可使用管理 GUI 或命令行界面来在系统上启用加密功能。系统支持使用 USB 闪存驱动器作为一种管理加密密钥的方法。
在可以启用加密之前,必须具备带有加密许可证集的
Lenovo Storage V7000 硬件。在管理 GUI 中,选择,以验证获得加密许可的机柜。使用 lsencryption 命令确保状态设置为 licensed。
使用管理 GUI 来启用加密
系统启用加密时,会提示您将闪存驱动器插入系统中。系统会有计划地将加密密钥复制到这些驱动器中。系统会生成加密密钥并将其复制到所有可用的闪存驱动器。 要启用加密功能,请完成以下步骤:
- 如果您激活加密许可证并完成系统设置向导,请单击启用加密并完成此向导。
- 如果选择稍后在系统设置向导中启用加密,那么仍可以在管理 GUI 中通过选择来启用加密。
- 单击启用加密。
- 在欢迎面板上,选择 USB 闪存驱动器。
Note: 您还可以同时选择密钥服务器和 USB 闪存驱动器以配置这两种加密密钥管理方法。如果任何一种方法不可用,可以使用另一种方法访问系统上加密的数据。
- 在此向导中,系统会提示您将所需数目的
USB 闪存驱动器插入系统中。 系统检测到 USB 闪存驱动器后,加密密钥将自动复制到 USB 闪存驱动器。确保创建所需的所有额外副本以进行备份。您可以将
USB 闪存驱动器保持插在系统中。但是,系统所在的区域必须安全才能防止密钥丢失或被盗。如果系统所在的区域不安全,请从系统中卸下所有
USB 闪存驱动器并将其存放在安全的地方。
- 完成所有复制操作后,单击确认。
- 在 USB 闪存驱动器或另一个外部存储介质上创建密钥的多个备份副本并将其存放在安全的位置。
使用命令行界面来启用加密
在启用加密之前,请先验证是否使用 lsencryption 命令为系统设置了加密许可证。
遵循以下步骤来启用加密:
- 输入以下 CLI 命令在您的系统上启用加密功能:
chencryption -usb enable
- 确保安装了足够的闪存驱动器:
lsportusb
检查 status 参数的值是否为 active。 该状态指示闪存驱动器已插入到容器,且可供系统使用。
- 创建系统加密密钥,并将这些密钥写入所有系统连接的闪存驱动器:
chencryption -usb newkey -key prepare
- 将准备好的密钥落实为最新密钥。在 usb_rekey 的 lsencryption 值设置为 prepared 并且加密密钥的数量大于所需的最小数量时,请使用此命令。
chencryption -usb newkey -key commit
未将密钥写入闪存设备时,不可能访问加密阵列,且数据将丢失。因此,拥有足够多的密钥副本(用于保障可用性)和额外备份(用于应对灾难情况)至关重要。您可以通过生成已创建文件的备份来复制密钥材料。