鍵サーバーを使用した暗号化対応システムの鍵再設定

暗号鍵を管理するように鍵サーバーを構成した場合は、暗号鍵サーバーを使用して新しい鍵を生成できます。

鍵再設定とは、システム用に新しい鍵を作成するプロセスのことです。鍵を新規作成するには、システム上で暗号化が有効になっている必要があります。ただし、鍵再設定操作は、暗号化されたオブジェクトの有無に関係なく、可能です。システム上で両方の暗号化方式が構成されている場合は、一方の方式の鍵をすべて再設定してから、他方の鍵の再設定を行ってください。

管理 GUI を使用する場合

鍵再設定プロセス中、鍵サーバーが新しい鍵を生成し、既存の鍵は使用できなくなります。 鍵再設定プロセス中、鍵サーバーが新しい鍵を生成し、既存の鍵は使用できなくなります。複数のマスター鍵サーバーまたはアクティブ/アクティブ鍵サーバーを使用している場合、新規鍵は構成済みの鍵サーバーすべてに自動的に複製されます。 1 つの 1 次鍵サーバー、複数の 2 次鍵サーバーを含む構成では、鍵再設定の操作中に更新されるのは 1 次鍵サーバーのみです。追加の鍵サーバーはいずれもオフラインになり、システムは、1 次鍵サーバーから 2 次鍵サーバーへ新しい鍵が複製されるまで、それらの鍵サーバーに対してエラーを報告します。
注: データ損失を防ぐため、鍵再設定を実行するたびに鍵サーバー管理アプリケーションのデータをバックアップしてください。

すべての構成済み鍵サーバーで新しい鍵を作成する前に、鍵サーバーをオンラインにし、システムに接続する必要があります。管理 GUI で、「設定」 > 「セキュリティー」 > 「暗号化」を選択します。 「鍵サーバー」を展開して、システム上のすべての構成済み鍵サーバーの詳細を表示します。 鍵サーバーの状況がオンラインであり、システムで使用可能になっていることを確認します。コマンド・ライン・インターフェースで、lskeyserver を入力して、鍵サーバーがオンラインであり、システムから使用可能であるかどうかを確認します。

鍵サーバー暗号化を使用するシステムで鍵再設定を行うには、以下のステップを実行します。
  1. 管理 GUI で、「設定」 > 「セキュリティー」 > 「暗号化」を選択します。
  2. 「鍵サーバー」を展開し、システム上のすべての構成済み鍵サーバーを表示し、「鍵再設定」を選択します。
  3. メッセージ・ダイアログで「OK」をクリックします。暗号鍵は 1 次鍵サーバーによって生成され、1 次鍵サーバーにコピーされます。鍵再設定プロセスでエラーが発生した場合、状況メッセージにより、新しい鍵のコピーまたは作成での問題が表示されます。他に考えられるエラーを判別および修正するには、「モニター」 > 「イベント」を選択します。
鍵再設定操作の完了後、複数のマスター鍵サーバーまたはアクティブ/アクティブ鍵サーバーの構成を使用している場合はすぐに新規鍵が複製されます。鍵サーバーに加えて USB フラッシュ・ドライブも構成されている場合は、USB フラッシュ・ドライブの鍵再設定が可能になりました。

コマンド・ライン・インターフェースの使用

鍵サーバーを使用するシステムを鍵再設定するには、以下の手順を実行します。
  1. 次のコマンドを入力して、システム上で暗号化が有効になっていることを確認します。
    lsencryption
    暗号化が有効であることを状況が示していることを確認します。
  2. 暗号化が有効になっていることを確認した後、次のコマンドを入力して、鍵サーバーがオンラインであり、有効であることを確認します。
    lskeyserver
    使用可能なすべての鍵サーバーの状況が online であることを確認します。
  3. 暗号化が有効であり、鍵サーバーがオンラインであることを確認した後、システム上で現在使用されている暗号鍵の鍵再設定をするために、システムを準備する必要があります。鍵再設定操作を準備するには、次のコマンドを入力します。
    chencryption -keyserver newkey -key prepare
    注: このコマンドは、1 次鍵サーバー上にのみ新しい鍵を作成します。IBM Security Key Lifecycle Manager を使用して鍵が 1 次鍵サーバーから他の鍵サーバーに複製されるまでは、追加の鍵サーバーはすべてオフラインになります。
  4. システムの準備が整っていることを確認するために、以下のコマンドを入力します。
    lsencryption
    keyserver_rekey パラメーターの値が prepared であることを確認してください。prepared という値は、その新しい鍵がコミットされる準備が整っていることを示します。
  5. 鍵をコミットするには、次のコマンドを入力します。
    chencryption -keyserver newkey -key commit
    このコマンドは、準備された鍵を現行鍵にして、鍵の値を 1 次鍵サーバーに保管します。
  6. 次のコマンドを入力して、新しい鍵がコミットされたことを確認します。
    lsencryption
    keyserver_rekey パラメーターの値が no であることを確認します。
鍵再設定操作の完了後、複数のマスター鍵サーバーまたはアクティブ/アクティブ鍵サーバーの構成を使用している場合はすぐに新規鍵が複製されます。鍵サーバーに加えて USB フラッシュ・ドライブも構成されている場合は、USB フラッシュ・ドライブの鍵再設定が可能になりました。 鍵サーバーに加えて USB フラッシュ・ドライブも構成されている場合は、USB フラッシュ・ドライブの鍵再設定が可能になりました。