使用密钥服务器启用加密

加密密钥服务器创建和管理由系统使用的加密密钥。 在具有大量系统的环境中,密钥服务器远程分发密钥,无需物理访问系统。

密钥服务器是用于生成和存储加密密钥并向系统发送加密密钥的集中式系统。如果密钥服务器提供程序支持在多个密钥服务器之间复制密钥,那么最多可指定 4 个密钥服务器,这些服务器通过公共网络或单独的专用网络连接系统。

系统支持使用 Security Key Lifecycle Manager 密钥服务器启用加密。 必须先在 Security Key Lifecycle Manager 上配置所有密钥服务器,然后才能在 管理 GUI 中定义这些密钥服务器。Security Key Lifecycle Manager 支持密钥管理互操作性协议 (KMIP),这是加密存储数据和管理密钥的标准。Security Key Lifecycle Manager 可以用于为系统创建受管密钥,并通过证书提供对这些密钥的访问权。如果要配置多个密钥服务器,请使用 Security Key Lifecycle Manager 2.7.0.1 或更高版本。Security Key Lifecycle Manager 密钥服务器指定一个主密钥服务器,它最多可定义二十个辅助密钥服务器(也称为克隆)。 这些附加密钥服务器在向系统传递密钥时支持更多路径;但是,在再加密期间,仅使用到主密钥服务器的路径。当系统再加密时,辅助密钥服务器不可用,直到主密钥服务器将新密钥复制到这些辅助密钥服务器。必须先完成复制,然后才能在系统上使用密钥。 您可以调度自动复制或通过 Security Key Lifecycle Manager 手动完成。 在复制期间,密钥服务器不可用于分发密钥或接受新密钥。 在 Security Key Lifecycle Manager 上完成复制的时间取决于配置为克隆的密钥服务器数量以及复制的密钥和证书信息的总量。 在复制完成时,IBM Security Key Lifecycle Manager 发出完成消息。 在系统上使用密钥之前,请验证所有密钥服务器均包含复制的密钥和证书信息。

创建 Security Key Lifecycle Manager 密钥服务器对象时,必须指定 IP 地址、端口、证书和设备组。设备组是存储标识、密钥和密钥组的集合。设备组允许对较大池中的一部分设备进行有限管理。必须在密钥服务器上将系统定义到 SPECTRUM_VIRT 设备组中。如果密钥服务器上不存在 SPECTRUM_VIRT 设备组,那么必须基于 GPFS 设备系列创建该组。 如果配置多个密钥服务器,那么必须在主密钥服务器和所有其他密钥服务器上定义 SPECTRUM_VIRT 设备组。

启用加密的先决条件

确保先在 Security Key Lifecycle Manager 上完成以下任务,再启用加密:
  1. 定义 Security Key Lifecycle Manager 以使用传输层安全性 V2 (TLSv2)。Security Key Lifecycle Manager 上的缺省设置是 TLSv1,但系统仅支持 V2。在 Security Key Lifecycle Manager 上,将值设置为 SSL_TLSv2,这是包含 TLSv1.2 的一组协议。
  2. 确保启动时自动启动数据库服务。
  3. 确保在系统上安装来自 Security Key Lifecycle Manager 的有效 SSL 证书并正在使用该证书。如果在 Security Key Lifecycle Manager 上配置了自动复制,那么该证书需要上载到系统一次。但是,如果未在 Security Key Lifecycle Manager 上配置自动复制,那么必须将每个独立密钥服务器的证书上载到系统。
  4. 为系统定义指定 SPECTRUM_VIRT 设备组。 如果要配置多个密钥服务器,必须在主密钥服务器和所有辅助密钥服务器上定义 SPECTRUM_VIRT 设备组。
  5. 如果当前通过 USB 闪存驱动器启用了加密,那么必须先将至少一个 USB 闪存驱动器插入系统中,之后才可以配置密钥服务器以管理密钥。
有关完成这些任务的更多信息,请参阅 Security Key Lifecycle Manager Knowledge Center。

使用管理 GUI

要使用密钥服务器启用加密,请完成以下步骤:
  1. 在管理 GUI 中,选择设置 > 安全性 > 加密
  2. 单击启用加密
  3. 欢迎面板上,选择密钥服务器。单击 Next
    Note: 您还可以同时选择密钥服务器USB 闪存驱动器以配置这两种加密密钥管理方法。如果任何一种方法不可用,可以使用另一种方法访问系统上加密的数据。
  4. 选择 IBM SKLM(带 KMIP)作为密钥服务器类型。
  5. 输入每一台密钥服务器的名称、IP 地址和端口。如果配置多个密钥服务器,那么您指定的第一个密钥服务器是主密钥服务器,其余的将成为辅助密钥服务器。要确保将密钥分发到所有辅助密钥服务器,您必须在 Security Key Lifecycle Manager 上配置复制。
  6. 选择 SPECTRUM_VIRT 作为密钥服务器的设备组。还必须在系统的每个密钥服务器上配置此设备组。
  7. 密钥服务器证书页面上,必须将所有必需密钥服务器证书上载到系统。密钥服务器可以使用来自可信第三方的证书、自签名证书或这两种证书的组合。 如果将 Security Key Lifecycle Manager 服务器配置为自动复制,那么该证书将从主密钥服务器复制到所有辅助密钥服务器。 所有 Security Key Lifecycle Manager 实例都通过用同一密钥服务器证书保护的安全连接进行连接。如果在 Security Key Lifecycle Manager 上使用了复制,只需要安装一个密钥服务器证书。Security Key Lifecycle Manager 使用该证书来相互复制密钥。如果 Security Key Lifecycle Manager 服务器没有配置为自动复制,必须为每个独立的密钥服务器安装单独的证书。 但是,如果密钥服务器使用自签名证书,必须将证书单独上载到系统。 任何自签名证书都优先于系统上针对密钥服务器安装的任何 CA 签署的证书。 如果仅使用一个证书,并且该证书自动复制到所有配置的密钥服务器,请在证书字段中选择下载到系统的证书。 如果未配置自动复制,选择为配置的每个密钥服务器下载到系统的所有有效证书。 单击 Next
  8. 系统加密证书页面上,单击导出公用密钥以将公用密钥下载到系统。系统加密证书也可以是自签名证书或 CA 证书。这些证书将上载到每个密钥服务器以建立信任,便于系统与个别密钥服务器通信。如果将 Security Key Lifecycle Manager 服务器配置为自动复制,那么该证书将从主密钥服务器复制到所有辅助密钥服务器。 所有 Security Key Lifecycle Manager 实例都通过用同一密钥服务器证书保护的安全连接进行连接。如果在 Security Key Lifecycle Manager 上使用了复制,那么主密钥服务器会将系统证书复制到其他密钥服务器。如果 Security Key Lifecycle Manager 服务器没有配置为自动复制,必须为每个独立的密钥服务器安装系统证书。 如果证书不存在,请选择设置 > 安全 > 安全通信。在安全通信页面上,选择更新证书以创建或导入证书。 有关证书的更多信息,请参阅有关用于密钥服务器的证书的主题。
  9. 通过将系统公用密钥添加到每个配置的密钥服务器上 SPECTRUM_VIRT 设备组的信任库来复制该密钥。请参阅 IBM Security Key Lifecycle Manager Knowledge Center,以获取详细信息。
  10. 返回到系统加密证书页面并选择系统公用密钥证书已传输到每个配置的密钥服务器
  11. 如果将 USB 闪存驱动器配置为加密方法,那么会显示禁用 USB 加密页面。如果想要迁移到密钥服务器并禁用 USB 闪存驱动器,请选择。如果想要同时配置这两种加密方法,请单击
  12. 单击 Next
  13. 摘要页面上,验证密钥服务器的配置并单击完成

使用命令行界面

要使用密钥服务器启用加密,请完成以下步骤:
  1. 输入以下 CLI 命令在您的系统上启用加密功能:
    chencryption -keyserver enable
  2. 启用密钥服务器类型,并在需要时提供认证中心 (CA) 签名的证书。
    chkeyserverisklm -enable -sslcert /tmp/CASigned.crt
  3. 创建主密钥服务器并指定密钥服务器证书:
    mkkeyserver -ip ip_address -port port -sslcert /tmp/self-signed.crt -primary
  4. 使用相同的密钥服务器证书最多创建三个其他辅助密钥服务器:
    mkkeyserver -ip ip_address -port port -sslcert /tmp/self-signed.crt
  5. 在密钥服务器上为系统创建加密密钥:
    chencryption -keyserver newkey -key prepare
    此命令准备要复制到主密钥服务器的新密钥。
  6. 要验证系统是否准备就绪,请输入以下命令:
    lsencryption
    检查 keyserver_rekey 参数的值是否为 preparedprepared 值指示新密钥已准备好进行落实。
  7. 要落实密钥,请输入以下命令:
    chencryption -keyserver newkey -key commit
    此命令使新密钥成为最新密钥,并将其复制到主密钥服务器。