使用金鑰伺服器針對已啟用加密的系統重設金鑰

如果您已配置金鑰伺服器來管理加密金鑰，您可以使用加密金鑰伺服器，來產生新金鑰。

重設金鑰是指為系統建立新金鑰的程序。要建立新金鑰，必須在系統上啟用加密；但是，無論是否有加密物件，重設金鑰作業都會正常運行。如果在系統上同時配置了這兩種加密方法，請完整地重設一種方法的金鑰，再重設另一種方法的金鑰。如果您要針對雲端儲存體產生新的金鑰，則在重設金鑰作業期間，雲端帳戶必須在線上。

使用管理 GUI

在重設金鑰程序期間，金鑰伺服器將會產生新金鑰，現有金鑰將會作廢。在重設金鑰程序期間，金鑰伺服器會產生新的金鑰，而現有的金鑰會作廢。如果您使用多個主要或「主動-主動」金鑰伺服器，則會自動將新的金鑰抄寫到所有已配置的金鑰伺服器。在具有單個主要金鑰伺服器和多個次要金鑰伺服器的配置中，僅在重設金鑰操作期間更新主要金鑰伺服器。任何其他的金鑰伺服器變為離線，系統會報告這些金鑰伺服器發生錯誤，直到新的金鑰從主要金鑰伺服器抄寫到次要金鑰伺服器為止。

註：為了避免資料遺失，請在每次重設金鑰時備份金鑰伺服器管理應用程式上的資料。

在所有已配置的金鑰伺服器上建立新的金鑰之前，金鑰伺服器必須在線上並連接至系統。在管理 GUI 中，選取設定 > 安全性 > 加密。展開金鑰伺服器，以顯示系統上所有已配置的金鑰伺服器的詳細資料。請驗證金鑰伺服器為線上狀態且可供系統使用。在指令行介面，輸入 lskeyserver 以驗證金鑰伺服器是否線上，以及是否可用於系統。

如果要為使用金鑰伺服器加密的系統重設金鑰，請完成下列步驟：

在管理 GUI 中，選取設定 > 安全性 > 加密。
展開金鑰伺服器，以顯示系統上所有已配置的金鑰伺服器，然後選取重設金鑰。
按一下訊息對話框的確定。加密金鑰由主要金鑰伺服器產生，並複製到主要金鑰伺服器。如果重設金鑰程序期間發生錯誤，狀態訊息會顯示複製或建立新金鑰的問題。如果要判斷並修正其他可能的錯誤，請選取監視 > 事件。

如果您有多個主要或「主動-主動」金鑰伺服器配置，則在重設金鑰作業完成之後，會立即抄寫新的金鑰。如果您除了金鑰伺服器以外，還配置了 USB 快閃記憶體隨身碟，則現在就可以重設 USB 快閃記憶體隨身碟的金鑰。

使用指令行介面

如果要為使用金鑰伺服器的系統重設金鑰，請完成下列步驟：

輸入這個指令，確認系統上已啟用加密：
```
lsencryption
```
請確定狀態指出加密已啟用。
確認加密已啟用之後，請輸入下列指令來驗證金鑰伺服器是否在線上且可供使用：
```
lskeyserver
```
請確定所有可用金鑰伺服器的狀態都是 online。
確認加密已啟用且金鑰伺服器在線上之後，您需要準備好系統來針對系統上目前使用的加密金鑰進行重設金鑰。如果要準備重設金鑰作業，請輸入下列指令：
```
chencryption -keyserver newkey -key prepare
```
註：這個指令只會在主要金鑰伺服器上建立新的金鑰。所有其他的金鑰伺服器會變為離線，直到利用 IBM Security Key Lifecycle Manager 將金鑰從主要金鑰伺服器抄寫到其他金鑰伺服器為止。
如果要驗證系統已備妥，請輸入下列指令：
```
lsencryption
```
檢查 keyserver_rekey 參數的值為 prepared。prepared 值指出新的金鑰已備妥可確定。
如果要確定金鑰，請輸入下列指令：
```
chencryption -keyserver newkey -key commit
```
這個指令會將備妥的金鑰變成現行金鑰，並將金鑰值儲存在主要金鑰伺服器上。
輸入下列指令，以確認新的金鑰已確定：
```
lsencryption
```
請確定 keyserver_rekey 參數中的值為 no。

如果您有多個主要或「主動-主動」金鑰伺服器配置，則重設金鑰作業完成之後即會立即抄寫新的金鑰。如果您除了金鑰伺服器以外，還配置 USB 快閃記憶體隨身碟，則現在就可以重設 USB 快閃記憶體隨身碟的金鑰。如果您除了金鑰伺服器以外，還配置 USB 快閃記憶體隨身碟，則現在就可以重設 USB 快閃記憶體隨身碟的金鑰。