在密钥管理方法之间进行迁移

一旦在系统上配置了加密,在不同密钥管理方法之间迁移时不会造成中断,也不需要对任何已存储的静态数据进行重新加密。 您可以使用管理图形用户界面或命令行界面,在 U 盘加密和基于密钥服务器的加密之间进行迁移。

不同密钥服务器类型之间的迁移不能直接从一种类型的密钥服务器迁移到另一种类型的密钥服务器。 必须使用 USB 闪存盘加密技术来简化这一过程。 如果要从一种类型的密钥服务器迁移到另一种类型的密钥服务器,首先必须从当前的密钥服务器迁移到 USB 加密,然后再从 USB 迁移到另一种类型的密钥服务器。

要从密钥服务器迁移到 USB 闪存驱动器,只能使用命令行界面。 迁移期间,系统支持同时配置这两种密钥管理方法。 迁移完成后,您可以禁用原密钥管理方法。

使用管理 GUI

迁移期间,在新方法的配置完成之前,系统不会禁用当前配置的密钥管理方法。 因此,仍可以使用当前密钥访问加密数据,直至迁移完成。 例如,如果从 USB 闪存驱动器迁移至密钥服务器,那么 USB 闪存驱动器上的旧密钥仍可用,直至完成配置密钥服务器加密。 但是,必须先将至少一个包含当前加密密钥的 USB 闪存驱动器插入系统中,然后才能迁移到密钥服务器。 在配置密钥服务器之后,USB 闪存驱动器上的原密钥无法再解密系统上的数据。 请根据建议的敏感信息处理过程来处理任何旧 USB 闪存驱动器。 对于需要有关 USB 闪存驱动器的严密安全策略的组织,系统支持禁用这些端口以阻止系统数据到便携媒体设备的未经授权传输。 在将密钥迁移到密钥服务器后,您可以使用命令行界面来禁用 USB 端口。
注:管理 GUI 仅支持从 USB 闪存驱动器迁移到密钥服务器加密方法。 要从密钥服务器迁移到 USB 闪存驱动器,必须使用命令行界面。
在迁移到基于密钥服务器的加密之前,请确保将至少一个包含当前加密密钥的 USB 闪存驱动器插入系统中。 要将加密从 USB 闪存驱动器迁移到密钥服务器,请完成以下步骤:
  1. 在管理 GUI 中,选择设置 > 安全 > 加密
  2. 在“加密”页面上,验证以下信息:
    1. 展开 USB 闪存驱动器,并验证在系统中是否已配置并检测到 USB 闪存驱动器。
    2. 展开密钥服务器,并验证在系统上是否未配置密钥服务器。
  3. 密钥服务器下,单击配置
    注意: 要在 8.1.0.0 或更高版本上启用密钥服务器管理加密密钥,必须执行 USB 重配操作。
  4. 选择用于管理加密密钥的密钥服务器的类型。 系统支持 IBM® Security Guardium® Key Lifecycle ManagerThales CipherTrust Manager 金雅拓 SafeNet Key Secure 和通用 KMIP 密钥服务器来处理系统上的密钥管理。 如果您目前使用金雅拓 SafeNet Key Secure 密钥服务器,则可以迁移到 Thales CipherTrust Manager
    注意: 如果要迁移到通用 KMIP 密钥服务器,请选择 Thales CipherTrust Manager 密钥服务器。 有关支持的通用 KMIP 密钥服务器的更多信息,请参阅 IBM Storage Virtualize 支持的密钥服务器
  5. 输入每个密钥服务器的名称、IP 地址或标准域名和端口。 如果配置多个密钥服务器,那么您指定的第一个密钥服务器是主密钥服务器。 如果指定标准域名,那么必须在系统上配置 DNS 服务器。 要为系统配置 DNS 服务器,请选择设置 > 网络 > DNS您还可以使用 mkdnsserver 命令配置 DNS 服务器。
  6. 如果选择了 IBM SGKLM(带 KMIP),那么将显示“密钥服务器选项”页面。 选择 SPECTRUM_VIRT 作为密钥服务器的设备组。 此外还必须在系统的每个密钥服务器上配置此设备组。
  7. 如果选择了 Thales CipherTrust ManagerGemalto SafeNet KeySecure,那么将显示“密钥服务器凭证”页面。 如果已启用使用用户名和密码的密钥服务器认证,请输入此用户名和密码。 这些凭证用于在每次连接到密钥服务器时对系统进行认证。 此用户名和密码必须与密钥服务器上配置的凭证相匹配。
  8. 在“密钥服务器证书”页面上,您必须将所有必需密钥服务器证书上载到系统。 密钥服务器可以使用自签名证书或由证书颁发机构签名的证书。 您也可以在密钥服务器上使用这两种类型的证书。 如果所有密钥服务器证书由相同 CA 进行签名,那么上载根 CA 证书。 如果密钥服务器使用自签名证书,那么必须单独将证书上载到系统。 任何自签名证书都优先于系统中为密钥服务器安装的任何 CA 签名证书。 如果密钥服务器证书由一系列 CA 签署,则必须创建并安装证书链文件。
    注意: 通用 KMIP 不支持自签系统证书。 通用 KMIP 密钥服务器只能使用 CA 签名的证书。

  9. 如果使用 IBM Security Guardium Key Lifecycle Manager 导出系统证书并将其安装到密钥服务器上。

  10. 如果使用 Thales CipherTrust Manager ,则证书必须由 CA 签名。 IBM Storage Virtualize 证书必须由 CA 签名。
    • 如果 IBM Storage Virtualize 证书由系统的根 CA 签发,请完成以下步骤:
      1. 选择设置 > 安全性 > 系统证书
      2. 单击导出根证书
      3. Thales CipherTrust Manager 密钥服务器上安装根证书作为外部 CA,并将其添加到可用于密钥管理互操作性协议 (KMIP) 的外部 CA 列表中。
    • 如果 IBM Storage Virtualize 证书由受信任的第三方 CA 签名,则将第三方 CA 的根证书作为外部 CA 安装到 Thales CipherTrust Manager 密钥服务器上,并将其添加到可用于 KMIP 的外部 CA 列表中。
  11. 如果使用金雅拓 SafeNet Key Secure,那么证书可以是 CA 签名或自签名。 IBM Storage Virtualize 证书可以是 CA 签名或自签名。
    • 如果 IBM Storage Virtualize 证书由系统的根 CA 签发,请完成以下步骤:
      1. 选择设置 > 安全性 > 系统证书
      2. 单击导出根证书
      3. 将根证书作为外部 CA 安装到 SafeNet KeySecure 密钥服务器上,并将其添加到可用于 KMIP 的外部 CA 列表中。
    • 如果 IBM Storage Virtualize 证书由受信任的第三方 CA 签名,请将第三方 CA 的根证书作为外部 CA 安装到 SafeNet KeySecure 密钥服务器上,并将其添加到可用于 KMIP 的外部 CA 列表中。
    • 如果 Storage Virtualize 证书是自签名的,请完成以下步骤:
      1. 选择设置 > 安全性 > 系统证书
      2. 单击导出系统证书
      3. 将证书作为外部 CA 安装到 SafeNet KeySecure 密钥服务器上,并将其添加到可用于 KMIP 的外部 CA 列表中。
  12. 返回到“系统加密证书”页面,并选择系统公用密钥证书已传输到每个配置的密钥服务器
  13. 禁用 USB 加密页面上,选择,然后单击下一步
  14. 在“摘要”页面上,验证密钥服务器的配置并单击完成。 在配置完成后,USB 闪存驱动器上存储的密钥将变为无效。 确保您安全地处置所有 USB 闪存驱动器。

使用 CLI

在可以迁移到基于密钥服务器的加密之前,请确保将至少一个包含当前加密密钥的 USB 闪存驱动器插入系统中。 要从 USB 闪存驱动器迁移到密钥服务器以管理加密密钥,请完成以下步骤:
从 USB 闪存驱动器迁移到 IBM Security Guardium Key Lifecycle Manager 密钥服务器
  1. 输入以下命令以验证在系统上是否已启用使用 USB 闪存驱动器的加密:
    lsencryption
  2. 输入以下 CLI 命令以在系统上启用使用密钥服务器的加密:
    chencryption -keyserver enable
  3. 启用密钥服务器类型,并在需要时提供根认证中心 (CA) 证书:
    chkeyserverisklm -enable -sslcert /tmp/rootCA.crt
  4. 创建主密钥服务器并指定密钥服务器证书:
    mkkeyserver -ip ip_address_or_domain_name -port port -primary
  5. 如果计划使用多个密钥服务器,请多次输入以下命令以最多再指定三个使用相同密钥服务器证书的辅助密钥服务器:
    mkkeyserver -ip ip_address_or_domain_name -port port -primary
  6. 创建系统加密密钥,并将密钥写入指定的密钥服务器:
    chencryption -keyserver newkey -key prepare
    此命令使准备好的密钥成为最新密钥,并将密钥值存储在所有配置的密钥服务器上。
  7. 要验证系统是否准备就绪,请输入以下命令:
    lsencryption
    确认 keyserver_rekey 参数的值为prepared.......prepared值表示新密钥已准备好提交。
  8. 要落实密钥,请输入以下命令:
    chencryption -keyserver newkey -key commit
  9. 落实密钥服务器的新密钥之后,通过输入以下命令禁用 USB 闪存驱动器的加密:
    chencryption -usb disable
从 USB 闪存驱动器迁移到 Thales CipherTrust Manager、金雅拓 SafeNet 安全密钥或通用 KMIP 密钥服务器
  1. 输入以下命令以验证在系统上是否已启用使用 USB 闪存驱动器的加密:
    lsencryption
  2. 输入以下 CLI 命令在您的系统上启用加密功能:
    chencryption -keyserver enable
  3. 启用密钥服务器类型,并在需要时提供根认证中心 (CA) 证书。
    chkeyserverciphertrustmanager -enable -sslcert /tmp/CASigned.crt
    注: chkeyserverciphertrustmanager 用于 Thales CipherTrust Manager、金雅拓 SafeNet 安全密钥和通用 KMIP 密钥服务器。
  4. 如果需要,请配置用于向密钥服务器认证系统的用户名和密码:
    chkeyserverciphertrustmanager -username admin -password 'examplepassword'
  5. 如果需要,请创建主密钥服务器并指定密钥服务器证书:
    mkkeyserver -ip ip_address_or_domain_name -port port -sslcert /tmp/ServerCert.crt -primary
  6. 如果需要,请创建最多三个辅助密钥服务器并指定密钥服务器证书。
    mkkeyserver -ip ip_address_or_domain_name -port port -sslcert /tmp/ServerCert.crt
  7. 要验证系统是否准备就绪,请输入以下命令:
    lsencryption
    检查 keyserver_rekey 参数的值是否为prepared.......prepared值表示新密钥已准备好提交。
  8. 要落实密钥,请输入以下命令:
    chencryption -keyserver newkey -key commit
    此命令使新密钥成为最新密钥,并将其复制到主密钥服务器。
  9. 落实密钥服务器的新密钥之后,通过输入以下命令禁用 USB 闪存驱动器的加密:
    chencryption -usb disable
如果系统已通过密钥服务器启用加密,请确保主密钥服务器已连接到系统并能提供当前加密密钥。 要从密钥服务器迁移到 USB 闪存驱动器来管理加密,请完成以下步骤:
  1. 输入以下命令以验证在系统上是否已启用使用密钥服务器的加密:
    lsencryption
  2. 输入以下 CLI 命令在您的系统上启用加密功能:
    chencryption -usb enable
  3. 确保安装了足够的闪存驱动器:
    lsportusb
    检查 status 参数的值是否为active.此状态表示闪存盘已插入存储罐,系统可以使用。
  4. 创建系统加密密钥,并将这些密钥写入所有系统连接的闪存驱动器:
    chencryption -usb newkey -key prepare
  5. 将准备好的密钥落实为最新密钥。 当 usb_rekeylsencryption 值设置为prepared且加密密钥的数量大于所需的最小数量。
    chencryption -usb newkey -key commit

    没有写入闪存设备的密钥,就不能访问加密阵列,且数据将丢失。 至关重要的是,要有足够的密钥副本,以便在发生灾难时可用并提供额外备份。 您可以通过生成已创建文件的备份来复制密钥材料。

  6. 落实新密钥后,通过输入以下命令禁用密钥服务器的加密:
    chencryption -keyserver disable