系統上啟用加密:
    chencryption -keyserver enable
  4. 啟用金鑰伺服器類型,並提供憑證管理中心 (CA) 已簽章的憑證(如果需要的話):
    chkeyserverisklm -enable -sslcert /tmp/CASigned.crt
  5. 建立主要金鑰伺服器並指定金鑰伺服器憑證:
    mkkeyserver -ip ip_address -port port -primary
  6. 使用相同的金鑰伺服器憑證最多再建立三個次要金鑰伺服器:
    mkkeyserver -ip ip_address -port port
  7. 在金鑰伺服器上建立系統的加密金鑰:
    chencryption -keyserver newkey -key prepare
    此指令需要主要金鑰伺服器建立新的金鑰。
  8. 如果要驗證系統已備妥,請輸入下列指令:
    lsencryption
    檢查 keyserver_rekey 參數的值為 preparedprepared 值指出新的金鑰已備妥可確定。
  9. 如果要確定金鑰,請輸入下列指令:
    chencryption -keyserver newkey -key commit
    此指令將新的金鑰變成系統上的現行金鑰。

配置 Gemalto SafeNet KeySecure 金鑰伺服器

Gemalto SafeNet KeySecure 金鑰伺服器還支援 KMIP,並且會根據需要建立金鑰,然後與其他叢集伺服器共用這些金鑰,從而提供備援存取。系統支援 KeySecure 金鑰伺服器上不同類型的配置。支援的配置如下:
  • KeySecure 金鑰伺服器使用主動-主動模型,其中有多個金鑰伺服器以用於提供備援。必須將一個 KeySecure 金鑰伺服器指定為主要金鑰伺服器。主要金鑰伺服器是在建立任何新的加密金鑰時系統使用的金鑰伺服器。該金鑰將立即抄寫到 KeySecure 叢集中的其他金鑰伺服器。系統中定義的所有 KeySecure 金鑰伺服器都可用來擷取金鑰。雖然可以使用 KeySecure 來配置單一金鑰伺服器實例,但建議配置兩個金鑰伺服器,以在其中一個金鑰伺服器遭遇中斷時確保金鑰的可用性。
  • 系統透過 KeySecure 最多支援四台金鑰伺服器。如果系統存取多個金鑰伺服器,這些伺服器與 KeySecure 金鑰伺服器必須屬於同一個叢集。
啟用加密之前,請確保在 SafeNet KeySecure 金鑰伺服器上完成下列作業:
  1. 每一個金鑰伺服器都必須配置為容許使用 TLS 1.2 進行安全通訊。
  2. 確保在系統上安裝來自每台 KeySecure 金鑰伺服器的有效 SSL 憑證並正在使用該憑證。請為每一個 KeySecure 金鑰伺服器新增伺服器憑證,或新增用來簽署每一個伺服器憑證的主要 CA 憑證。
  3. 如果您計劃利用使用者名稱及密碼向這些金鑰伺服器鑑別系統,則必須在 KeySecure 介面中配置用於鑑別的使用者認證。若為 KeySecure 8.10 版以上,管理者可以配置使用者名稱和密碼,以於系統連接時進行鑑別。在 KeySecure 8.10 版之前,密碼是選用性的。 若要設定在系統和 KeySecure 金鑰伺服器之間使用使用者名稱和密碼進行鑑別,請在 SafeNet KeySecure 介面的 High Security 功能表中停用廣域金鑰。停用廣域金鑰時,金鑰伺服器不能在沒有有效認證的情況下鑑別用戶端以建立或存取金鑰。
  4. 確保系統加密憑證是 KeySecure 介面上的授信實體。您可以使用兩種方法,將系統加密憑證新增為授信實體。您可以匯出現行系統加密憑證,然後將它新增至「授信 CA 清單」上的已知憑證管理中心 (CA),或對「授信 CA 清單」上已列出的第三方憑證管理中心,提出新的憑證簽署要求。如果針對 KeySecure 金鑰伺服器的憑證啟用了使用者名稱,則系統加密憑證可能還需要使用者名稱。
  5. 如果現行透過 USB 快閃記憶體磁碟機啟用了加密,則必須先將至少一個 USB 快閃記憶體磁碟機插入系統中,之後才可以配置金鑰伺服器以管理金鑰。
如果要透過管理 GUI 使用 KeySecure 金鑰伺服器來啟用加密,請完成下列步驟:
  1. 在管理 GUI 中,選取設定 > 安全性 > 加密
  2. 按一下啟用加密
  3. 歡迎使用頁面上,選取金鑰伺服器。按下一步
    註: 您也可以將金鑰伺服器USB 快閃記憶體隨身碟都選取,以配置這兩種方法來管理加密金鑰。如果任一種方法變成無法使用,您可以使用另一種方法存取系統上加密的資料。
  4. 選取 Gemalto SafeNet KeySecure 作為金鑰伺服器類型。
  5. 輸入每個金鑰伺服器的名稱、IP 位址和埠。如果配置多個金鑰伺服器,您指定的第一個金鑰伺服器是主要金鑰伺服器。
  6. 金鑰伺服器認證頁面上,輸入用於向金鑰伺服器鑑別系統的使用者名和密碼。
  7. 金鑰伺服器憑證頁面中,您必須將所有必要的金鑰伺服器憑證上傳至系統。金鑰伺服器可以使用來自可信第三方的憑證、自簽憑證或這兩種憑證的組合。所有實例都是透過安全連線且使用相同金鑰伺服器憑證進行連接。要麼是每個金鑰伺服器的伺服器憑證,要麼是主要 CA 憑證或包含該鏈結內所有 CA 憑證的檔案。此檔案無需包含金鑰伺服器憑證,只需包含中繼憑證及主要 CA 憑證。任何伺服器憑證都優先於系統上為金鑰伺服器所安裝的任何 CA 憑證。按下一步
  8. 系統加密憑證頁面中,按一下匯出公開金鑰,將公開金鑰下載至系統。這些憑證會上傳至其中一個金鑰伺服器來建立信任,讓系統與個別金鑰伺服器進行通訊。如果憑證不存在,請選取設定 > 安全 > 安全通訊。在安全通訊頁面上,選取更新憑證來建立或匯入憑證。如需憑證的相關資訊,請參閱與金鑰伺服器適用之憑證相關的主題。
  9. 回到系統加密憑證頁面,選取系統的公開金鑰憑證已傳送至每一個已配置的金鑰伺服器
  10. 如果您已配置 USB 快閃記憶體隨身碟作為加密方法,則會出現停用 USB 加密頁面。如果想要移轉至金鑰伺服器並停用 USB 快閃記憶體隨身碟,請選取。如果希望同時配置兩種加密方法,請按一下
  11. 下一步
  12. 摘要頁面上,驗證金鑰伺服器的配置,然後按一下完成
要在指令行介面中使用 KeySecure 金鑰伺服器啟用加密,請完成以下步驟:
  1. 輸入下列 CLI 指令,在系統上啟用加密:
    chencryption -keyserver enable
  2. 啟用金鑰伺服器類型,並提供憑證管理中心 (CA) 已簽章的憑證(如果需要的話):
    chkeyserverkeysecure -enable -sslcert /tmp/CASigned.crt
  3. 如果需要,可配置用於向金鑰伺服器鑑別系統的使用者名稱和密碼:
    chkeyserverkeysecure -username admin -password 'examplepassword'
  4. 決定是使用來自 CA 的已簽章憑證,還是自簽用戶端憑證。如果要使用現有的自簽憑證並將其匯出成 /dumps/certificate.pem,請輸入下列 CLI 指令:
    svctask chsystemcert -export

    將憑證複製到 KeySecure 並將其新增為授信 CA。如果是使用已簽章的憑證,請遵循申請並安裝新的簽章憑證中的指示,並透過 KeySecure 信任的 CA 來簽章憑證。

  5. 如果需要,可建立主要金鑰伺服器並指定金鑰伺服器憑證:
    mkkeyserver -ip ip_address -port port -sslcert /tmp/ServerCert.crt -primary
  6. 如果需要,可最多再建立三個次要金鑰伺服器,並指定金鑰伺服器憑證。
    mkkeyserver -ip ip_address -port port -sslcert /tmp/ServerCert.crt
  7. 在金鑰伺服器上建立系統的加密金鑰:
    chencryption -keyserver newkey -key prepare
    此指令需要主要金鑰伺服器建立新的金鑰。
  8. 如果要驗證系統已備妥,請輸入下列指令:
    lsencryption
    檢查 keyserver_rekey 參數的值為 preparedprepared 值指出新的金鑰已備妥可確定。
  9. 如果要確定金鑰,請輸入下列指令:
    chencryption -keyserver newkey -key commit
    此指令將新的金鑰變成系統上的現行金鑰。