在密钥管理方法之间进行迁移

您可以使用管理 GUI 或命令行界面在基于 USB 闪存驱动器和密钥服务器的加密之间无中断进行迁移。要从密钥服务器迁移到 USB 闪存驱动器,只能使用命令行界面。迁移期间,系统支持同时配置这两种密钥管理方法。迁移完成后,您可以禁用原密钥管理方法。

使用管理 GUI

迁移期间,系统不会禁用当前配置的密钥管理方法,直至完成配置新方法为止。因此,仍可以使用当前密钥访问加密数据,直至迁移完成。例如,如果从 USB 闪存驱动器迁移至密钥服务器,那么 USB 闪存驱动器上的原密钥仍可用,直至完成配置密钥服务器加密。但是,必须先将至少一个包含当前加密密钥的 USB 闪存驱动器插入系统中,之后才可以迁移到密钥服务器。 在配置密钥服务器之后,USB 闪存驱动器上的原密钥无法再解密系统上的数据。请根据建议的敏感信息处理过程来处理任何旧 USB 闪存驱动器。
Note: 管理 GUI 仅支持从 USB 闪存驱动器迁移到密钥服务器加密方法。要从密钥服务器迁移到 USB 闪存驱动器,必须使用命令行界面。
在迁移到基于密钥服务器的加密之前,请确保将至少一个包含当前加密密钥的 USB 闪存驱动器插入系统中。 要将加密从 USB 闪存驱动器迁移到密钥服务器,请完成以下步骤:
  1. 在管理 GUI 中,选择设置 > 安全性 > 加密
  2. 加密页面上,验证以下信息:
    1. 展开 USB 闪存驱动器,并验证在系统中是否已配置并检测到 USB 闪存驱动器。
    2. 展开密钥服务器,并验证在系统上是否未配置密钥服务器。
  3. 密钥服务器下,单击配置
  4. 选择 IBM SKLM(带 KMIP)作为密钥服务器类型。
  5. 输入每一台密钥服务器的名称、IP 地址和端口。如果配置多个密钥服务器,那么您指定的第一个密钥服务器是主密钥服务器,其余的将成为辅助密钥服务器。要确保将密钥分发到所有辅助密钥服务器,必须在 Security Key Lifecycle Manager 上配置复制。
  6. 选择 SPECTRUM_VIRT 作为密钥服务器的设备组。还必须在系统的每个密钥服务器上配置此设备组。
  7. 密钥服务器证书页面上,必须将所有必需密钥服务器证书上载到系统。密钥服务器可使用来自可信第三方的认证中心 (CA) 证书或在密钥服务器上创建的自签名证书。您也可以在密钥服务器上使用这两种类型的证书。如果配置了多个密钥服务器且使用相同 CA 证书,请上载涵盖所有密钥服务器的单个 CA 签名的证书。如果密钥服务器使用自签名证书,那么必须单独将证书上载到系统。针对密钥服务器,任何自签名证书优先于在系统上安装的任何 CA 签名的证书。
  8. 系统加密证书页面上,单击导出公用密钥以将公用密钥下载到系统。系统加密证书也可以是自签名证书或 CA 证书。这些证书将上载到每个密钥服务器以建立信任,便于系统与个别密钥服务器通信。如果证书不存在,请选择设置 > 安全 > 安全通信。在安全通信页面上,选择更新证书以创建或导入证书。 有关更多信息,请参阅有关用于密钥服务器的证书的主题。
  9. 通过将系统公用密钥添加到每个配置的密钥服务器上 SPECTRUM_VIRT 设备组的信任库来复制该密钥。请参阅 IBM Security Key Lifecycle Manager Knowledge Center,以获取详细信息。
  10. 返回到系统加密证书页面并选择系统公用密钥证书已传输到每个配置的密钥服务器
  11. 禁用 USB 加密面板上,选择,然后单击下一步
  12. 摘要页面上,验证密钥服务器的配置并单击完成。在配置完成后,USB 闪存驱动器上存储的密钥将变为无效。 请确保安全处理所有 USB 闪存驱动器。

使用 CLI

在迁移到基于密钥服务器的加密之前,请确保将至少一个包含当前加密密钥的 USB 闪存驱动器插入系统中。 要从 USB 闪存驱动器迁移到密钥服务器以管理加密密钥,请完成以下步骤:
  1. 输入以下命令以验证在系统上是否已启用使用 USB 闪存驱动器的加密:
    lsencryption
  2. 输入以下 CLI 命令以在系统上启用使用密钥服务器的加密:
    chencryption -keyserver enable
  3. 启用密钥服务器类型,并在需要时提供认证中心 (CA) 签名的证书。
    chkeyserverisklm -enable -sslcert /tmp/CASigned.crt
  4. 创建主密钥服务器并指定密钥服务器证书:
    mkkeyserver -ip ip_address -port port -sslcert /tmp/self-signed.crt -primary
  5. 如果计划使用多个密钥服务器,请多次输入以下命令以最多再指定三个使用相同密钥服务器证书的辅助密钥服务器:
    mkkeyserver -ip ip_address -port port -sslcert /tmp/self-signed.crt
  6. 创建系统加密密钥,并将密钥写入指定的密钥服务器:
    chencryption -keyserver newkey -key prepare
    此命令使准备好的密钥成为最新密钥,并将密钥值存储在所有配置的密钥服务器上。
  7. 要验证系统是否准备就绪,请输入以下命令:
    lsencryption
    检查 keyserver_rekey 参数的值是否为 preparedprepared 值指示新密钥已准备好进行落实。
  8. 要落实密钥,请输入以下命令:
    chencryption -keyserver newkey -key commit
  9. 落实密钥服务器的新密钥之后,通过输入以下命令禁用 USB 闪存驱动器的加密:
    chencryption -usb disable
如果已通过密钥服务器在系统上启用了加密,请确保已将主密钥服务器连接到该系统,并且分发当前的加密密钥。要从密钥服务器迁移至 USB 闪存驱动器以管理加密密钥,请完成以下步骤:
  1. 输入以下命令以验证在系统上是否已启用使用密钥服务器的加密:
    lsencryption
  2. 输入以下 CLI 命令在您的系统上启用加密功能:
    chencryption -usb enable
  3. 确保安装了足够的闪存驱动器:
    lsportusb
    检查 status 参数的值是否为 active。 该状态指示闪存驱动器已插入到容器,且可供系统使用。
  4. 创建系统加密密钥,并将这些密钥写入所有系统连接的闪存驱动器:
    chencryption -usb newkey -key prepare
  5. 将准备好的密钥落实为最新密钥。在 usb_rekeylsencryption 值设置为 prepared 并且加密密钥的数量大于所需的最小数量时,请使用此命令。
    chencryption -usb newkey -key commit

    没有写入闪存设备的密钥,就不能访问加密阵列,且数据将丢失。因此,拥有足够多的密钥副本(用于保障可用性)和额外备份(用于应对灾难情况)至关重要。您可以通过生成已创建文件的备份来复制密钥材料。

  6. 落实新密钥后,通过输入以下命令禁用密钥服务器的加密:
    chencryption -keyserver disable