使用密钥服务器对已启用加密的系统进行再加密

在线编辑

如果已配置密钥服务器来管理加密密钥,可使用加密密钥服务器来生成新密钥。

再加密是为系统创建新密钥的过程。 要创建新密钥,必须在系统上启用加密;但是,无论是否有加密对象,再加密操作都会正常运行。 如果系统上配置了两种加密方法,请先对一种方法进行完全再加密,然后再对另一种方法进行再加密。

使用管理 GUI

在再加密过程中,密钥服务器将会生成新密钥,现有密钥将会过时。 如果使用多个主密钥服务器或主动/主动密钥服务器,那么会自动将新密钥复制到所有已配置的密钥服务器。 在具有单个主密钥服务器和多个辅助密钥服务器的配置中,再加密操作期间仅更新主密钥服务器。 任何其他密钥服务器都将脱机,并且系统会针对这些密钥服务器报告错误,直到将新密钥从主密钥服务器复制到辅助密钥服务器为止。
注:为避免数据丢失,每次再加密时,都请备份密钥服务器管理应用程序上的数据。

在已配置的所有密钥服务器上创建新密钥之前,密钥服务器必须联机并连接到系统。 在管理 GUI 中,选择设置 > 安全 > 加密。 展开密钥服务器以显示系统上所有已配置密钥服务器的详细信息。 验证密钥服务器是否处于联机状态并可供系统使用。 在命令行界面中,输入 lskeyserver 以验证密钥服务器是否联机以及是否可用于系统。

要对使用密钥服务器加密的系统进行再加密,请完成下列步骤:
  1. 在管理 GUI 中,选择设置 > 安全 > 加密
  2. 展开密钥服务器以显示系统上所有已配置的密钥服务器并选择再加密
  3. 单击消息对话框上的确定。 加密密钥由主密钥服务器生成,并复制到主密钥服务器。 如果再加密过程中发生了错误,那么状态消息会显示在复制或创建新密钥时出现问题。 要确定并修正其他可能的错误,请选择监测 > 事件
再加密操作完成后,如果具有多个主密钥服务器或主动/主动密钥服务器配置,那么将立即复制新密钥。 如果除了密钥服务器之外还配置了 USB 闪存驱动器,那么现在可以对 USB 闪存驱动器进行再加密。

使用命令行界面

要对使用密钥服务器的系统再加密,请完成以下步骤:
  1. 输入以下命令以验证系统上是否启用加密功能:
    lsencryption
    确保状态指示已启用加密功能。
  2. 确认启用了加密后,通过输入以下命令验证密钥服务器是否联机且可用:
    lskeyserver name_id
    其中 name_id 是密钥服务器的名称或标识。 确保所有可用密钥服务器的状态为 online
  3. 确认已启用加密且密钥服务器联机后,您需要准备系统以对系统上当前使用的加密密钥进行再加密。 要准备再加密操作,请输入以下命令:
    chencryption -keyserver newkey -key prepare
    注: 此命令仅在主密钥服务器上创建新密钥。 所有其他密钥服务器都将脱机,直到使用 IBM® Security Guardium® Key Lifecycle Manager将密钥从主密钥服务器复制到其他密钥服务器为止。
  4. 要验证系统是否准备就绪,请输入以下命令:
    lsencryption
    检查 keyserver_rekey 参数的值是否为 preparedprepared 值指示新密钥已准备好进行落实。
  5. 要落实密钥,请输入以下命令:
    chencryption -keyserver newkey -key commit
    此命令使准备好的密钥成为最新密钥,并将密钥值存储在主密钥服务器上。
  6. 输入以下命令以验证是否已落实新密钥:
    lsencryption
    确保 keyserver_rekey 参数中的值为 no
再加密操作完成,如果您具有多种主密钥服务器配置或主动/主动密钥服务器配置,那么会立即复制新密钥。 如果除了密钥服务器之外还配置了 USB 闪存驱动器,那么现在可以对 USB 闪存驱动器再加密。 如果除了密钥服务器之外还配置了 USB 闪存驱动器,那么现在可以对 USB 闪存驱动器再加密。