鍵サーバーによる暗号化の有効化

暗号鍵サーバーは、システムで使用される暗号鍵を作成および管理します。

鍵サーバーは、暗号鍵を受け取ってシステムに配布する集中型のサーバーまたはアプリケーションです。 システムは、パブリック・ネットワークまたは別個のプライベート・ネットワークのどちらを介しても鍵サーバーに接続することができます。

システムでは、IBM Security Key Lifecycle Manager 鍵サーバーでの暗号化の有効化がサポートされます。 システムで鍵サーバー・オブジェクトを作成するには、事前に鍵サーバーを構成する必要があります。IBM Security Key Lifecycle Manager では Key Management Interoperability Protocol (KMIP) がサポートされます。これは、保管データの暗号化および暗号鍵の管理に関する標準です。 IBM Security Key Lifecycle Manager を使用すると、システムの管理対象鍵を作成でき、証明書によってそれらの鍵へのアクセスが可能になります。

IBM Security Key Lifecycle Manager 鍵サーバー・オブジェクトを作成する場合は、IP アドレス、ポート、証明書、およびデバイス・グループを指定する必要があります。 デバイス・グループは、ストレージ ID、鍵、および鍵グループの集合です。 デバイス・グループを使用すると、大規模なプール内のデバイスのサブセットに対する制限付き管理が可能になります。 システムは、鍵サーバー上で SPECTRUM_VIRT デバイス・グループに対して定義する必要があります。SPECTRUM_VIRT デバイス・グループが鍵サーバー上に存在しない場合は、GPFS 装置ファミリーに基づいて作成する必要があります。

暗号化を有効にする前に、IBM Security Key Lifecycle Manager で以下のタスクを実行していることを確認してください。
  1. Transport Layer Security バージョン 2 (TLSv2) を使用するように、IBM Security Key Lifecycle Manager を定義します。IBM Security Key Lifecycle Manager のデフォルト設定は TLSv1 ですが、システムはバージョン 2 のみをサポートします。
  2. データベース・サービスが始動後に自動的に開始することを確認します。
  3. 有効な SSL 証明書がインストール済みで使用中であることを確認します。
  4. システム定義に SPECTRUM_VIRT デバイス・グループを指定します。
これらの作業の実行方法について詳しくは、IBM Security Key Lifecycle Manager Knowledge Center を参照してください。

管理 GUI を使用する場合

鍵サーバーを使用して暗号化を有効にするには、以下の手順を実行します。
  1. 管理 GUI で、「設定」 > 「セキュリティー」 > 「暗号化」を選択します。
  2. 「暗号化の有効化」をクリックします。
  3. 「ようこそ」パネルで、「鍵サーバー」を選択します。「次へ」をクリックします。
  4. 鍵サーバーのタイプとして「IBM SKLM (KMIP 使用)」を選択します。
  5. 鍵サーバーの IP アドレスとポートを入力します。
  6. 鍵サーバーのデバイス・グループとして「SPECTRUM_VIRT」を選択します。システムではこのデバイス・グループも鍵サーバーで構成する必要があります。
  7. 「鍵サーバー証明書」ページで、必要な鍵サーバー証明書をすべてシステムにアップロードする必要があります。 鍵サーバーは、認証局 (CA) と呼ばれる信頼のおける第三者機関からの証明書を使用するか、鍵サーバーで作成された自己署名証明書を使用するか、または両方のタイプの証明書を使用できます。複数の鍵サーバーが構成され、同じ CA 証明書を使用する場合、すべての鍵サーバーに対応する単一の CA 署名証明書をアップロードしてください。鍵サーバーが自己署名証明書を使用する場合、それらの証明書はシステムに別途アップロードされなければなりません。自己署名証明書は、鍵サーバー用にシステムにインストールされる CA 署名証明書より優先されます。
  8. 「システムの暗号化証明書」ページで、「公開鍵のエクスポート」をクリックして公開鍵をシステムにダウンロードします。システム暗号化証明書は自己署名証明書または CA 証明書にもすることができます。これらの証明書は、システムが鍵サーバーと通信するための信頼を確立するために、鍵サーバーにアップロードされます。証明書が存在しない場合、「設定」 > 「セキュリティー」 > 「セキュア通信」を選択します。鍵サーバー証明書とシステム暗号化証明書については、鍵サーバーに使用される証明書に関するトピックを参照してください。
  9. システムの公開鍵を信頼された証明書として各構成済み鍵サーバーにコピーします。詳しくは、IBM Security Key Lifecycle Manager Knowledge Center を参照してください。
  10. 「システムの暗号化証明書」ページに戻り、「システムの公開鍵証明書が各構成済み鍵サーバーに転送されました」を選択します。
  11. 「要約」ページで、鍵サーバーの構成を確認し、「完了」をクリックします。

コマンド・ライン・インターフェースの使用

鍵サーバーを使用して暗号化を有効にするには、以下の手順を実行します。
  1. ご使用のシステム上で暗号化を有効にするには、以下の CLI コマンドを入力します。
    chencryption -keyserver enable
  2. 鍵サーバー・タイプを有効にし、認証局 (CA) 署名付き証明書を提供します (必要な場合)。
    chkeyserverisklm -enable -sslcert /tmp/CASigned.crt
  3. 鍵サーバー証明書を指定して、鍵サーバー・オブジェクトを作成します。
    mkkeyserver -ip ip_address -port port -sslcert /tmp/self-signed.crt -primary
  4. システム暗号鍵を作成し、その鍵を指定の鍵サーバーに書き込みます。
    chencryption -keyserver newkey -key prepare
  5. システムが準備済みで鍵が鍵サーバーにコピーされたことを確認するためには、次のコマンドを入力します。
    lsencryption
    keyserver_rekey パラメーターの値が prepared であることを確認してください。prepared という値は、その新しい鍵がコミットされる準備が整っていることを示します。
  6. 鍵をコミットするには、次のコマンドを入力します。
    chencryption -keyserver newkey -key commit
    このコマンドは、準備された鍵を現行鍵にして、鍵の値を構成済みのすべての鍵サーバーに保管します。
親トピック: 暗号化の有効化
関連概念:
鍵サーバーを使用した暗号化対応システムの鍵再設定
暗号鍵サーバーに使用される証明書
関連情報:
IBM Security Key Lifecycle Manager
暗号化の無効化