如果您使用了 USB 快閃記憶體隨身碟來配置加密,您可以建立新金鑰,並儲存在 USB 快閃記憶體隨身碟中。重設金鑰是指為系統建立新金鑰的程序。要建立新金鑰,必須在系統上啟用加密;但是,無論是否有加密物件,重設金鑰作業都會正常運行。如果在系統上同時配置了這兩種加密方法,請完整地重設一種方法的金鑰,再重設另一種方法的金鑰。如果您要針對雲端儲存體產生新的金鑰,則在重設金鑰作業期間,雲端帳戶必須在線上。
建立新的金鑰之前,請確定至少一個 USB 埠中已插入含有現行金鑰的 USB 快閃記憶體隨身碟。 在重設金鑰過程中,將會產生新的金鑰並複製到 USB 快閃記憶體隨身碟。然後,這些金鑰就會取代現行金鑰。至少要有一個 USB 快閃記憶體隨身碟包含現行金鑰,否則重設金鑰作業會失敗。如果要重設系統的金鑰,您最少需要三個 USB 快閃記憶體隨身碟來儲存複製的金鑰資料。
使用管理 GUI
如果要在管理 GUI 中重設系統的金鑰,請完成這些步驟:
- 在管理 GUI 中,選取。請確認可存取加密金鑰,這表示在 USB 快閃記憶體隨身碟中,至少有一個包含現行金鑰。將其他 USB 快閃記憶體隨身碟插入節點上的其餘埠中。可用的埠會出現,指出哪些埠需要 USB 快閃記憶體隨身碟。
- 展開 USB 快閃記憶體隨身碟,以顯示系統上偵測到的所有 USB 快閃記憶體隨身碟,然後選取重設金鑰。
- 當系統偵測到所需的 USB 快閃記憶體隨身碟數目,且至少有一個磁碟機內含現有的金鑰時,就會產生新的金鑰並複製到 USB 快閃記憶體隨身碟。建立金鑰之後,按一下確定,以完成重設金鑰作業。如果重設金鑰程序期間發生錯誤,狀態訊息會顯示複製或建立新金鑰的問題。比方說,如果已插入的 USB 磁碟機數已達下限數量,但都不含現有的加密金鑰,則重設金鑰作業會失敗。如果要判斷並修正其他可能的錯誤,請選取。
註: 如果您除了 USB 快閃記憶體隨身碟以外,還配置金鑰伺服器,則現在就可以重設金鑰伺服器的金鑰。
使用指令行介面
如果要在指令行介面中重設系統的金鑰,請完成這些步驟:
- 輸入這個指令,確認系統上已啟用加密:
lsencryption
請確定狀態指出加密已啟用。
- 確認加密已啟用之後,您需要準備好系統來針對系統上目前使用的加密金鑰進行重設金鑰。請確定含有現行金鑰的 USB 快閃記憶體隨身碟中,至少有一個已插在配置節點中。
需要有現行金鑰;否則重設金鑰程序會失敗。將其他 USB 快閃記憶體隨身碟插入系統背面的其餘 USB 埠中。
如果要準備重設金鑰作業,並將新的金鑰複製到系統上所有已插入的 USB 快閃記憶體隨身碟,請輸入下列指令:
chencryption -usb newkey -key prepare
這個指令會確認 USB 快閃記憶體隨身碟中,至少有一個包含現行加密金鑰。
它也會為系統產生新的加密金鑰,並將金鑰複製到所有已插入系統中的 USB 快閃記憶體隨身碟。您可以選擇性地為加密金鑰建立其他副本,以防 USB 快閃記憶體隨身碟遺失或損壞時有備份可用。
- 如果要確定金鑰,請輸入下列指令:
chencryption -usb newkey -key commit
這個指令會將備妥的金鑰變成現行金鑰,並將金鑰值儲存在 USB 快閃記憶體隨身碟。
- 輸入下列指令,以確認新的金鑰已確定:
lsencryption
請確定 usb_rekey 參數的值為 no,且 usb_key_copies 具有包含金鑰副本的最少必要數目 USB 快閃記憶體隨身碟。系統至少需要三個 USB 快閃記憶體隨身碟,各含有一個金鑰副本。建議您製作額外的金鑰副本,並妥善保存。