计划加 密需要购买许可功能,然后才能在系统上激活并启用该功能。 可以在系统上启用 USB 加密和/或密钥服务器加密。 对于密钥服务器加密,系统支持 Security Key Lifecycle Manager V2.6.0 或更高版本。
要加密驱动器上存储的数据,连接这些驱动器的控制机柜必须包含有效许可证并配置为使用加密。如果已在系统上激活和启用加密,那么在系统解锁 驱动器或用户生成新密钥时,系统上必须存在有效的加密密钥。如果在系统上启用了 USB 加密,那么加密密钥必须存储在包含启用加密时所生成密钥的副本的 USB 闪存驱动器中。 如果在系统上启用了密钥服务器加密,那么将从密钥服务器检索密钥。
如果使用加密来保护复制到云存储器的数据,云帐户将始终与系统加密设置同步。 如果同时配置了 USB 闪存驱动器和密钥服务器,那么创建的云帐户将同时支持这些方法。 如果只配置了一种加密方法而禁用了另一种,那么云帐户将使用剩余的已配置加密方法支持加密。 为确保云帐户支持加密,在创建云帐户时,必须为两种方法或其中的一种方法配置活动密钥。
如果使用一种加密方法创建了云帐户,您可以在稍后配置第二种方法,但进行配置时该云帐户必须为联机状态。 配置第二种方法后,该云帐户将同时支持两种密钥提供程序。
密钥服务器提供理想的实用功能,例如,负责加密密钥生成和备份以及遵循有助于实现互操作性的开放式标准。 计划密钥服务器加密时,务必考虑以下各项。
所有要与密钥服务器通信的节点都必须配置了服务 IP 地址。 节点必须配置了完整服务 IP 协议集(地址、网关和掩码),才能作为候选节点尝试联系密钥服务器。 通常,会在专用 LAN 上设置密钥服务器,这需要强制实施服务 IP 地址。 如果仅节点的子集设置了服务 IP 地址,那么没有服务 IP 地址的节点将记录错误。 用户提供的 IP 地址必须是系统用于和密钥服务器通信的 IP 地址。
每个密钥服务器都具有与其访问权相关联的 TCP 端口。由于密钥服务器为多个客户机提供服务,因此系统允许用户针对每个服务器使用不同端口,并在需要时启用对该端口的访问权。KMIP 服务器一致性要求支持 TCP 端口 5696,因此,这是服务器端点的缺省端口。
如果启用了密钥服务器加密,那么密钥服务器会生成并管理主密钥。 节点生成所有其他密钥。
根据使用的密钥服务器的类型,密钥数据库可以是建立集群的,也是可以是未建立集群的。 对于未建立集群的密钥服务器,用户需要考虑备份和复制密钥数据库。 Security Key Lifecycle Manager 是密钥服务器产品的一个示例,必须配置复制以自动在 Security Key Lifecycle Manager 实例间共享加密密钥。 未配置复制时,必须使用手动备份和复原操作。 其他产品可以自行复制,因此其他密钥服务器实例会自动创建任何新的密钥。 对于 Security Key Lifecycle Manager,通过遵循 Security Key Lifecycle Manager 用户指南完成备份和复原。
chencyrption-usb newkey-key preparechencryption-usb newkey-key commit
再加密操作必须在完成更新至 7.8.x 代码级别或更高级别之后且在尝试启用密钥服务器加密之前运行。