如果已使用 USB 闪存驱动器配置了加密功能,可创建新密钥并将其存储在 USB 闪存驱动器上。再加密是为系统创建新密钥的过程。要创建新密钥,必须在系统上启用加密;但是,无论是否有加密对象,再加密操作都会正常运行。如果系统上配置了两种加密方法,请先对一种方法进行完全再加密,然后再对另一种方法进行再加密。
在创建新密钥之前,请确保至少有一个 USB 端口插入了包含当前密钥的 USB 闪存驱动器。 执行再加密过程期间,会生成新密钥并将其复制到 USB 闪存驱动器。然后,系统会使用新密钥以代替当前密钥。除非至少有一个 USB
闪存驱动器包含当前密钥,否则再加密操作将失败。要对系统进行再加密,至少需要三个 USB 闪存驱动器来存储所复制的密钥材料。
使用管理 GUI
要在管理 GUI 中再加密系统,请完成以下步骤:
- 在管理 GUI 中,选择。确认可访问该加密密钥,这表示 USB 闪存驱动器中至少有一个包含当前密钥。将其他 USB 闪存驱动器插入节点上的剩余端口中。这样会显示可用端口,以指示哪些端口中需要插入 USB 闪存驱动器。
- 展开 USB 闪存驱动器以显示系统上检测到的所有 USB 闪存驱动器并选择再加密。
- 当系统检测到所需数目的 USB 闪存驱动器(其中至少有一个驱动器包含现有密钥)时,会生成新密钥并将其复制到 USB 闪存驱动器。在创建密钥后单击落实以完成再加密操作。如果再加密过程中发生了错误,那么状态消息会显示在复制或创建新密钥时出现问题。例如,如果插入最小数目的 USB 驱动器,但其中不包含现有加密密钥,那么再加密操作将失败。要确定并纠正可能存在的其他错误,请选择。
注: 如果除了 USB 闪存驱动器之外还配置了密钥服务器,那么现在可以对密钥服务器再加密。
使用命令行界面
要在命令行界面中再加密系统,请完成以下步骤:
- 输入以下命令以验证系统上是否启用加密功能:
lsencryption
确保状态指示已启用加密功能。
- 在确认已启用加密功能后,您需要准备系统以对系统上当前使用的加密密钥进行再加密。 确保包含当前密钥的 USB 闪存驱动器中至少有一个已插入配置节点中。必须提供最新密钥;否则再加密过程将失败。将其他 USB 闪存驱动器插入系统后部的剩余 USB 端口中。要准备再加密操作并将新密钥复制到系统上所有已插入的 USB 闪存驱动器,请输入以下命令:
chencryption -usb newkey -key prepare
此命令确认 USB 闪存驱动器中至少有一个包含当前加密密钥。它还会为系统生成新的加密密钥并将该密钥复制到系统上插入的所有 USB 闪存驱动器中。您可以选择生成额外的加密密钥副本来作为备份,以供 USB 闪存驱动器丢失或损坏时使用。
- 要落实密钥,请输入以下命令:
chencryption
-usb newkey -key commit
此命令使准备好的密钥成为最新密钥,并将密钥值存储在 USB 闪存驱动器上。
- 输入以下命令以验证是否已落实新密钥:
lsencryption
确保 usb_rekey 参数中的值为 no,并且 usb_key_copies 的值大小至少为带密钥副本的必需 USB 闪存驱动器数。系统至少需要三个 USB 闪存驱动器,每个闪存驱动器都含有一个密钥副本。建议制作额外的密钥副本,并将其安全存储。