在密钥管理方法之间进行迁移

您可以使用管理 GUI 或命令行界面在基于 USB 闪存驱动器和密钥服务器的加密之间无中断进行迁移。 要从密钥服务器迁移到 USB 闪存驱动器,只能使用命令行界面。迁移期间,系统支持同时配置这两种密钥管理方法。迁移完成后,您可以禁用原密钥管理方法。

使用管理 GUI

迁移期间,在新方法的配置完成之前,系统不会禁用当前配置的密钥管理方法。因此,仍可以使用当前密钥访问加密数据,直至迁移完成。例如,如果从 USB 闪存驱动器迁移至密钥服务器,那么 USB 闪存驱动器上的旧密钥仍可用,直至完成配置密钥服务器加密。但是,必须先将至少一个包含当前加密密钥的 USB 闪存驱动器插入系统中,之后才可以迁移到密钥服务器。在配置密钥服务器之后,USB 闪存驱动器上的原密钥无法再解密系统上的数据。请根据建议的敏感信息处理过程来处理任何旧 USB 闪存驱动器。对于需要有关 USB 闪存驱动器的严密安全策略的组织,系统支持禁用这些端口以阻止系统数据到便携媒体设备的未经授权传输。在将密钥迁移到密钥服务器后,您可以使用命令行界面来禁用 USB 端口。
注: 管理 GUI 仅支持从 USB 闪存驱动器迁移到密钥服务器加密方法。要从密钥服务器迁移到 USB 闪存驱动器,必须使用命令行界面。
在迁移到基于密钥服务器的加密之前,请确保将至少一个包含当前加密密钥的 USB 闪存驱动器插入系统中。要将加密从 USB 闪存驱动器迁移到密钥服务器,请完成以下步骤:
  1. 在管理 GUI 中,选择设置 > 安全性 > 加密
  2. 加密页面上,验证以下信息:
    1. 展开 USB 闪存驱动器,并验证在系统中是否已配置并检测到 USB 闪存驱动器。
    2. 展开密钥服务器,并验证在系统上是否未配置密钥服务器。
  3. 密钥服务器下,单击配置
  4. 选择 IBM SKLM(带 KMIP)Gemalto SafeNet KeySecure 作为密钥服务器类型。
  5. 输入每个密钥服务器的名称、IP 地址和端口。如果配置多个密钥服务器,那么您指定的第一个密钥服务器是主密钥服务器,其余的将成为辅助密钥服务器。
    注: 如果选择了 IBM SKLM(带 KMIP),并且对密钥服务器配置了一个主密钥服务器和多个辅助密钥服务器,请确保已启用复制,从而保证将密钥分发到所有辅助密钥服务器。
  6. 如果选择了 IBM SKLM(带 KMIP),那么将显示密钥服务器选项页面。选择 SPECTRUM_VIRT 作为密钥服务器的设备组。此外还必须在系统的每个密钥服务器上配置此设备组。
  7. 如果选择了 Gemalto SafeNet KeySecure,那么将显示密钥服务器凭证页面。如果已启用使用用户名和密码的密钥服务器认证,请输入此用户名和密码。这些凭证用于在每次连接到密钥服务器时对系统进行认证。此用户名和密码必须与密钥服务器上配置的凭证相匹配。
  8. 密钥服务器证书页面上,必须将所有必需密钥服务器证书上载到系统。 密钥服务器可使用来自可信第三方的认证中心 (CA) 证书或在密钥服务器上创建的自签名证书。 您也可以在密钥服务器上使用这两种类型的证书。 如果所有密钥服务器证书由相同 CA 进行签名,那么上载根 CA 证书。如果密钥服务器使用自签名证书,那么必须单独将证书上载到系统。 任何自签名证书都优先于系统上针对密钥服务器安装的任何 CA 签署的证书。
  9. 系统加密证书页面上,单击导出公用密钥以将公用密钥下载到系统。 系统加密证书也可以是自签名证书或 CA 证书。这些证书将上载到每个密钥服务器以建立信任,便于系统与个别密钥服务器通信。 如果证书不存在,请选择设置 > 安全 > 安全通信。 在安全通信页面上,选择更新证书以创建或导入证书。 有关更多信息,请参阅有关用于密钥服务器的证书的主题。
  10. 如果选择了 IBM SKLM(带 KMIP)作为密钥服务器类型,那么通过将系统公用密钥添加到每个已配置的密钥服务器上的 SPECTRUM_VIRT 设备组的信任库来复制该密钥。如果选择了 Gemalto SafeNet KeySecure,请确保系统加密证书是 KeySecure 界面上的可信实体。可以使用两种方法将系统加密证书添加为可信实体。您可以导出当前系统加密证书,然后将其添加到可信 CA 列表上的已知认证中心 (CA),或者针对已在可信 CA 列表中列出的第三方认证中心创建新的证书签名请求。如果已为 KeySecure 密钥服务器的证书启用了用户名,那么系统加密证书可能还需要用户名。 有关信息,请参阅密钥服务器的相应文档。
  11. 返回到系统加密证书页面并选择系统公用密钥证书已传输到每个配置的密钥服务器
  12. 禁用 USB 加密面板上,选择,然后单击下一步
  13. 摘要页面上,验证密钥服务器的配置并单击完成。在配置完成后,USB 闪存驱动器上存储的密钥将变为无效。确保您安全地处置所有 USB 闪存驱动器。

使用 CLI

在迁移到基于密钥服务器的加密之前,请确保将至少一个包含当前加密密钥的 USB 闪存驱动器插入系统中。 要从 USB 闪存驱动器迁移到密钥服务器以管理加密密钥,请完成以下步骤:
从 USB 闪存驱动器迁移到 IBM Security Key Lifecycle Manager 密钥服务器
  1. 输入以下命令以验证在系统上是否已启用使用 USB 闪存驱动器的加密:
    lsencryption
  2. 输入以下 CLI 命令以在系统上启用使用密钥服务器的加密:
    chencryption -keyserver enable
  3. 启用密钥服务器类型,并在需要时提供根认证中心 (CA) 证书。
    chkeyserverisklm -enable -sslcert /tmp/rootCA.crt
  4. 创建主密钥服务器并指定密钥服务器证书:
    mkkeyserver -ip ip_address -port port -primary
  5. 如果计划使用多个密钥服务器,请多次输入以下命令以最多再指定三个使用相同密钥服务器证书的辅助密钥服务器:
    mkkeyserver -ip ip_address -port port
  6. 创建系统加密密钥,并将密钥写入指定的密钥服务器:
    chencryption -keyserver newkey -key prepare
    此命令使准备好的密钥成为最新密钥,并将密钥值存储在所有配置的密钥服务器上。
  7. 要验证系统是否准备就绪,请输入以下命令:
    lsencryption
    检查 keyserver_rekey 参数的值是否为 preparedprepared 值指示新密钥已准备好进行落实。
  8. 要落实密钥,请输入以下命令:
    chencryption -keyserver newkey -key commit
  9. 落实密钥服务器的新密钥之后,通过输入以下命令禁用 USB 闪存驱动器的加密:
    chencryption -usb disable
从 USB 闪存驱动器迁移到 Gemalto SafeNet SecureKey 密钥服务器
  1. 输入以下命令以验证在系统上是否已启用使用 USB 闪存驱动器的加密:
    lsencryption
  2. 输入以下 CLI 命令在您的系统上启用加密功能:
    chencryption -keyserver enable
  3. 启用密钥服务器类型,并在需要时提供根认证中心 (CA) 证书。
    chkeyserverkeysecure -enable -sslcert /tmp/rootCA.crt
  4. 如果需要,请配置用于向密钥服务器认证系统的用户名和密码:
    chkeyserverkeysecure -username admin -password 'examplepassword'
  5. 如果需要,请创建主密钥服务器并指定密钥服务器证书:
    mkkeyserver -ip ip_address -port port -sslcert /tmp/ServerCert.crt -primary
  6. 如果需要,请另外创建最多三个辅助密钥服务器并指定密钥服务器证书。
    mkkeyserver -ip ip_address -port port -sslcert /tmp/ServerCert.crt
  7. 在密钥服务器上为系统创建加密密钥:
    chencryption -keyserver newkey -key prepare
    此命令使准备好的密钥成为最新密钥,并将该密钥推送到配置为主密钥服务器的密钥服务器。
  8. 要验证系统是否准备就绪,请输入以下命令:
    lsencryption
    检查 keyserver_rekey 参数的值是否为 preparedprepared 值指示新密钥已准备好进行落实。
  9. 要落实密钥,请输入以下命令:
    chencryption -keyserver newkey -key commit
    此命令使新密钥成为最新密钥,并将其复制到主密钥服务器。
  10. 落实密钥服务器的新密钥之后,通过输入以下命令禁用 USB 闪存驱动器的加密:
    chencryption -usb disable
如果已通过密钥服务器在系统上启用了加密,请确保已将主密钥服务器连接到该系统,并且分发当前的加密密钥。要从密钥服务器迁移至 USB 闪存驱动器以管理加密密钥,请完成以下步骤:
  1. 输入以下命令以验证在系统上是否已启用使用密钥服务器的加密:
    lsencryption
  2. 输入以下 CLI 命令在您的系统上启用加密功能:
    chencryption -usb enable
  3. 确保至少已安装三个 USB 闪存驱动器:
    lsportusb
    检查 status 参数的值是否为 active。 该状态指示 USB 闪存驱动器已插入到节点,且可供系统使用。
  4. 创建系统加密密钥,并将这些密钥写入系统连接的所有 USB 闪存驱动器:
    chencryption -usb newkey -key prepare
  5. 将准备好的密钥落实为最新密钥。 在 usb_rekeylsencryption 值设置为 prepared 并且 USB 加密密钥的数量大于所需的最小数量时,请使用此命令。
    chencryption -usb newkey -key commit

    没有写入 USB 设备的密钥,就不能访问加密对象,且数据将丢失。因此,拥有足够多的密钥副本(用于保障可用性)和额外备份(用于应对灾难情况)至关重要。可通过创 建已创建文件的备份来复制密钥资料。

  6. 落实新密钥后,通过输入以下命令禁用密钥服务器的加密:
    chencryption -keyserver disable