Rechaveando um sistema ativado pela criptografia usando um servidor de chaves

Se você configurou os servidores de chaves para gerenciar chaves de criptografia, poderá gerar novas chaves com os servidores de chaves de criptografia. Rechaveamento é o processo de criação de uma nova chave para o sistema. Para criar uma nova chave, a criptografia deve ser ativada no sistema; entretanto, a operação de rechaveamento funcionará independentemente de haver ou não matrizes criptografados.

É possível usar unidades flash USB ou servidores de chave para ativar a criptografia. Se ambos os métodos de criptografia estiverem configurados em seu sistema, rechaveie completamente um método antes de rechavear o outro método.

Se estiver gerando novas chaves para armazenamento em nuvem, a conta em nuvem deverá estar on-line durante a operação de rechaveamento.

Nota: Para evitar a perda de dados, faça backup dos dados do seu IBM Security Key Lifecycle Manager toda vez que rechavear.

Usando a GUI de gerenciamento

Durante o processo de rechaveamento, o servidor de chaves gera uma nova chave e a existente torna-se obsoleta. Se estiver usando múltiplos servidores de chaves, a operação de rechaveamento ocorrerá somente no servidor de chaves principal. Quaisquer servidores de chaves adicionais ficarão off-line e o sistema relatará um erro com relação a esses servidores de chaves até que a nova chave seja replicada por meio dos servidores de chaves primários para os secundários. Em configurações do IBM Security Key Lifecycle Manager de multimestre, a chave é replicada para terminais de clone instantaneamente, sem qualquer tempo de inatividade nos outros servidores de chaves na configuração. É possível configurar de forma automática ou manual a replicação com o IBM Security Key Lifecycle Manager para os servidores de chaves primário e secundário. A replicação copia chaves de criptografia entre servidores de chaves primários e secundários quando a replicação é planejada no IBM Security Key Lifecycle Manager. Por exemplo, se a replicação for planejada para ocorrer a cada 5 horas e o sistema for rechaveado, os servidores de chaves secundários permanecerão off-line até que ocorra a replicação planejada. Também é possível concluir a replicação manual das chaves do primário para o secundário com o IBM Security Key Lifecycle Manager.

Antes de gerar uma nova chave em todos os servidores de chaves configurados, os servidores de chaves deverão estar on-line e conectados ao sistema. Na GUI de gerenciamento, selecione Configurações > Segurança > Criptografia. Expanda Servidores de chaves para exibir detalhes sobre todos os servidores de chaves configurados no sistema. Verifique se o status dos servidores principais está on-line e disponível para o sistema.

Para rechavear o sistema que usa criptografia do servidor de chaves, conclua estas etapas:
  1. Na GUI de gerenciamento, selecione Configurações > Segurança > Criptografia.
  2. Expanda Servidores de chaves para exibir todos os servidores de chaves configurados no sistema e selecione Rechavear.
  3. Clique em OK no diálogo de mensagem. A chave de criptografia é gerada pelo servidor de chaves primário e copiada no servidor de chaves primário. Se ocorrerem erros durante o processo de rechaveamento, as mensagens de status exibirão os problemas com a cópia ou a criação de uma nova chave. Para determinar e corrigir outros possíveis erros, selecione Monitoramento > Eventos.
  4. Se você configurou vários servidores de chaves, a chave de criptografia será criada somente no servidor de chaves principal. Todos os servidores de chaves adicionais ficarão off-line até que a chave seja replicada por meio do servidor de chaves primário para os outros servidores de chaves com o IBM Security Key Lifecycle Manager. Se o modo multimestre estiver ativado no IBM Security Key Lifecycle Manager, a chave será imediatamente replicada para os outros servidores de chaves na configuração. Para obter mais informações, consulte o IBM Security Key Lifecycle Manager Knowledge Center.
Se você tiver unidades flash USB configuradas além de um servidor de chaves, agora será possível rechavear as unidades flash USB.

Usando a interface da linha de comandos

Antes de gerar uma nova chave em todos os servidores de chaves configurados, os servidores de chaves deverão estar on-line e conectados ao sistema. Na interface da linha de comandos, insira lskeyserver para verificar se os servidores de chaves estão on-line e disponíveis para o sistema.

Para rechavear o sistema que usa servidores de chaves, conclua estas etapas:
  1. Verifique se a criptografia está ativada no sistema inserindo este comando: 
    lsencryption
    Assegure-se de que o status indica que a criptografia está ativada.
  2. Após verificar se a criptografia está ativada, verifique se os servidores de chaves estão on-line e disponíveis inserindo este comando:
    lskeyserver
    Assegure-se de que o status de todos os servidores de chaves disponíveis seja online.
  3. Após verificar se a criptografia está ativada e os servidores de chaves estão on-line, será necessário preparar o sistema para rechavear as chaves de criptografia que estão sendo usadas atualmente no sistema. Para preparar a operação de rechaveamento, insira o comando a seguir:
    chencryption -keyserver newkey -key prepare
    Nota: Esse comando cria a nova chave somente no servidor de chaves primário. Todos os servidores de chaves adicionais entrarão no modo off-line até que a chave seja replicada do servidor de chaves primário para os outros servidores de chaves com o IBM Security Key Lifecycle Manager.
  4. Para verificar se o sistema está preparado, insira o seguinte comando:
    lsencryption
    Verifique se o parâmetro keyserver_rekey tem o valor preparado. O valor prepared indica que a chave nova está pronta para ser consolidada.
  5. Para confirmar a chave, insira o comando a seguir:
    chencryption -keyserver newkey -key commit
    Esse comando torna a chave preparada a chave atual e armazena os valores da chave no servidor de chaves primário.
  6. Verifique se a nova chave é confirmada, inserindo o comando a seguir:
    lsencryption
    Assegure-se de que o valor no parâmetro keyserver_rekey seja no.
  7. Se você configurou vários servidores de chaves, a chave de criptografia será criada somente no servidor de chaves principal. Todos os servidores de chaves adicionais são configurados até que a chave seja replicada para os outros servidores de chave usando o IBM Security Key Lifecycle Manager. Para obter mais informações, consulte o IBM Security Key Lifecycle Manager Knowledge Center.
Se você tiver unidades flash USB configuradas além de um servidor de chaves, agora será possível rechavear as unidades flash USB.
Tópico pai: Gerenciando a criptografia
Conceitos relacionados:
Criptografia
Referências relacionadas:
lsencryption
chencryption
Informações relacionadas:
IBM Security Key Lifecycle Manager