暗号鍵を管理するように鍵サーバーを構成した場合は、暗号鍵サーバーを使用して新しい鍵を生成できます。鍵再設定とは、システムの鍵を新規作成するプロセスのことです。鍵を新規作成するには、システム上で暗号化が有効になっている必要があります。ただし、鍵再設定操作は、暗号化されたオブジェクトの有無に関係なく、可能です。
USB フラッシュ・ドライブまたは鍵サーバーを使用して暗号化を有効にすることができます。ご使用のシステムで両方の暗号化方式が構成されている場合、一方の方式の鍵をすべて再設定してから、他方の方式の鍵の再設定を行ってください。
クラウド・ストレージの新規鍵を生成する場合、鍵再設定の操作中はクラウド・アカウントがオンラインでなければなりません。
注: データ損失を防ぐため、鍵再設定を実行するたびに IBM Security Key Lifecycle Manager のバックアップを取ってください。
管理 GUI を使用する場合
鍵再設定プロセス中、鍵サーバーが新しい鍵を生成し、既存の鍵は使用できなくなります。複数の鍵サーバーを使用する場合、鍵再設定操作は 1 次鍵サーバーのみで行われます。追加の鍵サーバーはいずれもオフラインになり、システムは、1 次鍵サーバーから 2 次鍵サーバーへ新しい鍵が複製されるまで、それらの鍵サーバーに対してエラーを報告します。マルチマスター IBM Security Key Lifecycle Manager 構成では、鍵は、構成内の他の鍵サーバーでダウン時間なしで即時にクローン・エンドポイントに複製されます。IBM Security Key Lifecycle Manager を使用して、1 次鍵サーバーおよび 2 次鍵サーバーの複製を自動的または手動で構成することができます。IBM Security Key Lifecycle Manager 上で複製がスケジュールされているときは、複製により、1 次鍵サーバーと 2 次鍵サーバーの間で暗号鍵がコピーされます。例えば、複製が 5 時間ごとに発生するようスケジュールされていて、システムの鍵再設定が行われた場合、2 次鍵サーバーはスケジュールされた複製が行われるまでオフラインのままになります。IBM Security Key Lifecycle Manager を使用して、1 次鍵サーバーから 2 次鍵サーバーへ鍵を手動で複製することもできます。
すべての構成済み鍵サーバーで新しい鍵を生成する前に、鍵サーバーをオンラインにし、システムに接続する必要があります。管理 GUI で、を選択します。「鍵サーバー」を展開して、システム上のすべての構成済み鍵サーバーの詳細を表示します。
鍵サーバーの状況がオンラインであり、システムで使用可能になっていることを確認します。
鍵サーバー暗号化を使用するシステムで鍵再設定を行うには、以下のステップを実行します。
- 管理 GUI で、を選択します。
- 「鍵サーバー」を展開し、システム上のすべての構成済み鍵サーバーを表示し、「鍵再設定」を選択します。
- メッセージ・ダイアログで「OK」をクリックします。暗号鍵は 1 次鍵サーバーによって生成され、1 次鍵サーバーにコピーされます。鍵再設定プロセスでエラーが発生した場合、状況メッセージにより、新しい鍵のコピーまたは作成での問題が表示されます。他に考えられるエラーを判別および修正するには、を選択します。
- 複数の鍵サーバーを構成した場合、暗号鍵は 1 次鍵サーバーにのみ作成されます。
IBM Security Key Lifecycle Manager を使用して鍵が 1 次鍵サーバーから他の鍵サーバーに複製されるまでは、追加の鍵サーバーはすべてオフラインになります。IBM Security Key Lifecycle Manager でマルチマスター・モードが有効になっている場合、鍵は、構成内の他の鍵サーバーに即時に複製されます。詳しくは、IBM Security Key Lifecycle Manager Knowledge Center を参照してください。
鍵サーバーに加えて USB フラッシュ・ドライブも構成されている場合は、USB フラッシュ・ドライブの鍵再設定が可能になりました。コマンド・ライン・インターフェースの使用
すべての構成済み鍵サーバーで新しい鍵を生成する前に、鍵サーバーをオンラインにし、システムに接続する必要があります。コマンド・ライン・インターフェースで、lskeyserver を入力して、鍵サーバーがオンラインであり、システムから使用可能であるかどうかを確認します。
鍵サーバーを使用するシステムを鍵再設定するには、以下の手順を実行します。
- 次のコマンドを入力して、システム上で暗号化が有効になっていることを確認します。
lsencryption
暗号化が有効であることを状況が示していることを確認します。
- 暗号化が有効になっていることを確認した後、次のコマンドを入力して、鍵サーバーがオンラインであり、使用可能であることを確認します。
lskeyserver
使用可能なすべての鍵サーバーの状況が online であることを確認します。
- 暗号化が有効であり、鍵サーバーがオンラインであることを確認した後、システム上で現在使用されている暗号鍵の鍵再設定をするために、システムを準備する必要があります。鍵再設定操作を準備するには、次のコマンドを入力します。
chencryption -keyserver newkey -key prepare
注: このコマンドは、1 次鍵サーバー上にのみ新しい鍵を作成します。IBM Security Key Lifecycle Manager を使用して鍵が 1 次鍵サーバーから他の鍵サーバーに複製されるまでは、追加の鍵サーバーはすべてオフラインになります。
- システムの準備が整っていることを確認するために、以下のコマンドを入力します。
lsencryption
keyserver_rekey パラメーターの値が prepared であることを確認してください。prepared という値は、その新しい鍵がコミットされる準備が整っていることを示します。
- 鍵をコミットするには、次のコマンドを入力します。
chencryption -keyserver newkey -key commit
このコマンドは、準備された鍵を現行鍵にして、鍵の値を 1 次鍵サーバーに保管します。
- 次のコマンドを入力して、新しい鍵がコミットされたことを確認します。
lsencryption
keyserver_rekey パラメーターの値が no であることを確認します。
- 複数の鍵サーバーを構成した場合、暗号鍵は 1 次鍵サーバーにのみ作成されます。
IBM Security Key Lifecycle Manager を使用して鍵が他の鍵サーバーに複製されるまでは、構成済みの追加の鍵サーバーはすべてオフラインになります。詳しくは、IBM Security Key Lifecycle Manager Knowledge Center を参照してください。
鍵サーバーに加えて USB フラッシュ・ドライブも構成されている場合は、USB フラッシュ・ドライブの鍵再設定が可能になりました。
