暗号鍵サーバーは、システムで使用される暗号鍵を作成および管理します。 大量のシステムがある環境では、鍵サーバーがリモートで鍵を配布し、システムへの物理アクセスは不要です。
鍵サーバーは、暗号鍵を生成し、保管し、システムに送信する集中型システムです。鍵サーバー・プロバイダーが複数の鍵サーバー間での鍵の複製をサポートしている場合は、パブリック・ネットワークまたは独立したプライベート・ネットワークのいずれかを介してシステムに接続された鍵サーバーを最大 4 つまで指定することができます。
システムでは、IBM Security Key Lifecycle Manager 鍵サーバーを使用した暗号化の有効化がサポートされます。
すべての鍵サーバーを IBM Security Key Lifecycle Manager で構成してから、定義する必要があります。
IBM Security Key Lifecycle Manager では Key Management Interoperability Protocol (KMIP) がサポートされます。これは、保管データの暗号化および暗号鍵の管理に関する標準です。
IBM Security Key Lifecycle Manager を使用すると、システムの管理対象鍵を作成でき、証明書によってそれらの鍵へのアクセスが可能になります。
を使用します。
システムは、IBM Security Key Lifecycle Manager 上で各種タイプの鍵サーバー構成をサポートします。以下の構成がサポートされています。- 1 台の 1 次 (マスター) 鍵サーバーと複数の 2 次鍵サーバー。 IBM Security Key Lifecycle Manager鍵サーバーは、最大 3 台の 2 次鍵サーバー (クローンとも呼ばれる) を定義できる 1 台のマスター鍵サーバーまたは 1 次鍵サーバーを指定します。これらの追加の鍵サーバーは、システムに鍵を送信するときにさらに多くのパスをサポートします。ただし、鍵再設定時には、1 次鍵サーバーへのパスのみが使用されます。システムの鍵再設定が行われると、1 次鍵サーバーが新しい鍵を 2 次鍵サーバーに複製するまでは、2 次鍵サーバーが使用不可になります。鍵を 2 次鍵サーバーに複製するのに要する時間は、複製される鍵および証明書の情報量によって異なります。
2 次鍵サーバーへの複製ごとに、時間がかかります。複製が完了してからでないと、システム上で鍵を使用することはできません。自動複製をスケジュールすることもできますし、IBM Security Key Lifecycle Manager を使用して手動で完了することもできます。複製中は、鍵サーバーを使用して鍵を配布することも、新しい鍵を受け入れたすることもできません。IBM Security Key Lifecycle Manager 上で複製が完了するのに要する合計時間は、クローンとして構成されている鍵サーバーの数によって異なります。複製が手動で起動された場合、IBM Security Key Lifecycle Manager は、複製が完了した時点で完了メッセージを発行します。システム上で鍵を使用する前に、すべての鍵サーバーに複製された鍵および証明書の情報が含まれていることを確認してください。
- 複数のマスター鍵サーバー。鍵サーバーは、各鍵サーバーが新しい暗号鍵を作成できるマルチマスター構成に構成することができます。このインスタンスでは、任意のサーバーを 1 次鍵サーバーとして設定できます。1 次鍵サーバーは、新しい鍵サーバー暗号鍵の作成時にシステムが使用する鍵サーバーです。IBM Security Key Lifecycle Manager でマルチマスター・モードが有効になっている場合、鍵は、構成内の他の鍵サーバーに即時に複製されます。
サポートされるバージョンについて詳しくは、IBM Security Key Lifecycle Manager Knowledge Center を参照してください。
IBM Security Key Lifecycle Manager 鍵サーバー・オブジェクトを作成する場合は、IP アドレス、ポート、証明書、およびデバイス・グループを指定する必要があります。
デバイス・グループは、ストレージ ID、鍵、および鍵グループの集合です。
デバイス・グループを使用すると、大規模なプール内のデバイスのサブセットに対する制限付き管理が可能になります。
デフォルト設定を使用している場合、システムは、鍵サーバー上で SPECTRUM_VIRT デバイス・グループに対して定義する必要があります。SPECTRUM_VIRT デバイス・グループが鍵サーバー上に存在しない場合は、GPFS™ 装置ファミリーに基づいて作成する必要があります。複数の鍵サーバーを構成する場合は、1 次鍵サーバーおよびすべての追加の鍵サーバーで SPECTRUM_VIRT デバイス・グループを定義する必要があります。
暗号化を使用可能にするための前提条件
暗号化を有効にする前に、
IBM Security Key Lifecycle Manager で以下のタスクを実行していることを確認してください。
- Transport Layer Security バージョン 1.2 (TLSv1.2) を使用するように、IBM Security Key Lifecycle Manager を定義します。IBM Security Key Lifecycle Manager のデフォルト設定は TLSv1 ですが、システムはバージョン 1.2 のみをサポートします。IBM Security Key Lifecycle Manager で、値を SSL_TLSv2 に設定します。これは、TLSv1.2 を含むプロトコルのセットです。
- データベース・サービスが始動後に自動的に開始することを確認します。
- IBM Security Key Lifecycle Manager からの有効な SSL 証明書がシステムにインストールされ、使用されていることを確認します。IBM Security Key Lifecycle Manager で自動複製が構成されている場合、この証明書は、一度だけシステムにアップロードする必要があります。ただし、IBM Security Key Lifecycle Manager で自動複製が構成されていない場合は、各スタンドアロン鍵サーバーの証明書をシステムにアップロードする必要があります。
- システム定義に SPECTRUM_VIRT デバイス・グループを指定します。複数の鍵サーバーを構成する場合は、1 次鍵サーバーおよびすべての 2 次鍵サーバーで SPECTRUM_VIRT デバイス・グループを定義する必要があります。
- 現在、USB フラッシュ・ドライブを使用して暗号化が有効になっている場合、USB フラッシュ・ドライブの少なくとも 1 つがシステムに挿入されてからでないと、鍵を管理できるように鍵サーバーを構成することができません。
これらの作業の実行方法について詳しくは、
IBM Security Key Lifecycle Manager Knowledge Center を参照してください。
管理 GUI を使用する場合
鍵サーバーを使用して暗号化を有効にするには、以下の手順を実行します。
- 管理 GUI で、を選択します。
- 「暗号化の有効化」をクリックします。
- 「ようこそ」パネルで、「鍵サーバー」を選択します。「次へ」をクリックします。
注: また、「鍵サーバー」と「USB フラッシュ・ドライブ」の両方を選択し、両方の方式を構成して暗号鍵を管理することもできます。
いずれかの方式が使用できなくなった場合、他方の方式を使用して、システム上の暗号化されたデータにアクセスすることができます。
- 鍵サーバーのタイプとして「IBM SKLM (KMIP 使用)」を選択します。
- 各鍵サーバーの名前、IP アドレス、およびポートを入力します複数の鍵サーバーを構成する場合は、指定する最初の鍵サーバーが 1 次鍵サーバーになり、残りは 2 次鍵サーバーになります。
すべての 2 次鍵サーバーに鍵が確実に配布されるように、IBM Security Key Lifecycle Manager で複製を構成する必要があります。
- 鍵サーバーのデバイス・グループとして「SPECTRUM_VIRT」を選択します。このデバイス・グループは、システムの鍵サーバーのそれぞれにも構成する必要があります。
- 「鍵サーバー証明書」ページで、必要な鍵サーバー証明書をすべてシステムにアップロードする必要があります。
鍵サーバーは、信頼のおける第三者機関からの証明書、自己署名証明書、あるいはそれらの証明書の組み合わせを使用することができます。IBM Security Key Lifecycle Manager サーバーで自動複製が構成されている場合、この証明書は、1 次鍵サーバーからすべての 2 次鍵サーバーにコピーされます。すべての IBM Security Key Lifecycle Manager インスタンスが、同じ鍵サーバー証明書を使用してセキュア接続経由で接続されます。IBM Security Key Lifecycle Manager で複製が使用されている場合、1 つの鍵サーバー証明書のみをインストールする必要があります。IBM Security Key Lifecycle Manager は、この単一の証明書を使用して、相互に鍵を複製します。
自己署名証明書は、鍵サーバー用にシステムにインストールされる CA 署名証明書より優先されます。1 つの証明書のみが使用されており、構成済みのすべての鍵サーバーに自動的に複製される場合、証明書内の「証明書」フィールドで、システムにダウンロードした証明書を選択します。
自動複製が構成されていない場合は、構成済みの鍵サーバーごとに、システムにダウンロードしたすべての有効な証明書を選択します。
「次へ」をクリックする。
- 「システムの暗号化証明書」ページで、「公開鍵のエクスポート」をクリックして公開鍵をシステムにダウンロードします。システム暗号化証明書は自己署名証明書または CA 証明書にもすることができます。これらの証明書は、システムが個々の鍵サーバーと通信するための信頼を確立するために、それぞれの鍵サーバーにアップロードされます。IBM Security Key Lifecycle Manager サーバーで自動複製が構成されている場合、この証明書は、1 次鍵サーバーからすべての 2 次鍵サーバーにコピーされます。すべての IBM Security Key Lifecycle Manager インスタンスが、同じ鍵サーバー証明書を使用してセキュア接続経由で接続されます。IBM Security Key Lifecycle Manager で複製が使用されている場合、1 次鍵サーバーがシステム証明書を他の鍵サーバーに複製します。IBM Security Key Lifecycle Manager サーバーで自動複製が構成されていない場合、システム証明書を各スタンドアロン鍵サーバーにインストールする必要があります。証明書が存在しない場合、を選択します。「セキュア通信」ページで「証明書の更新」を選択し、証明書を作成またはインポートします。証明書について詳しくは、鍵サーバーに使用される証明書に関するトピックを参照してください。
- システムの公開鍵を SPECTRUM_VIRT デバイス・グループのトラストストアに追加することで、その公開鍵を構成済みの各鍵サーバーにコピーします。
詳しくは、IBM®
Security Key Lifecycle Manager Knowledge Center を参照してください。
- 「システムの暗号化証明書」ページに戻り、「システムの公開鍵証明書が各構成済み鍵サーバーに転送されました」を選択します。
- 暗号化方式として USB フラッシュ・ドライブが構成されている場合は、「USB 暗号化の無効化」ページが表示されます。鍵サーバーに移行し、USB フラッシュ・ドライブを無効にする場合は、「はい」を選択します。両方の暗号化方式を同時に構成したい場合は、「いいえ」をクリックします。
- 「次へ」をクリックする。
- 「要約」ページで、鍵サーバーの構成を確認し、「完了」をクリックします。
コマンド・ライン・インターフェースの使用
鍵サーバーを使用して暗号化を有効にするには、以下の手順を実行します。
- ご使用のシステム上で暗号化を有効にするには、以下の CLI コマンドを入力します。
chencryption -keyserver enable
- 鍵サーバー・タイプを有効にし、認証局 (CA) 署名付き証明書を提供します (必要な場合)。
chkeyserverisklm -enable -sslcert /tmp/CASigned.crt
- 以下のようにして、1 次鍵サーバーを作成し、鍵サーバー証明書を指定します。
mkkeyserver -ip ip_address -port port -primary
- 同じ鍵サーバー証明書を使用して、最大 3 台の 2 次鍵サーバーを作成します。
mkkeyserver -ip ip_address -port port
- 以下のように、鍵サーバー上でシステムの暗号鍵を作成します。
chencryption -keyserver newkey -key prepare
このコマンドは、準備された鍵を現行鍵にして、その鍵を 1 次鍵サーバーとして構成された鍵サーバーにプッシュします。
- システムの準備が整っていることを確認するために、以下のコマンドを入力します。
lsencryption
keyserver_rekey パラメーターの値が prepared であることを確認してください。prepared という値は、その新しい鍵がコミットされる準備が整っていることを示します。
- 鍵をコミットするには、次のコマンドを入力します。
chencryption -keyserver newkey -key commit
このコマンドは、この新しい鍵を現行鍵にして、それを 1 次鍵サーバーにコピーします。
