如果已配置密钥服务器来管理加密密钥,可使用加密密钥服务器来生成新密钥。再加密是为系统创建新密钥的过程。要创建新密钥,必须在系统上启用加密;但是,无论是否有加密对象,再
加密操作都会正常运行。
您可以使用 USB 闪存驱动器或密钥服务器来启用加密。如果系统上配置了两种加密方法,请先完全再加密一种方法,然后再尝试对另一种方法进行再加密。
如果要针对云存储器生成新密钥,那么云帐户在再加密操作期间必须处于联机状态。
Note: 为避免数据丢失,请在每次再加密时备份 IBM
Security Key Lifecycle Manager 数据。
使用管理 GUI
在再加密过程中,密钥服务器将会生成新密钥,现有密钥将会过时。如果使用多个密钥服务器,只能在主密钥服务器上执行再加密操作。任何其他密钥服务器都将脱机,并且系统会针对这些密钥服务器报告错误,直到将新密钥从主密钥服务器复制到辅助密钥服务器为止。
您可以使用 Security Key Lifecycle Manager 自动或手动为主和辅助密钥服务器配置复制。当在 Security Key Lifecycle Manager 上安排复制时,复制过程会在主密钥服务器和辅助密钥服务器之间复制加密密钥。例如,如果复制安排为每 5 小时执行一次,且系统已执行再加密,那么辅助密钥服务器保持脱机状态,直到发生安排的复制操作为止。您也可以使用 Security Key Lifecycle Manager 完成将密钥从主密钥服务器复制到辅助密钥服务器的手动复制过程。
在已配置的所有密钥服务器上生成新密钥之前,密钥服务器必须联机并连接到系统。在管理 GUI 中,选择。展开密钥服务器以显示系统上所有已配置密钥服务器的详细信息。验证密钥服务器状态是否为联机并可供系统使用。
要对使用密钥服务器加密的系统再加密,请完成以下步骤:
- 在管理 GUI 中,选择。
- 展开密钥服务器以显示系统上所有已配置的密钥服务器并选择再加密。
- 单击消息对话框上的确定。加密密钥由主密钥服务器生成,并复制到主密钥服务器。如果再加密过程中发生了错误,那么状态消息会显示在复制或创建新密钥时出现问题。要确定并纠正可能存在的其他错误,请选择。
- 如果配置了多个密钥服务器,那么仅在主密钥服务器上创建加密密钥。
所有其他密钥服务器都会进入脱机状态,直到使用 Security Key Lifecycle Manager 将密钥从主密钥服务器复制到其他密钥服务器为止。 有关更多信息,请参阅 Security Key Lifecycle Manager Knowledge Center。
如果除了密钥服务器之外还配置了 USB 闪存驱动器,那么现在可以对 USB
闪存驱动器再加密。使用命令行界面
在已配置的所有密钥服务器上生成新密钥之前,密钥服务器必须联机并连接到系统。在命令行界面,输入 lskeyserver 以验证密钥服务器是否联机,以及是否可用于系统。
要对使用密钥服务器的系统再加密,请完成以下步骤:
- 输入以下命令以验证系统上是否启用加密功能:
lsencryption
确保状态指示已启用加密功能。
- 确认启用了加密后,通过输入以下命令验证密钥服务器是否联机且可用:
lskeyserver
确保所有可用密钥服务器的状态为 online。
- 确认已启用加密且密钥服务器联机后,您需要准备系统以对系统上当前使用的加密密钥进行再加密。要准备再加密操作,请输入以下命令:
chencryption -keyserver newkey -key prepare
Note: 此命令仅在主密钥服务器上创建新密钥。所有其他密钥服务器脱机,直到使用 Security Key Lifecycle Manager 将密钥从主密钥服务器复制到 其他密钥服务器。
- 要验证系统是否准备就绪,请输入以下命令:
lsencryption
检查 keyserver_rekey 参数的值是否为 prepared。prepared 值指示新密钥已准备好进行落实。
- 要落实密钥,请输入以下命令:
chencryption -keyserver newkey -key commit
此命令使准备好的密钥成为最新密钥,并将密钥值存储在主密钥服务器上。
- 输入以下命令以验证是否已落实新密钥:
lsencryption
确保 keyserver_rekey 参数中的值为 no。
- 如果配置了多个密钥服务器,那么仅在主密钥服务器上创建加密密钥。配置所有其他密钥服务器,直到使用 Security Key Lifecycle Manager 将密钥复制到其他密钥服务器。有关更多信息,请参阅 Security Key Lifecycle Manager Knowledge Center。
如果除了密钥服务器之外还配置了 USB 闪存驱动器,那么现在可以对 USB 闪存驱动器再加密。