鍵管理方式間のマイグレーション

管理 GUI またはコマンド・ライン・インターフェースを使用して、USB フラッシュ・ドライブ・ベースの暗号化と鍵サーバー・ベースの暗号化の間で中断なく移行することができます。鍵サーバーから USB フラッシュ・ドライブに移行する場合は、コマンド・ライン・インターフェースのみを使用します。移行中は、システムは両方の鍵管理方式が同時に構成されている状態をサポートします。 移行が完了したら、古い鍵管理方式を無効にすることができます。

管理 GUI を使用する場合

移行中は、新規の方式の構成が完了するまで、システムは現在構成されている鍵管理方式を無効にしません。したがって、移行が完了するまでは、暗号化済みのデータに現行鍵でアクセスすることができます。 例えば、USB フラッシュ・ドライブから鍵サーバーに移行する場合、USB フラッシュ・ドライブ上の古い鍵は、鍵サーバー暗号化が構成されるまでは使用可能です。 ただし、現行の暗号鍵が入っている USB フラッシュ・ドライブを少なくとも 1 つシステムに挿入してから、鍵サーバーに移行する必要があります。鍵サーバーが構成された後は、USB フラッシュ・ドライブ上の古い鍵はシステム上のデータを暗号化解除できなくなります。機密情報の処理に関する推奨手順に従って、古い USB フラッシュ・ドライブを処理してください。 USB フラッシュ・ドライブについて厳しいセキュリティー・ポリシーを必要とする組織の場合、携帯用メディア装置へのシステム・データの無許可の転送を防止するために、システムはこれらのポートの無効化をサポートします。鍵が鍵サーバーへ移行された後、コマンド・ライン・インターフェースを使用して USB ポートを無効化することができます。
注: 管理 GUI は、USB フラッシュ・ドライブ暗号化方式から鍵サーバー暗号化方式への移行のみをサポートします。 鍵サーバーから USB フラッシュ・ドライブに移行するには、コマンド・ライン・インターフェースを使用する必要があります。
鍵サーバー・ベースの暗号化に移行する前に、現行暗号鍵が入っている USB フラッシュ・ドライブが少なくとも 1 つ、システムに挿入されていることを確認してください。USB フラッシュ・ドライブから鍵サーバーに暗号化を移行するには、以下のステップを実行します。
  1. 管理 GUI で、「設定」 > 「セキュリティー」 > 「暗号化」を選択します。
  2. 「暗号化」ページで、以下の情報を確認します。
    1. 「USB フラッシュ・ドライブ」を展開し、USB フラッシュ・ドライブがシステム内で構成および検出されていることを確認します。
    2. 「鍵サーバー」を展開し、システム上で鍵サーバーが構成されていないことを確認します。
  3. 「鍵サーバー」の下で「構成」をクリックします。
  4. 鍵サーバーのタイプとして「IBM SKLM (KMIP 使用)」または「Gemalto SafeNet KeySecure」を選択します。
  5. 各鍵サーバーの名前、IP アドレス、およびポートを入力します。複数の鍵サーバーを構成する場合は、指定する最初の鍵サーバーが 1 次鍵サーバーになり、残りは 2 次鍵サーバーになります。
    注: 「IBM SKLM (KMIP 使用)」を選択していて、鍵サーバーが 1 つの 1 次鍵サーバーと複数の 2 次鍵サーバーで構成されている場合、鍵がすべての 2 次鍵サーバーに複製されるように、複製が有効になっていることを確認してください。
  6. 「IBM SKLM (KMIP 使用)」を選択した場合、「鍵サーバーのオプション」ページが表示されます。鍵サーバーのデバイス・グループとして「SPECTRUM_VIRT」を選択します。このデバイス・グループは、システムの鍵サーバーのそれぞれにも構成する必要があります。
  7. 「Gemalto SafeNet KeySecure」を選択した場合、「鍵サーバー資格情報」ページが表示されます。ユーザー名とパスワードを使用する鍵サーバーへの認証を有効にした場合は、そのユーザー名とパスワードを入力します。これらの資格情報は、システムが鍵サーバーに接続するたびにシステムの認証に使用されます。ユーザー名とパスワードは、鍵サーバー上で構成されている資格情報と一致している必要があります。
  8. 「鍵サーバー証明書」ページで、必要な鍵サーバー証明書をすべてシステムにアップロードする必要があります。 鍵サーバーは、信頼のおける第三者機関からの認証局 (CA) 証明書または鍵サーバー上で作成された自己署名証明書を使用することができます。 また、これらの両方のタイプの証明書を鍵サーバーで使用することもできます。 すべての鍵サーバー証明書が同じ CA によって署名されている場合は、ルート CA 証明書をアップロードします。鍵サーバーが自己署名証明書を使用する場合、それらの証明書はシステムに別途アップロードされなければなりません。 自己署名証明書は、鍵サーバー用にシステムにインストールされる CA 署名証明書より優先されます。
  9. 「システムの暗号化証明書」ページで、「公開鍵のエクスポート」をクリックして公開鍵をシステムにダウンロードします。システム暗号化証明書は自己署名証明書または CA 証明書にもすることができます。これらの証明書は、システムが個々の鍵サーバーと通信するための信頼を確立するために、各鍵サーバーにアップロードされます。証明書が存在しない場合、「設定」 > 「セキュリティー」 > 「セキュア通信」を選択します。「セキュア通信」ページで「証明書の更新」を選択し、証明書を作成またはインポートします。詳しくは、鍵サーバーで使用される証明書に関するトピックを参照してください。
  10. 鍵サーバー・タイプとして「IBM SKLM (KMIP 使用)」を選択した場合、構成済みの各鍵サーバー上の SPECTRUM_VIRT デバイス・グループのトラストストアにシステムの公開鍵を追加してコピーします。「Gemalto SafeNet KeySecure」を選択した場合は、KeySecure インターフェースでシステムの暗号化証明書が信頼されたエンティティーであることを確認します。システムの暗号化証明書を信頼できるエンティティーとして追加するには、2 つの方式を使用することができます。現行のシステムの暗号化証明書をエクスポートしてから、「トラステッド CA リスト」の既知の認証局 (CA) に追加するか、「トラステッド CA リスト」に既にリストされているサード・パーティー認証局に対する新規の証明書署名要求を作成することができます。KeySecure 鍵サーバーの証明書に対してユーザー名が有効になっている場合は、システム暗号化証明書にユーザー名が必要になることもあります。 詳細については、ご使用の鍵サーバーに該当する資料を参照してください。
  11. 「システムの暗号化証明書」ページに戻り、「システムの公開鍵証明書が各構成済み鍵サーバーに転送されました」を選択します。
  12. 「USB 暗号化の無効化」パネルで、「はい」を選択して「次へ」をクリックします。
  13. 「要約」ページで、鍵サーバーの構成を確認し、「完了」をクリックします。構成が完了すると、USB フラッシュ・ドライブに保管されていた鍵は無効になります。 すべての USB フラッシュ・ドライブをセキュアに処理してください。

CLI の使用

鍵サーバー・ベースの暗号化に移行する前に、現行暗号鍵が入っている USB フラッシュ・ドライブが少なくとも 1 つ、システムに挿入されていることを確認してください。 USB フラッシュ・ドライブから鍵サーバーに移行して暗号鍵を管理するには、以下のステップを実行します。
USB フラッシュ・ドライブから IBM Security Key Lifecycle Manager 鍵サーバーへの移行
  1. USB フラッシュ・ドライブを使用するシステム上で暗号化が有効になっていることを確認するには、次のコマンドを入力します。 
    lsencryption
  2. ご使用のシステム上で鍵サーバーを使用した暗号化を有効にするには、次の CLI コマンドを入力します。 
    chencryption -keyserver enable
  3. 鍵サーバー・タイプを有効にし、ルート認証局 (CA) 証明書を提供します (必要な場合)。
    chkeyserverisklm -enable -sslcert /tmp/rootCA.crt
  4. 以下のようにして、1 次鍵サーバーを作成し、鍵サーバー証明書を指定します。
    mkkeyserver -ip ip_address -port port -primary
  5. 複数の鍵サーバーを使用する予定の場合は、次のコマンドを複数回入力して、同じ鍵サーバー証明書を使用する追加の 2 次鍵サーバーを最大 3 つまで指定します。 
    mkkeyserver -ip ip_address -port port
  6. システム暗号鍵を作成し、その鍵を指定の鍵サーバーに書き込みます。
    chencryption -keyserver newkey -key prepare
    このコマンドは、準備された鍵を現行鍵にして、鍵の値を構成済みのすべての鍵サーバーに保管します。
  7. システムの準備が整っていることを確認するために、以下のコマンドを入力します。
    lsencryption
    keyserver_rekey パラメーターの値が prepared であることを確認してください。prepared という値は、その新しい鍵がコミットされる準備が整っていることを示します。
  8. 鍵をコミットするには、次のコマンドを入力します。
    chencryption -keyserver newkey -key commit
  9. 鍵サーバーの新規鍵をコミットした後、次のコマンドを入力して、USB フラッシュ・ドライブの暗号化を無効にします。 
    chencryption -usb disable
USB フラッシュ・ドライブから Gemalto SafeNet SecureKey 鍵サーバーへのマイグレーション
  1. USB フラッシュ・ドライブを使用するシステム上で暗号化が有効になっていることを確認するには、次のコマンドを入力します。 
    lsencryption
  2. ご使用のシステム上で暗号化を有効にするには、以下の CLI コマンドを入力します。
    chencryption -keyserver enable
  3. 鍵サーバー・タイプを有効にし、ルート認証局 (CA) 証明書を提供します (必要な場合)。
    chkeyserverkeysecure -enable -sslcert /tmp/rootCA.crt
  4. 鍵サーバーに対するシステムの認証に使用するユーザー名とパスワードを構成します (必要な場合)。
    chkeyserverkeysecure -username admin -password 'examplepassword'
  5. 1 次鍵サーバーを作成し、鍵サーバー証明書を指定します (必要な場合)。
    mkkeyserver -ip ip_address -port port -sslcert /tmp/ServerCert.crt -primary
  6. 最大 3 つの追加の 2 次鍵サーバーを作成して、鍵サーバー証明書を指定します (必要な場合)。
    mkkeyserver -ip ip_address -port port -sslcert /tmp/ServerCert.crt
  7. 以下のように、鍵サーバー上でシステムの暗号鍵を作成します。
    chencryption -keyserver newkey -key prepare
    このコマンドは、準備された鍵を現行鍵にして、その鍵を 1 次鍵サーバーとして構成された鍵サーバーにプッシュします。
  8. システムの準備が整っていることを確認するために、以下のコマンドを入力します。
    lsencryption
    keyserver_rekey パラメーターの値が prepared であることを確認してください。prepared という値は、その新しい鍵がコミットされる準備が整っていることを示します。
  9. 鍵をコミットするには、次のコマンドを入力します。
    chencryption -keyserver newkey -key commit
    このコマンドは、この新しい鍵を現行鍵にして、それを 1 次鍵サーバーにコピーします。
  10. 鍵サーバーの新規鍵をコミットした後、次のコマンドを入力して、USB フラッシュ・ドライブの暗号化を無効にします。 
    chencryption -usb disable
鍵サーバーを持つシステム上で既に暗号化が有効にされている場合は、1 次鍵サーバーがシステムに接続されていることを確認し、現行の暗号鍵を配布します。 鍵サーバーから USB フラッシュ・ドライブに移行して暗号鍵を管理するには、以下のステップを実行します。
  1. 次のコマンドを入力して、鍵サーバーを使用するシステム上で暗号化が有効になっていることを確認します。 
    lsencryption
  2. ご使用のシステム上で暗号化を有効にするには、以下の CLI コマンドを入力します。
    chencryption -usb enable
  3. 少なくとも 3 つの USB フラッシュ・ドライブが取り付けられていることを確認します。
    lsportusb
    status パラメーターの値が active であることを確認します。 この状況は、USB フラッシュ・ドライブがノードに挿入されており、システムで使用できることを示します。
  4. システム暗号鍵を作成し、それらの鍵をシステムに接続されたすべての USB フラッシュ・ドライブに書き込みます。
    chencryption -usb newkey -key prepare
  5. 準備された鍵を現行鍵としてコミットします。このコマンドは、usb_rekeylsencryption 値が prepared に設定されており、USB 暗号鍵の数が必要な最小数より多い場合に使用します。
    chencryption -usb newkey -key commit

    USB デバイスに鍵が書き込まれていないと、暗号化されたアレイにアクセスできず、データは失われます。災害時の可用性および追加のバックアップ用に十分な数の鍵のコピーを保持することが極めて重要です。作成されたファイルのバックアップを作成することによって、鍵素材をコピーすることができます。

  6. 新規鍵をコミットした後、次のコマンドを入力して、鍵サーバーの暗号化を無効にします。 
    chencryption -keyserver disable