Distribución de claves

Puede mover un archivo de almacén de claves y claves únicas de un sistema a otro sin exponer valores de clave claros.

Mover un archivo de almacén de claves

En general, no debe compartir claves maestras con otro sistema. Cada sistema debe tener claves maestras exclusivas. Sin embargo, para mover un archivo de almacén de claves completo de un sistema a otro sin exponer valores de clave claros, debe configurar valores de clave maestra idénticos en ambos sistemas. Para evitar exponer los valores de clave maestra, realice los pasos siguientes.

Configure una clave maestra temporal en ambos sistemas cargando y estableciendo una clave maestra no utilizada con frases de contraseña idénticas.
En el sistema de origen, cree un duplicado del archivo de almacén de claves (por ejemplo, utilizando el mandato CL CRTDUPOBJ).
Convierta el archivo de almacén de claves duplicado en la clave maestra temporal.
Mover el archivo de almacén de claves al sistema de destino.
Suprima el archivo de almacén de claves convertido del sistema de origen. (Todavía tiene el archivo de almacén de claves original.)
En el sistema de destino, convierta el archivo de almacén de claves en otra clave maestra.
Borre la clave maestra temporal en ambos sistemas.

Nota:

Si el sistema de destino ya tiene un archivo con el mismo nombre, tendrá que renombrar uno de los archivos. También puede exportar claves individuales del archivo de almacén de claves del sistema de origen y grabarlas en el archivo de almacén de claves del sistema de destino tal como se describe a continuación.
Para fusionar dos archivos de almacén de claves, deberá exportar las claves de uno de los archivos de almacén de claves y escribirlas en el otro archivo de almacén de claves mediante la API Escribir registro de claves o el asistente Nuevo registro de claves desde la interfaz IBM Navigator para i como se describe a continuación. Si hay nombres de etiqueta duplicados, tendrá que proporcionar un nombre nuevo en la API Escribir registro de claves o en el asistente Nuevo registro de claves desde la interfaz de IBM Navigator for i .

Mover claves únicas

Para mover una única clave cifrada bajo una clave maestra (dentro o fuera del almacén de claves) a otro sistema, utilice la API Exportar clave o el asistente Exportar clave de la interfaz IBM Navigator for i . La operación de exportación convierte la clave del cifrado bajo la clave maestra al cifrado bajo una clave de cifrado de claves (KEK). En el sistema de destino, puede utilizar la API Escribir registro de claves o el asistente Nuevo registro de claves de la interfaz de IBM Navigator for i para mover la clave migrada al almacén de claves. Ambos sistemas deben ponerse de acuerdo sobre la KEK antes de tiempo.

Nota: La API Exportar clave se suministra con la autorización pública *EXCLUDE. Tenga cuidado con el acceso que proporciona a la API Exportar clave. Cualquier persona con acceso a claves cifradas de clave maestra y a la API Exportar clave puede obtener los valores de clave clara.