使用密钥服务器启用加密

您可以使用管理图形用户界面或命令行界面(CLI)启用与密钥服务器的加密。

使用 IBM Security Guardium Key Lifecycle Manager 密钥服务器配置加密

在启用加密之前,请确保在 IBM® Security Guardium® Key Lifecycle Manager 上完成以下任务:
  1. 系统仅支持 TLS 版本 1.2 和 1.3。 在 IBM Security Guardium Key Lifecycle Manager中,指定 TLSv1.2 以使用 TLS1.2 协议,或指定 TLSv1.3 以使用 TLS1.3 协议。
  2. 确保 DB2 数据库服务在启动时自动启动。
  3. 确保来自 IBM Security Guardium Key Lifecycle Manager 的有效 SSL 证书已安装在系统上并且正在使用中。 如果在 IBM Security Guardium Key Lifecycle Manager上配置了自动复制,那么需要将此证书上载到系统一次。 但是,如果未在 IBM Security Guardium Key Lifecycle Manager上配置自动复制,那么必须将每个独立密钥服务器的证书上载到系统。
  4. 确保名为 SPECTRUM_VIRT的 IBM Security Guardium Key Lifecycle Manager 上存在基于 GPFS 系列的设备组。 如果要配置多个密钥服务器,必须在主密钥服务器和所有辅助密钥服务器上定义 SPECTRUM_VIRT 设备组。
  5. 如果通过 USB 闪存驱动器启用了加密,那么先将至少一个 USB 闪存驱动器插入系统中,然后才能配置密钥服务器来管理密钥。
有关完成这些任务的更多信息,请参阅 IBM Documentation 中关于 IBM Security Guardium Key Lifecycle Manager 的信息。
要在管理 GUI 中使用 IBM Security Guardium Key Lifecycle Manager 密钥服务器启用加密,请完成以下步骤:
  1. 在管理 GUI 中,选择设置 > 安全 > 加密
  2. 单击启用加密
  3. 欢迎页面上,选择密钥服务器。 单击下一步
    注:您也可以同时选择密钥服务器USB 闪存驱动器,以配置这两种方法来管理加密密钥。 如果禁用任一方法,可以使用另外一种方法来访问系统上的加密数据。
  4. 选择 IBM Security Guardium Key Lifecycle Manager(带 KMIP)作为密钥服务器类型。
  5. 输入每个密钥服务器的名称、IP 地址或域名和端口。 如果配置多个密钥服务器,那么您指定的第一个密钥服务器是主密钥服务器。 如果指定标准域名,那么必须在系统上配置 DNS 服务器。 要为系统配置 DNS 服务器,请选择设置 > 网络 > DNS您还可以使用 mkdnsserver 命令来配置 DNS 服务器。
  6. 选择 SPECTRUM_VIRT 作为密钥服务器的设备组。 此外还必须在系统的每个密钥服务器上配置此设备组。
  7. 在“密钥服务器证书”页面上,必须将所有必需的密钥服务器证书上载到系统。 密钥服务器证书可以是密钥服务器端点证书,根 CA 证书或包含该链中所有 CA 证书的文件。 此文件不需要包含密钥服务器证书,它应该只具有中间 CA 证书和根 CA 证书。 如果系统上同时安装了密钥服务器的端点证书和 CA 证书,那么端点证书优先于 CA 证书。 如果为自动复制配置了密钥服务器,那么会将证书从主密钥服务器复制到所有辅助密钥服务器。 所有 IBM Security Guardium Key Lifecycle Manager 实例都通过具有相同密钥服务器证书的安全连接进行连接。 如果在 IBM Security Guardium Key Lifecycle Manager上使用复制,那么只需在系统上安装一个密钥服务器证书。 IBM Security Guardium Key Lifecycle Manager 使用这一证书来相互复制密钥。 如果仅使用一个证书并自动复制到所有已配置的密钥服务器,请在 证书 字段中选择下载到系统的证书。 如果未配置自动复制,选择为配置的每个密钥服务器下载到系统的所有有效证书。 单击下一步
  8. 在 " 系统证书 " 页面上,单击 导出系统证书 并下载系统证书。 将系统证书复制到每个配置的密钥服务器上的 SPECTRUM_VIRT 设备组的信任库。 不得将根证书上载到密钥服务器,因为 IBM Security Guardium Key Lifecycle Manager 不支持对 SPECTRUM_VIRT 设备组进行信任链检查。 有关更多信息,请参阅 IBM Security Guardium Key Lifecycle Manager的联机文档。
  9. 如果将 USB 闪存驱动器配置为加密方法,将显示“禁用 USB 加密”页面。 如果想要迁移到密钥服务器并禁用 USB 闪存驱动器,请选择。 如果要保留这两种加密方法,请单击
  10. 单击下一步
  11. 在“摘要”页面上,验证密钥服务器的配置并单击完成
要在命令行界面中使用 IBM Security Guardium Key Lifecycle Manager 密钥服务器启用加密,请完成以下步骤:
  1. 要在系统上启用加密,请参阅 chencryption 命令。
  2. 要启用密钥服务器类型并提供密钥服务器的证书,请参阅 chkeyserverisklm 命令。
  3. 要使用内部签名证书或外部签名证书,请参阅 satask exportrootcertificate 命令和 chsystemcert 命令。
  4. 要创建主密钥服务器和最多三个辅助密钥服务器并指定密钥服务器证书,请参阅 mkkeyserver 命令。
  5. 要验证系统是否已准备好,请参阅 lsencryption 命令。

使用 Thales CipherTrust ManagerGemalto SafeNet KeySecure 密钥服务器配置加密

对于 SafeNet KeySecure 密钥服务器,确保在启用加密前完成以下任务:
  1. 必须将每个密钥服务器配置为允许 TLS 1.2 进行安全通信。
  2. 确保在系统上安装来自每台 KeySecure 密钥服务器的有效 SSL 证书并正在使用该证书。 为每个 KeySecure 密钥服务器添加服务器证书,或者添加用于签署每个服务器证书的根 CA 证书。
  3. 如果计划使用用户名和密码向这些密钥服务器认证系统,那么必须在密钥服务器管理界面中配置用于认证的用户凭证。 对于 V8.10 和更高版本的 KeySecure,管理员可以配置用户名和密码,以在连接时对系统进行认证。 在 KeySecure V8.10 之前,密码是可选的。 要在系统和 KeySecure 密钥服务器之间设置使用用户名和密码的认证,请在 SafeNet KeySecure 界面中的高安全性菜单上禁用全局密钥。 禁用全局密钥时,密钥服务器不能在没有有效凭证的情况下认证客户机以创建或访问密钥。
  4. Storage Virtualize 证书必须由 SafeNet KeySecure 密钥服务器信任。 如果系统的根 CA 用于签署证书,那么系统的根证书必须作为外部 CA 安装在 SafeNet KeySecure 中,并添加到可用于 KMIP 的 CA 列表中。 或者,系统证书可以由可信第三方 CA 签署。 第三方根证书必须作为外部 CA 安装在 SafeNet KeySecure 中,并添加到可用于 KMIP 的 CA 列表中。 如果 Storage Virtualize 证书是自签名证书,那么必须将自签名证书作为外部 CA 安装在 SafeNet KeySecure 中,并将其添加到可用于 KMIP 的 CA 列表中。 建议不要使用自签名证书,因为 Storage Virtualize 与密钥服务器之间的连接在证书更新时中断,直到将新证书添加到密钥服务器为止。
  5. 如果当前通过 USB 闪存驱动器启用了加密,那么必须先将至少一个 USB 闪存驱动器插入系统中,之后才可以配置密钥服务器以管理密钥。
要使用管理 GUI 通过 Thales CipherTrust Manager KeySecure 密钥服务器启用加密,请完成以下步骤:
  1. 在管理 GUI 中,选择设置 > 安全 > 加密
  2. 单击启用加密
  3. 欢迎页面上,选择密钥服务器。 单击下一步
    注:您也可以同时选择密钥服务器USB 闪存驱动器来配置这两种方法以管理加密密钥。 如果任何一种方法不可用,可以使用另一种方法访问系统上加密的数据。
  4. 选择 Thales CipherTrust ManagerGemalto SafeNet KeySecure 作为密钥服务器类型。
  5. 输入每个密钥服务器的名称、IP 地址或域名和端口。 如果配置多个密钥服务器,那么您指定的第一个密钥服务器是主密钥服务器。 如果指定标准域名,那么必须在系统上配置 DNS 服务器。 要为系统配置 DNS 服务器,请选择设置 > 网络 > DNS您还可以使用 mkdnsserver 命令来配置 DNS 服务器。
  6. 在“密钥服务器凭证”页面上,输入用于向密钥服务器认证系统的用户名和密码。
  7. 在“密钥服务器证书”页面上,您必须将所有必需密钥服务器证书上载到系统。 密钥服务器只能使用来自可信第三方的证书或系统签署的证书。 所有实例都通过受同一密钥服务器证书保护的安全连接进行连接。 每个密钥服务器的服务器证书,或者根 CA 证书或包含该链中所有 CA 证书的文件。 此文件无需包含密钥服务器证书,仅需中间和根 CA 证书。 任何服务器证书优先于系统上针对密钥服务器安装的任何 CA 证书。 单击下一步
  8. 如果使用的是 Thales CipherTrust Manager ,那么 Storage Virtualize 证书必须由 CA 签名。
    • 如果 Storage Virtualize 证书由系统的根 CA 签署,请单击 导出根证书。 将根证书作为外部 CA 安装在 Thales CipherTrust Manager 密钥服务器上,并将其添加到可用于 KMIP 的外部 CA 列表中。
    • 如果 Storage Virtualize 证书由可信第三方 CA 签署,请将第三方 CA 的根证书作为外部 CA 安装在 Thales CipherTrust Manager 密钥服务器上,并将其添加到可用于 KMIP 的外部 CA 列表中。
    如果您使用的是 SafeNet KeySecure:
    • 如果 Storage Virtualize 证书由系统的根 CA 签署,请单击 导出根证书。 将根证书作为外部 CA 安装在 SafeNet KeySecure 密钥服务器上,并将其添加到可用于 KMIP 的外部 CA 列表中。
    • 如果 Storage Virtualize 证书由可信第三方 CA 签署,请将第三方 CA 的根证书作为外部 CA 安装在 SafeNet KeySecure 密钥服务器上,并将其添加到可用于 KMIP 的外部 CA 列表中。
    • 如果 Storage Virtualize 证书是自签名证书,请单击 导出系统证书。 将 Storage Virtualize 证书作为外部 CA 安装在 SafeNet KeySecure 密钥服务器上,并将其添加到可用于 KMIP 的外部 CA 列表中。
  9. 选择 系统的公用密钥证书已传输到每个配置的密钥服务器
  10. 如果将 USB 闪存驱动器配置为加密方法,将显示“禁用 USB 加密”页面。 如果想要迁移到密钥服务器并禁用 USB 闪存驱动器,请选择。 如果想要同时配置这两种加密方法,请单击
  11. 单击下一步
  12. 在“摘要”页面上,验证密钥服务器的配置并单击完成
要在命令行界面中使用 Thales CipherTrust Manager KeySecure 密钥服务器启用加密,请完成以下步骤:
  1. 要在系统上启用加密,请参阅 chencryption 命令。
  2. 要启用密钥服务器类型并提供根认证中心 (CA) 证书,请参阅 chkeyserverciphertrustmanager 命令。
  3. 要使用内部签名证书或外部签名证书,请参阅 satask exportrootcertificate 命令和 chsystemcert 命令。
  4. 要创建主密钥服务器和最多三个辅助密钥服务器并指定密钥服务器证书,请参阅 mkkeyserver 命令。
  5. 要验证系统是否已准备好,请参阅 lsencryption 命令。

使用通用 KMIP 密钥服务器配置加密

对于通用 KMIP 密钥服务器,请确保在启用加密前完成以下任务:
  1. 必须将每个密钥服务器配置为允许 TLS 1.2 进行安全通信。
  2. 确保每个通用 KMIP 密钥服务器的有效 SSL 证书已安装在系统上并投入使用。 要么为每个通用 KMIP 密钥服务器添加服务器证书,要么添加用于签署每个服务器证书的根 CA 证书。
  3. 如果计划使用用户名和密码来向这些密钥服务器认证系统,那么必须在密钥服务器管理界面中配置用于认证的用户凭证。 禁用全局密钥时,密钥服务器不能在没有有效凭证的情况下认证客户机以创建或访问密钥。
    注: IBM Storage FlashSystem 支持最大 32 字节的密文大小(密码),不支持 64 字节的密文大小。
  4. IBM Storage FlashSystem 证书必须得到通用 KMIP 密钥服务器的信任。 所有通用 KMIP 密钥服务器都不支持自签名证书。 因此,证书 Storage Virtualize 因此,证书必须由证书颁发机构(CA)签署。 如果使用系统的根证书颁发机构 (CA) 来签署证书,则必须在可用于 KMIP 的通用 KMIP 密钥服务器中更新系统的根证书。 或者,系统证书可以由可信第三方 CA 签署。 必须在可用于 KMIP 的通用 KMIP 密钥服务器中更新第三方根证书。
    注: 对于不同的 KMIP 密钥服务器,证书要求各不相同,如前所述:
    • 对于 Fortanix DSM 密钥服务器,证书的 CN 字段中包含 "UUID"。
    • 对于 Thales CipherTrust Manager 和 Utimaco 密钥服务器,证书的 CN 字段中包含 "用户名"。
  5. 如果当前通过 USB 闪存驱动器启用了加密,那么必须先将至少一个 USB 闪存驱动器插入系统中,之后才可以配置密钥服务器以管理密钥。
注: 有关支持的通用 KMIP 密钥服务器的更多信息,请参阅 IBM Storage Virtualize 支持的密钥服务器

管理 GUI 步骤和命令行界面步骤Thales CipherTrust Manager Gemalto SafeNet KeySecure 密钥服务器类似。