Rechaveando um sistema ativado pela criptografia usando um servidor de chaves

Se você configurou os servidores de chaves para gerenciar chaves de criptografia, poderá gerar novas chaves com os servidores de chaves de criptografia.

Rechaveamento é o processo de criação de uma nova chave para o sistema. Para criar uma nova chave, a criptografia deve ser ativada no sistema; no entanto, a operação de rechaveamento funcionará se houver objetos criptografados ou não. Se você tiver ambos os métodos de criptografia configurados no sistema, rechaveie completamente um método antes de rechavear o outro.

Usando a GUI de gerenciamento

Durante o processo de rechaveamento, o servidor de chave gera uma nova chave e a chave existente se torna obsoleta. Durante o processo de rechaveamento, o servidor de chaves gera uma nova chave e a chave existente torna-se obsoleta. Se você estiver usando vários servidores de chaves principais ou ativo-ativo, novas chaves serão replicadas automaticamente para todos os servidores de chaves configurados. Em configurações com um único servidor de chaves principal e múltiplos servidores de chaves secundários, somente o servidor de chaves principal é atualizado durante a operação de rechaveamento. Quaisquer servidores de chaves adicionais ficarão off-line e o sistema relatará um erro com relação a esses servidores de chaves até que a nova chave seja replicada por meio dos servidores de chaves primários para os secundários.
Nota: Para evitar a perda de dados, faça backup de seus dados no aplicativo de gerenciamento do servidor de chaves toda vez que você rechavear.

Antes de você criar uma nova chave em todos os servidores principais configurados, os servidores principais deverão estar on-line e conectados ao sistema. Na GUI de gerenciamento, selecione Configurações > Segurança > Criptografia. Expanda Servidores de chaves para exibir detalhes sobre todos os servidores de chaves configurados no sistema. Verifique se o status dos servidores de chaves é on-line e disponível para o sistema. Na interface da linha de comandos, insira lskeyserver para verificar se os servidores principais estão on-line e disponíveis para o sistema.

Para rechavear o sistema que usa criptografia do servidor de chaves, conclua estas etapas:
  1. Na GUI de gerenciamento, selecione Configurações > Segurança > Criptografia.
  2. Expanda Servidores de chaves para exibir todos os servidores de chaves configurados no sistema e selecione Rechavear.
  3. Clique em OK no diálogo de mensagem. A chave de criptografia é gerada pelo servidor de chaves primário e copiada no servidor de chaves primário. Se ocorrerem erros durante o processo de rechaveamento, mensagens de status exibirão problemas com a cópia ou a criação de uma nova chave. Para determinar e corrigir outros possíveis erros, selecione Monitoramento > Eventos.
Após a conclusão da operação de rechaveamento, as novas chaves serão replicadas instantaneamente, caso haja várias configurações de servidores de chaves principais ou ativos/ativos. Se, além de um servidor de chaves, houver unidades flash USB configuradas, agora é possível rechavear as unidades flash USB.

Usando a interface da linha de comandos

Para rechavear o sistema que usa servidores de chaves, conclua estas etapas:
  1. Verifique se a criptografia está ativada no sistema inserindo este comando: 
    lsencryption
    Assegure-se de que o status indica que a criptografia está ativada.
  2. Após verificar se a criptografia está ativada, verifique se os servidores de chaves estão on-line e disponíveis inserindo este comando:
    lskeyserver
    Assegure-se de que o status de todos os servidores de chaves disponíveis seja online.
  3. Após verificar se a criptografia está ativada e os servidores de chaves estão on-line, será necessário preparar o sistema para rechavear as chaves de criptografia que estão sendo usadas atualmente no sistema. Para preparar a operação de rechaveamento, insira o comando a seguir:
    chencryption -keyserver newkey -key prepare
    Nota: Esse comando cria a nova chave somente no servidor de chaves primário. Todos os servidores de chaves adicionais entrarão no modo off-line até que a chave seja replicada do servidor de chaves primário para os outros servidores de chaves com o IBM Security Key Lifecycle Manager.
  4. Para verificar se o sistema está preparado, insira o seguinte comando:
    lsencryption
    Verifique se o parâmetro keyserver_rekey tem o valor preparado. O valor prepared indica que a chave nova está pronta para ser consolidada.
  5. Para confirmar a chave, insira o comando a seguir:
    chencryption -keyserver newkey -key commit
    Esse comando torna a chave preparada a chave atual e armazena os valores da chave no servidor de chaves primário.
  6. Verifique se a nova chave é confirmada, inserindo o comando a seguir:
    lsencryption
    Assegure-se de que o valor no parâmetro keyserver_rekey seja no.
Após a conclusão da operação de rechaveamento, as novas chaves serão replicadas instantaneamente se você tiver diversas configurações de servidor de chaves principal ou ativo-ativo. Se você tiver unidades flash USB configuradas além de um servidor de chaves, agora será possível rechavear as unidades flash USB. Se você tiver unidades flash USB configuradas além de um servidor de chaves, agora será possível rechavear as unidades flash USB.