鍵サーバーによる暗号化の有効化

暗号鍵サーバーは、システムが使用する暗号鍵を作成および管理します。多数のシステムがある環境では、鍵サーバーがリモート側で鍵を配布するため、システムへの物理アクセスは不要です。

鍵サーバーは、暗号鍵を生成し、保管し、システムに送信する集中型システムです。 一部の鍵サーバー・プロバイダーは、複数の鍵サーバー間における鍵の複製をサポートします。複数の鍵サーバーがサポートされている場合、パブリック・ネットワークまたは独立したプライベート・ネットワークのいずれかを介してシステムに接続された鍵サーバーを最大 4 つまで指定することができます。 システムは、システム上での鍵管理を処理するために、IBM Security Key Lifecycle Manager 鍵サーバーまたは Gemalto SafeNet KeySecure 鍵サーバーをサポートします。これらのサポートされる鍵サーバー管理アプリケーションは、どちらもシステムの暗号鍵を作成および管理し、証明書によってこれらの鍵へのアクセスを提供します。システム上で有効にすることができる鍵サーバー管理アプリケーションは、一度に 1 つのタイプのみです。 システムと鍵サーバー間で証明書が交換されるときに認証が行われます。期限切れの証明書がシステム障害を起こす可能性があるため、証明書は厳重に管理する必要があります。鍵サーバーは、システムに定義される前にインストールして構成しておく必要があります。

IBM Spectrum Virtualize 製品でサポートされる鍵サーバーのバージョンは、以下の Web サイトに示されています。

http://www.ibm.com/support/docview.wss?uid=ibm10738187

IBM Security Key Lifecycle Manager 鍵サーバーの構成

IBM Security Key Lifecycle Manager 鍵サーバーでは Key Management Interoperability Protocol (KMIP) がサポートされます。これは、保管データの暗号化および暗号鍵の管理に関する標準です。

システムは、IBM Security Key Lifecycle Manager 上で各種タイプの鍵サーバー構成をサポートします。以下の構成がサポートされています。
  • 1 台の 1 次 (マスター) 鍵サーバーと複数の 2 次鍵サーバー。IBM Security Key Lifecycle Manager 鍵サーバーは、最大 3 台の 2 次鍵サーバー (クローンとも呼ばれる) を定義できる 1 台のマスター鍵サーバーまたは 1 次鍵サーバーを指定します。これらの追加の鍵サーバーは、システムに鍵を送信するときにさらに多くのパスをサポートします。ただし、鍵再設定時には、1 次鍵サーバーへのパスのみが使用されます。 システムの鍵再設定が行われると、1 次鍵サーバーが新しい鍵を 2 次鍵サーバーに複製するまでは、2 次鍵サーバーが使用不可になります。 鍵を 2 次鍵サーバーに複製するのに要する時間は、複製されている鍵と証明書の情報の量によって異なります。 2 次鍵サーバーへの複製ごとに、時間がかかります。 鍵をシステムで使用するには、その前に複製が完了している必要があります。 自動複製をスケジュールすることもできますし、IBM Security Key Lifecycle Manager を使用して手動で完了することもできます。複製中、鍵を配布したり、新規鍵を受け入れたりするために、鍵サーバーを使用することはできません。IBM Security Key Lifecycle Manager で複製が完了するのに要する合計時間は、クローンとして構成されている鍵サーバーの数によって異なります。複製が手動で起動された場合、IBM Security Key Lifecycle Manager は、複製が完了した時点で完了メッセージを発行します。システム上で鍵を使用する前に、すべての鍵サーバーに複製された鍵および証明書の情報が含まれていることを確認してください。
  • 複数のマスター鍵サーバー: 複数の鍵サーバーをマルチマスター構成で構成して、各鍵サーバーが新規暗号鍵を作成できるようにすることができます。その場合、任意のサーバーを 1 次鍵サーバーとして設定できます。1 次鍵サーバーは、新規鍵サーバー暗号鍵を作成するときにシステムが使用する鍵サーバーです。IBM Security Key Lifecycle Manager でマルチマスター・モードが有効になっている場合、鍵は、構成内の他の鍵サーバーに即時に複製されます。
暗号化を有効にする前に、IBM Security Key Lifecycle Manager で以下のタスクを実行していることを確認してください。
  1. Transport Layer Security バージョン 1.2 (TLSv1.2) を使用するように、IBM Security Key Lifecycle Manager を定義します。IBM Security Key Lifecycle Manager のデフォルト設定は TLSv1 ですが、システムはバージョン 1.2 のみをサポートします。IBM Security Key Lifecycle Manager で、値を SSL_TLSv2 に設定します。これは、TLSv1.2 を含むプロトコルのセットです。
  2. データベース・サービスが始動後に自動的に開始することを確認します。
  3. IBM Security Key Lifecycle Manager からの有効な SSL 証明書がシステムにインストールされ、使用されていることを確認します。IBM Security Key Lifecycle Manager で自動複製が構成されている場合、この証明書は、一度だけシステムにアップロードする必要があります。ただし、IBM Security Key Lifecycle Manager で自動複製が構成されていない場合は、各スタンドアロン鍵サーバーの証明書をシステムにアップロードする必要があります。
  4. システム定義に SPECTRUM_VIRT デバイス・グループを指定します。複数の鍵サーバーを構成する場合は、1 次鍵サーバーおよびすべての 2 次鍵サーバーで SPECTRUM_VIRT デバイス・グループを定義する必要があります。
  5. 現在、USB フラッシュ・ドライブを使用して暗号化が有効になっている場合、USB フラッシュ・ドライブの少なくとも 1 つがシステムに挿入されてからでないと、鍵を管理できるように鍵サーバーを構成することができません。
これらのタスクの実行方法について詳しくは、IBM Security Key Lifecycle Manager の IBM Knowledge Center を参照してください。

IBM Security Key Lifecycle Manager 鍵サーバー用に、システムに鍵サーバー・オブジェクトを作成する場合は、名前、IP アドレス、ポート、および証明書情報に加えてデバイス・グループを指定する必要があります。デバイス・グループ は、大規模なプール内のデバイスのサブセットに対する制限付き管理を可能にするセキュリティー資格情報の集合 (鍵と鍵のグループを含む) です。デフォルト設定を使用している場合、鍵サーバー上で SPECTRUM_VIRT デバイス・グループに対してシステムを定義する必要があります。SPECTRUM_VIRT デバイス・グループが鍵サーバー上に存在しない場合は、GPFS デバイス・ファミリーに基づいて作成する必要があります。複数の鍵サーバーを構成する場合は、1 次鍵サーバーおよび他のすべての鍵サーバーで SPECTRUM_VIRT デバイス・グループを定義する必要があります。

IBM Security Key Lifecycle Manager鍵サーバーを使用した暗号化を有効にするには、以下のステップを実行します。
  1. 管理 GUI で、「設定」 > 「セキュリティー」 > 「暗号化」を選択します。
  2. 「暗号化の有効化」をクリックします。
  3. 「ようこそ」パネルで、「鍵サーバー」を選択します。「次へ」をクリックします。
    注: また、「鍵サーバー」「USB フラッシュ・ドライブ」の両方を選択し、両方の方式を構成して暗号鍵を管理することもできます。 いずれかの方式が使用できなくなった場合、他方の方式を使用して、システム上の暗号化されたデータにアクセスすることができます。
  4. 鍵サーバーのタイプとして「IBM SKLM (KMIP 使用)」を選択します。
  5. 各鍵サーバーの名前、IP アドレス、およびポートを入力します。複数の鍵サーバーを構成する場合は、指定する最初の鍵サーバーが 1 次鍵サーバーになり、残りは 2 次鍵サーバーになります。 すべての 2 次鍵サーバーに鍵が確実に配布されるように、IBM Security Key Lifecycle Manager で複製を構成する必要があります。
  6. 鍵サーバーのデバイス・グループとして「SPECTRUM_VIRT」を選択します。このデバイス・グループは、システムの鍵サーバーのそれぞれにも構成する必要があります。
  7. 「鍵サーバー証明書」ページで、必要な鍵サーバー証明書をすべてシステムにアップロードする必要があります。 鍵サーバーでは、各鍵サーバーのサーバー証明書、ルート CA 証明書、またはそのチェーン内のすべての CA 証明書が入ったファイルのいずれでも使用できます。このファイルには、鍵サーバー証明書が入っている必要はなく、中間 CA 証明書とルート CA 証明書のみが入っている必要があります。サーバー証明書は、鍵サーバー用にシステムにインストールされる CA 証明書より優先されます。鍵サーバーで自動複製が構成されている場合、この証明書は、1 次鍵サーバーからすべての 2 次鍵サーバーにコピーされます。すべての IBM Security Key Lifecycle Manager インスタンスが、同じ鍵サーバー証明書を使用してセキュア接続経由で接続されます。IBM Security Key Lifecycle Manager で複製が使用されている場合、1 つの鍵サーバー証明書のみをインストールする必要があります。IBM Security Key Lifecycle Manager は、この単一の証明書を使用して、相互に鍵を複製します。自己署名証明書は、鍵サーバー用にシステムにインストールされる CA 署名証明書より優先されます。1 つの証明書のみが使用されており、構成済みのすべての鍵サーバーに自動的に複製される場合、証明書内の「証明書」フィールドで、システムにダウンロードした証明書を選択します。 自動複製が構成されていない場合は、構成済みの鍵サーバーごとに、システムにダウンロードしたすべての有効な証明書を選択します。 「次へ」をクリックする。
  8. 「システムの暗号化証明書」ページで、「公開鍵のエクスポート」をクリックして公開鍵をシステムにダウンロードします。システム暗号化証明書は自己署名証明書または CA 証明書にもすることができます。これらの証明書は、システムが個々の鍵サーバーと通信するための信頼を確立するために、それぞれの鍵サーバーにアップロードされます。IBM Security Key Lifecycle Manager サーバーで自動複製が構成されている場合、この証明書は、1 次鍵サーバーからすべての 2 次鍵サーバーにコピーされます。すべての IBM Security Key Lifecycle Manager インスタンスが、同じ鍵サーバー証明書を使用してセキュア接続経由で接続されます。IBM Security Key Lifecycle Manager で複製が使用されている場合、1 次鍵サーバーがシステム証明書を他の鍵サーバーに複製します。IBM Security Key Lifecycle Manager サーバーで自動複製が構成されていない場合、システム証明書を各スタンドアロン鍵サーバーにインストールする必要があります。証明書が存在しない場合、「設定」 > 「セキュリティー」 > 「セキュア通信」を選択します。「セキュア通信」ページで「証明書の更新」を選択し、証明書を作成またはインポートします。証明書について詳しくは、鍵サーバーに使用される証明書に関するトピックを参照してください。
  9. システムの公開鍵を SPECTRUM_VIRT デバイス・グループのトラストストアに追加することで、その公開鍵を構成済みの各鍵サーバーにコピーします。 詳しくは、IBM® Security Key Lifecycle Manager の IBM Knowledge Center を参照してください。
  10. 「システムの暗号化証明書」ページに戻り、「システムの公開鍵証明書が各構成済み鍵サーバーに転送されました」を選択します。
  11. 暗号化方式として USB フラッシュ・ドライブが構成されている場合は、「USB 暗号化の無効化」ページが表示されます。鍵サーバーに移行し、USB フラッシュ・ドライブを無効にする場合は、「はい」を選択します。両方の暗号化方式を同時に構成したい場合は、「いいえ」をクリックします。
  12. 「次へ」をクリックする。
  13. 「要約」ページで、鍵サーバーの構成を確認し、「完了」をクリックします。
コマンド・ライン・インターフェースで IBM Security Key Lifecycle Manager 鍵サーバーを使用して暗号化を有効にするには、以下の手順を実行します。
  1. システムにインストールされている SSL 証明書 (公開鍵) をエクスポートします 。
    svctask chsystemcert -export

    このアクションにより /dumps/certificate.pem ファイルが作成されます。

  2. システムの公開鍵を信頼された証明書として各構成済み鍵サーバーにコピーします。詳しくは、IBM Security Key Lifecycle Manager Knowledge Center を参照してください。
  3. ご使用のシステム上で暗号化を有効にするには、以下の CLI コマンドを入力します。
    chencryption -keyserver enable
  4. 鍵サーバー・タイプを有効にし、認証局 (CA) 署名付き証明書を提供します (必要な場合)。
    chkeyserverisklm -enable -sslcert /tmp/CASigned.crt
  5. 以下のようにして、1 次鍵サーバーを作成し、鍵サーバー証明書を指定します。
    mkkeyserver -ip ip_address -port port -primary
  6. 同じ鍵サーバー証明書を使用して、2 次鍵サーバーをさらに最大 3 つまで作成します。
    mkkeyserver -ip ip_address -port port
  7. 以下のように、鍵サーバー上でシステムの暗号鍵を作成します。
    chencryption -keyserver newkey -key prepare
    このコマンドは、新しい鍵を作成するように 1 次鍵サーバーに要求します。
  8. システムの準備が整っていることを確認するために、以下のコマンドを入力します。
    lsencryption
    keyserver_rekey パラメーターの値が prepared であることを確認してください。prepared という値は、その新しい鍵がコミットされる準備が整っていることを示します。
  9. 鍵をコミットするには、次のコマンドを入力します。
    chencryption -keyserver newkey -key commit
    このコマンドは、この新しい鍵をシステムの現行鍵にします。

Gemalto SafeNet KeySecure 鍵サーバーの構成

Gemalto SafeNet KeySecure 鍵サーバーも KMIP をサポートしており、オンデマンドで鍵を作成した後、その鍵を他のクラスター化サーバーと共有し、冗長アクセスを提供します。システムは、KeySecure 鍵サーバー上でさまざまなタイプの構成をサポートします。以下の構成がサポートされています。
  • KeySecure 鍵サーバーは、アクティブ/アクティブ・モデルを使用します。このモデルでは、複数の鍵サーバーがあり、冗長性を提供します。1 つの KeySecure 鍵サーバーが 1 次鍵サーバーとして構成されている必要があります。1 次鍵サーバーは、新規の暗号鍵を作成するときにシステムが使用する鍵サーバーです。鍵は、KeySecure クラスター内の他の鍵サーバーに即時に複製されます。鍵を取得するために、システムで定義されているすべての KeySecure 鍵サーバーを使用できます。KeySecure では、単一の鍵サーバー・インスタンスを構成することもできますが、1 つの鍵サーバーで障害が発生した場合に鍵の可用性を確保するために、2 つの鍵サーバーを構成することが推奨されます。
  • システムは最大 4 つの鍵サーバーを KeySecure でサポートします。システムが複数の鍵サーバーにアクセスしている場合、それらの鍵サーバーは KeySecure 鍵サーバーの同じクラスターに属している必要があります。
暗号化を有効にする前に、SafeNet KeySecure 鍵サーバーで以下のタスクを実行していることを確認してください。
  1. 各鍵サーバーは、セキュア通信のために TLS 1.2 を許可するように構成されている必要があります。
  2. 各 KeySecure 鍵サーバーからの有効な SSL 証明書がシステムにインストールされ、使用されていることを確認します。各 KeySecure 鍵サーバーのサーバー証明書を追加するか、各サーバー証明書の署名に使用されたルート CA 証明書を追加します。
  3. これらの鍵サーバーに対してユーザー名とパスワードを使用してシステムを認証する予定の場合、KeySecure インターフェースで認証に使用するユーザー資格情報を構成する必要があります。KeySecure バージョン 8.10 以上の場合、管理者は、接続時にシステムを認証するためのユーザー名とパスワードを構成することができます。KeySecure バージョン 8.10 より前のバージョンでは、パスワードの使用はオプションです。システムと KeySecure 鍵サーバーの間でユーザー名とパスワードを使用した認証をセットアップするには、SafeNet KeySecure インターフェースの「High Security」メニューでグローバル鍵を無効にします。グローバル鍵が無効にされると、鍵サーバーは、有効な資格情報を持たないクライアントによる鍵の作成や鍵へのアクセスを認証することができません。
  4. KeySecure インターフェースでシステムの暗号化証明書が信頼されたエンティティーであることを確認します。 システムの暗号化証明書を信頼できるエンティティーとして追加するには、2 つの方式を使用することができます。現行のシステム暗号化証明書をエクスポートし、それをトラステッド認証局 (CA) リスト上の既知の CA に追加するか、トラステッド CA リストに既にリストされている第三者認証局に対する新規の証明書署名要求を作成することができます。KeySecure 鍵サーバーの証明書に対してユーザー名が使用可能にされている場合は、システム暗号化証明書にユーザー名が必要になることもあります。
  5. 現在、USB フラッシュ・ドライブを使用して暗号化が有効になっている場合、USB フラッシュ・ドライブの少なくとも 1 つがシステムに挿入されてからでないと、鍵を管理できるように鍵サーバーを構成することができません。
管理 GUI を使用して、KeySecure 鍵サーバーを使用した暗号化を有効にするには、以下の手順を実行します。
  1. 管理 GUI で、「設定」 > 「セキュリティー」 > 「暗号化」を選択します。
  2. 「暗号化の有効化」をクリックします。
  3. 「ようこそ」ページで、「鍵サーバー」を選択します。「次へ」をクリックします。
    注: また、「鍵サーバー」「USB フラッシュ・ドライブ」の両方を選択し、両方の方式を構成して暗号鍵を管理することもできます。 いずれかの方式が使用できなくなった場合、他方の方式を使用して、システム上の暗号化されたデータにアクセスすることができます。
  4. 鍵サーバー・タイプとして「Gemalto SafeNet KeySecure」を選択します。
  5. 各鍵サーバーの名前、IP アドレス、およびポートを入力します。複数の鍵サーバーを構成する場合は、指定する最初の鍵サーバーが 1 次鍵サーバーになります。
  6. 「鍵サーバー資格情報」ページで、鍵サーバーに対するシステムの認証に使用するユーザー名とパスワードを入力します。
  7. 「鍵サーバー証明書」ページで、必要な鍵サーバー証明書をすべてシステムにアップロードする必要があります。 鍵サーバーは、信頼のおける第三者機関からの証明書、自己署名証明書、あるいはそれらの証明書の組み合わせを使用することができます。すべてのインスタンスが、同じ鍵サーバー証明書を使用してセキュア接続経由で接続されます。各鍵サーバーのサーバー証明書、ルート CA 証明書、またはそのチェーン内のすべての CA 証明書が入ったファイルのいずれかが使用されます。このファイルには、鍵サーバー証明書が入っている必要はなく、中間 CA 証明書とルート CA 証明書のみが入っている必要があります。サーバー証明書は、鍵サーバー用にシステムにインストールされる CA 証明書より優先されます。「次へ」をクリックします。
  8. 「システムの暗号化証明書」ページで、「公開鍵のエクスポート」をクリックして公開鍵をシステムにダウンロードします。これらの証明書は、システムが個々の鍵サーバーと通信するための信頼を確立するために、いずれかの鍵サーバーにアップロードされます。証明書が存在しない場合、「設定」 > 「セキュリティー」 > 「セキュア通信」を選択します。「セキュア通信」ページで「証明書の更新」を選択し、証明書を作成またはインポートします。証明書について詳しくは、鍵サーバーに使用される証明書に関するトピックを参照してください。
  9. 「システムの暗号化証明書」ページに戻り、「システムの公開鍵証明書が各構成済み鍵サーバーに転送されました」を選択します。
  10. 暗号化方式として USB フラッシュ・ドライブが構成されている場合は、「USB 暗号化の無効化」ページが表示されます。鍵サーバーに移行し、USB フラッシュ・ドライブを無効にする場合は、「はい」を選択します。両方の暗号化方式を同時に構成したい場合は、「いいえ」をクリックします。
  11. 「次へ」をクリックします。
  12. 「要約」ページで、鍵サーバーの構成を確認し、「完了」をクリックします。
コマンド・ライン・インターフェースで KeySecure 鍵サーバーを使用した暗号化を有効にするには、以下のステップを実行します。
  1. ご使用のシステム上で暗号化を有効にするには、以下の CLI コマンドを入力します。
    chencryption -keyserver enable
  2. 鍵サーバー・タイプを有効にし、認証局 (CA) 署名付き証明書を提供します (必要な場合)。
    chkeyserverkeysecure -enable -sslcert /tmp/CASigned.crt
  3. 鍵サーバーに対するシステムの認証に使用するユーザー名とパスワードを構成します (必要な場合)。
    chkeyserverkeysecure -username admin -password 'examplepassword'
  4. CA からの署名付き証明書を使用するか、自己署名クライアント証明書を使用するかを決定します。既存の自己署名証明書を使用し、それを /dumps/certificate.pem にエクスポートするには、次の CLI コマンドを入力します。
    svctask chsystemcert -export

    証明書を KeySecure にコピーし、トラステッド CA として追加します。署名付き証明書を使用する場合、ここ新規の署名付き証明書の要求とインストールの手順に従って、KeySecure が信頼する CA で証明書に署名します。

  5. 1 次鍵サーバーを作成し、鍵サーバー証明書を指定します (必要な場合)。
    mkkeyserver -ip ip_address -port port -sslcert /tmp/ServerCert.crt -primary
  6. 最大 3 つの追加の 2 次鍵サーバーを作成して、鍵サーバー証明書を指定します (必要な場合)。
    mkkeyserver -ip ip_address -port port -sslcert /tmp/ServerCert.crt
  7. 以下のように、鍵サーバー上でシステムの暗号鍵を作成します。
    chencryption -keyserver newkey -key prepare
    このコマンドは、新しい鍵を作成するように 1 次鍵サーバーに要求します。
  8. システムの準備が整っていることを確認するために、以下のコマンドを入力します。
    lsencryption
    keyserver_rekey パラメーターの値が prepared であることを確認してください。prepared という値は、その新しい鍵がコミットされる準備が整っていることを示します。
  9. 鍵をコミットするには、次のコマンドを入力します。
    chencryption -keyserver newkey -key commit
    このコマンドは、この新しい鍵をシステムの現行鍵にします。