在金鑰管理方法之間移轉

您可以利用管理 GUI 或指令行介面,在根據 USB 快閃記憶體隨身碟和金鑰伺服器的加密之間移轉,而不會引起干擾。 如果要從金鑰伺服器移轉至 USB 快閃記憶體隨身碟,只能使用指令行介面。在移轉期間,系統支援同時配置這兩種金鑰管理方法。移轉完成之後,您可以停用舊的金鑰管理方法。

使用管理 GUI

在移轉期間,要等到新的方法配置完成,系統才會停用目前配置的金鑰管理方法。因此,在完成移轉之前,仍可使用現行金鑰來存取加密的資料。例如,如果您從 USB 快閃記憶體隨身碟移轉至金鑰伺服器,在配置金鑰伺服器加密之前,仍可使用 USB 快閃記憶體隨身碟上的舊金鑰。不過,系統上必須插入至少一個含有現行加密金鑰的 USB 快閃記憶體隨身碟,才能移轉到金鑰伺服器。配置金鑰伺服器之後,USB 快閃記憶體隨身碟上的舊金鑰就無法再將系統上的資料解密。請根據處置機密性資訊的建議程序,處置任何舊的 USB 快閃記憶體隨身碟。對於在 USB 快閃記憶體隨身碟方面需要嚴密安全原則的組織,系統支援停用這些埠,以避免在未獲授權的情況下將系統資料傳送至可攜式媒體裝置。將金鑰移轉至金鑰伺服器之後,您可以使用指令行介面來停用 USB 埠。
註: 管理 GUI 僅支援從 USB 快閃記憶體隨身碟移轉至金鑰伺服器加密方法。如果要從金鑰伺服器移轉至 USB 快閃記憶體隨身碟,您必須使用指令行介面。
移轉到金鑰伺服器型加密之前,請確定系統上插入至少一個含有現行加密金鑰的 USB 快閃記憶體隨身碟。如果要從 USB 快閃記憶體隨身碟加密移轉至金鑰伺服器加密,請完成下列步驟:
  1. 在管理 GUI 中,選取設定 > 安全性 > 加密
  2. 加密頁面上,驗證下列資訊:
    1. 展開 USB 快閃記憶體隨身碟,驗證系統中已配置並偵測到 USB 快閃記憶體隨身碟。
    2. 展開金鑰伺服器,驗證系統上未配置金鑰伺服器。
  3. 金鑰伺服器下,按一下配置
  4. 選取 IBM SKLM(帶 KMIP)Gemalto SafeNet KeySecure 作為金鑰伺服器類型。
  5. 輸入每個金鑰伺服器的名稱、IP 位址和埠。如果配置多個金鑰伺服器,您指定的第一個金鑰伺服器是主要金鑰伺服器,其餘的會成為次要金鑰伺服器。
    註: 如果您選取 IBM SKLM(含 KMIP),且金鑰伺服器配置一個主要和多個次要金鑰伺服器,請確定已啟用抄寫,以確保金鑰會配送至所有次要金鑰伺服器。
  6. 如果選取了 IBM SKLM(帶 KMIP),則將顯示金鑰伺服器選項頁面。選取 SPECTRUM_VIRT 作為金鑰伺服器的裝置群組。還必須在系統的每一個金鑰伺服器上配置這個裝置群組。
  7. 如果選取了 Gemalto SafeNet KeySecure,則將顯示金鑰伺服器憑證頁面。如果已啟用使用使用者名稱和密碼的金鑰伺服器鑑別,請輸入此使用者名稱和密碼。系統每次連接到金鑰伺服器時,會用這些認證來鑑別系統。此使用者名稱和密碼必須與金鑰伺服器上配置的憑證相符合。
  8. 金鑰伺服器憑證頁面中,您必須將所有必要的金鑰伺服器憑證上傳至系統。金鑰伺服器可以使用具公信力第三者發行的憑證管理中心 (CA) 憑證,或金鑰伺服器上建立的自簽憑證。您也可以在金鑰伺服器上同時使用這兩種憑證。如果所有金鑰伺服器憑證都是由同一 CA 簽署,請上傳主要 CA 憑證。 如果金鑰伺服器使用自簽憑證,則必須另外將這些憑證上傳至系統。任何自簽憑證都優先於系統上為金鑰伺服器所安裝的任何 CA 簽章憑證。
  9. 系統加密憑證頁面中,按一下匯出公開金鑰,將公開金鑰下載至系統。系統加密憑證也可以是自簽憑證或 CA 憑證。這些憑證會上傳至每一個金鑰伺服器,讓系統信任與個別金鑰伺服器之間的通訊。如果憑證不存在,請選取設定 > 安全 > 安全通訊。在安全通訊頁面上,選取更新憑證來建立或匯入憑證。如需相關資訊,請參閱與用於金鑰伺服器的憑證相關的主題。
  10. 如果選取了 IBM SKLM(帶 KMIP)作為金鑰伺服器類型,則透過將系統公開金鑰新增到每個已配置的金鑰伺服器上的 SPECTRUM_VIRT 裝置群組的信任儲存庫來複製該金鑰。如果選擇了 Gemalto SafeNet KeySecure,請確保系統加密憑證是 KeySecure 介面上的授信實體。您可以使用兩種方法來將系統加密憑證新增為授信實體。您可以匯出現行系統加密憑證,然後將其新增到可信 CA 清單上的已知憑證管理中心 (CA),或者針對已在可信 CA 清單中列出的第三方憑證管理中心建立新的憑證簽名要求。如果已針對 KeySecure 金鑰伺服器的憑證啟用使用者名稱,則系統加密憑證也可能需要使用者名稱。 有關資訊,請參閱金鑰伺服器的相應文件。
  11. 回到系統加密憑證頁面,選取系統的公開金鑰憑證已傳送至每一個已配置的金鑰伺服器
  12. 停用 USB 加密畫面上,選取並按下一步
  13. 摘要頁面上,驗證金鑰伺服器的配置,然後按一下完成。配置完成之後,儲存在 USB 快閃記憶體隨身碟上的金鑰就無效。務必安全地處置所有 USB 快閃記憶體隨身碟。

使用 CLI

移轉到金鑰伺服器型加密之前,請確定系統上插入至少一個含有現行加密金鑰的 USB 快閃記憶體隨身碟。如果要從 USB 快閃記憶體隨身碟移轉至金鑰伺服器,以管理加密金鑰,請完成下列步驟:
從 USB 快閃記憶體磁碟機移轉到 IBM Security Key Lifecycle Manager 金鑰伺服器
  1. 輸入下列指令,驗證已在系統上對 USB 快閃記憶體隨身碟啟用加密:
    lsencryption
  2. 輸入下列 CLI 指令,以便在系統上啟用金鑰伺服器加密:
    chencryption -keyserver enable
  3. 啟用金鑰伺服器類型,並提供主要憑證管理中心 (CA) 憑證(如果需要的話):
    chkeyserverisklm -enable -sslcert /tmp/rootCA.crt
  4. 建立主要金鑰伺服器並指定金鑰伺服器憑證:
    mkkeyserver -ip ip_address -port port -primary
  5. 如果您打算使用多部金鑰伺服器,請多次輸入下列指令,以便指定使用相同金鑰伺服器憑證的次要金鑰伺服器(最多指定三部):
    mkkeyserver -ip ip_address -port port
  6. 建立系統加密金鑰,並將金鑰寫入指定的金鑰伺服器:
    chencryption -keyserver newkey -key prepare
    這個指令會將備妥的金鑰變成現行金鑰,並將金鑰值儲存在所有已配置的金鑰伺服器上。
  7. 如果要驗證系統已備妥,請輸入下列指令:
    lsencryption
    檢查 keyserver_rekey 參數的值為 preparedprepared 值指出新的金鑰已備妥可確定。
  8. 如果要確定金鑰,請輸入下列指令:
    chencryption -keyserver newkey -key commit
  9. 確定金鑰伺服器的新金鑰之後,請輸入下列指令,停用 USB 快閃記憶體隨身碟的加密:
    chencryption -usb disable
從 USB 快閃記憶體隨身碟移轉到 Gemalto SafeNet SecureKey 金鑰伺服器
  1. 輸入下列指令,驗證已在系統上對 USB 快閃記憶體隨身碟啟用加密:
    lsencryption
  2. 輸入下列 CLI 指令,在系統上啟用加密:
    chencryption -keyserver enable
  3. 啟用金鑰伺服器類型,並提供主要憑證管理中心 (CA) 憑證(如果需要的話):
    chkeyserverkeysecure -enable -sslcert /tmp/rootCA.crt
  4. 如果需要,請配置用於向金鑰伺服器認證系統的使用者名稱和密碼:
    chkeyserverkeysecure -username admin -password 'examplepassword'
  5. 如果需要,可建立主要金鑰伺服器並指定金鑰伺服器憑證:
    mkkeyserver -ip ip_address -port port -sslcert /tmp/ServerCert.crt -primary
  6. 如果需要,請另外建立最多三個次要金鑰伺服器並指定金鑰伺服器憑證。
    mkkeyserver -ip ip_address -port port -sslcert /tmp/ServerCert.crt
  7. 在金鑰伺服器上建立系統的加密金鑰:
    chencryption -keyserver newkey -key prepare
    這個指令會將備妥的金鑰變成現行金鑰,並將金鑰推送到配置為主要金鑰伺服器的金鑰伺服器。
  8. 如果要驗證系統已備妥,請輸入下列指令:
    lsencryption
    檢查 keyserver_rekey 參數的值為 preparedprepared 值指出新的金鑰已備妥可確定。
  9. 如果要確定金鑰,請輸入下列指令:
    chencryption -keyserver newkey -key commit
    這個指令會將新的金鑰變成現行金鑰,並將金鑰複製到主要金鑰伺服器。
  10. 確定金鑰伺服器的新金鑰之後,請輸入下列指令,停用 USB 快閃記憶體隨身碟的加密:
    chencryption -usb disable
如果已在系統上啟用金鑰伺服器加密,請確定已將主要金鑰伺服器連接至該系統,並已配送現行的加密金鑰。如果要從金鑰伺服器移轉至 USB 快閃記憶體隨身碟,以管理加密金鑰,請完成下列步驟:
  1. 輸入下列指令,驗證已在系統上啟用金鑰伺服器加密:
    lsencryption
  2. 輸入下列 CLI 指令,在系統上啟用加密:
    chencryption -usb enable
  3. 請確定已安裝至少三個 USB 快閃記憶體隨身碟: 
    lsportusb
    檢查 status 參數的值為 active。 這個狀態表示 USB 快閃記憶體隨身碟已插在節點上,可供系統使用。
  4. 建立系統加密金鑰,並將這些金鑰寫入系統連接的所有 USB 快閃記憶體隨身碟:
    chencryption -usb newkey -key prepare
  5. 確定所準備的金鑰是現行金鑰。 當 usb_rekeylsencryption 值設為 prepared,且 USB 加密金鑰數目大於所需的最少數目時,請使用這個指令。
    chencryption -usb newkey -key commit

    如果金鑰未寫入至 USB 裝置,則無法存取加密的物件,且資料會遺失。基於可用性及災難發生時有額外的備份可用,準備足夠的金鑰副本非常重要。您可以從已建立的檔案製作備份,以複製金鑰資料。

  6. 確定新金鑰之後,請輸入下列指令,停用金鑰伺服器的加密:
    chencryption -keyserver disable