您可以使用管理 GUI 或命令行界面来对系统启用加密功能。 系统支持使用 USB 闪存驱动器作为一种管理加密密钥的方法。 基于 USB 闪存驱动器的加密需要对系统进行物理访问,并且在具有最少数量系统的环境中有效。 对于需要有关 USB 闪存驱动器的严密安全策略的组织,系统支持禁用这些端口以阻止系统数据到便携媒体设备的未经授权传输。 如果您具有此类安全性需求,请使用密钥服务器来管理加密密钥。
注:确保使用 USB 闪存驱动器 2.0 来启用加密。
使用 USB 闪存驱动器管理系统的主密钥时,加密密钥将以定制文件格式存储在每个 USB 闪存驱动器上。 主密钥是 AES-256 位密钥,通过对熵使用受信平台模块 (TPM),由节点硬件在本地来生成该密钥。
使用管理 GUI 来启用加密
要启用加密,请完成以下步骤:
- 如果您激活加密许可证并完成系统设置向导,请单击启用加密并完成此向导。
- 如果您选择稍后在系统设置向导中启用加密,那么仍可以通过选择在管理 GUI 中启用加密。
- 单击启用加密。
- 在欢迎面板上,选择 USB 闪存驱动器。
注:您也可以同时选择密钥服务器和 USB 闪存驱动器来配置这两种方法以管理加密密钥。 如果任何一种方法不可用,可以使用另一种方法访问系统上加密的数据。
- 在此向导中,系统会提示您将所需数目的 USB 闪存驱动器插入系统中。 系统检测到 USB 闪存驱动器后,加密密钥将自动拷贝到 USB 闪存驱动器。 确保创建所需的所有额外副本以进行备份。 您可以将 USB 闪存驱动器保持插在系统中。 但是,系统所在的区域必须安全,能够防止 USB 闪存驱动器丢失或被盗。 如果系统所在的区域不安全,请从系统中卸下所有 USB 闪存驱动器并将其存放在安全的地方。
- 创建完所有副本后,请单击确认。
- 在 USB 闪存驱动器或另一个外部存储介质上创建密钥的多个备份副本并将其存放在安全的地方。
使用命令行界面来启用加密
在启用加密之前,请先验证是否使用 lsencryption 命令为系统设置了加密许可证。
遵循以下步骤来启用加密:
- 输入以下 CLI 命令在您的系统上启用加密功能:
chencryption -usb enable
- 确保安装了足够的闪存驱动器:
lsportusb
检查 status 参数的值是否为active此状态指示闪存驱动器已插入容器中,并且可供系统使用。
- 创建系统加密密钥,并将这些密钥写入所有系统连接的闪存驱动器:
chencryption -usb newkey -key prepare
- 将准备好的密钥落实为最新密钥。 当 usb_rekey 的 lsencryption 值设置为prepared并且加密密钥的数量大于所需的最小数量。
chencryption -usb newkey -key commit
未将密钥写入闪存设备时,不可能访问加密阵列,且数据将丢失。 因此,拥有足够多的密钥副本(用于保障可用性)和额外备份(用于应对灾难情况)至关重要。 您可以通过生成已创建文件的备份来复制密钥材料。