使用 USB 闪存驱动器对已启用加密的系统进行再加密

如果已使用 USB 闪存驱动器配置了加密功能,可创建新密钥并将其存储在 USB 闪存驱动器上。 再加密是为系统创建新密钥的过程。 要创建新密钥,必须在系统上启用加密;但是,无论是否有加密对象,再加密操作都会正常运行。如果系统上配置了两种加密方法,请先对一种方法进行完全再加密,然后再对另一种方法进行再加密。如果要针对云存储器生成新密钥,那么云帐户在再加密操作期间必须处于联机状态。

在创建新密钥之前,确保至少有一个 USB 端口中插入了包含当前密钥的 USB 闪存驱动器。 执行再加密过程期间,会生成新密钥并将其复制到 USB 闪存驱动器。 然后,系统会使用新密钥以代替当前密钥。 除非至少有一个 USB 闪存驱动器中包含最新密钥,否则再加密操作将失败。 要再加密系统,您最少需要 3 个 USB 闪存驱动器来存储所复制的密钥材料。

使用管理 GUI

要在管理 GUI 中再加密系统,请完成以下步骤:
  1. 在管理 GUI 中,选择设置 > 安全性 > 加密
  2. 展开 USB 闪存驱动器以显示系统上检测到的所有 USB 闪存驱动器并选择再加密
  3. 当系统检测到所需数目的 USB 闪存驱动器(其中至少有一个驱动器包含现有密钥)时,会生成新密钥并将其复制到 USB 闪存驱动器。 在创建密钥后单击落实以完成再加密操作。 如果再加密过程中发生了错误,那么状态消息会显示在复制或创建新密钥时出现问题。 例如,如果插入最小数目的 USB 驱动器,但其中不包含现有加密密钥,那么再加密操作将失败。 要确定并纠正可能存在的其他错误,请选择监控 > 事件
    Note: 如果除了 USB 闪存驱动器之外还配置了密钥服务器,那么现在可以对密钥服务器再加密。

使用命令行界面

要在命令行界面中再加密系统,请完成以下步骤:
  1. 输入以下命令以验证系统上是否启用加密功能:
    lsencryption

    确保状态指示已启用加密功能。

  2. 在确认已启用加密功能后,您需要准备系统以对系统上当前使用的加密密钥进行再加密。 确保包含最新密钥的 个 USB 闪存驱动器中至少有一个插在配置节点中。 必须提供最新密钥;否则再加密过程将失败。 将其他 USB 闪存驱动器插入系统后部的其余 USB 端口中。 要准备再加密操作并将新密钥复制到系统上插入的所有 USB 闪存驱动器中,请输入以下命令:
    chencryption -usb newkey -key prepare

    此命令会确认 个 USB 闪存驱动器中至少有一个包含最新加密密钥。 它还会为系统生成新的加密密钥并将该密钥复制到系统上插入的所有 USB 闪存驱动器中。 您可以选择生成额外的加密密钥副本来作为备份,以供 USB 闪存驱动器丢失或损坏时使用。

  3. 要验证系统是否准备就绪以及是否已将密钥复制到其他 USB 闪存驱动器中,请输入以下命令:
    lsencryption
    检查 usb_rekey 参数的值是否为 prepared
    Note: prepared 值指示新密钥已准备好进行落实。
    如果已将 USB 闪存驱动器插入容器中,那么将自动复制加密密钥。 如果容器中未插入 USB 闪存驱动器,请插入它们以开始将密钥复制到这些驱动器中。 要验证是否成功复制到 USB 闪存驱动器,请输入 lsencryption 以检查 usb_key_copies 中的值。 每次成功复制到 USB 闪存驱动器时,都会增加该值。 该值必须与为创建新加密密钥而插入系统中的 USB 闪存驱动器数量相匹配。 在落实密钥之前,该值必须大于必需的最小数量。
  4. 要落实密钥,请输入以下命令:
    chencryption
    -usb newkey -key commit

    此命令使准备好的密钥成为最新密钥,并将密钥值存储在 USB 闪存驱动器上。

  5. 输入以下命令以验证是否已落实新密钥:
    lsencryption

    确保 usb_rekey 参数中的值为 no,并且 usb_key_copies 的值大小至少为带密钥副本的必需 USB 闪存驱动器数。 系统至少需要 4 个 USB 闪存驱动器,每个都包含一个密钥副本。 建议制作额外的密钥副本,并将其安全存储。