chsecmode 命令

在线编辑

用途

更改安全方式和密钥类型,并开始转换到指定的方式。

语法

chsecmode -c 方式 [- 方法 ] [-s 类型 ] [-f] [-x] [-]

描述

chsecmode 命令将 Reliable Scalable Cluster Technology (RSCT) 安全合规性方式设置为 nist_sp800_131a 方式。 还可以指定用于消息签名和验证的公用密钥、专用密钥和对称密钥的新生成方法。 也可以通过将 NIST 合规性方式传递为 none 来关闭该方式。

如果未指定密钥生成方法,那么即使该方式仍遵循指定的新合规性方式,也不会更改当前方法。 如果密钥生成方法不合规,那么 rsa2048_sha256 方法用于 nist_sp800_131a 方式,而 rsa512 方法则用于 none 方式。

如果对称密钥类型是缺省值,那么将由 RSCT 在内部为指定的合规性方式选择实际密钥类型。 在 nist_sp800_131a 方式下,aes256_sha256 密钥用于缺省对称密钥类型。 如果关闭了合规性方式,那么将根据情况选择适当的对称密钥类型。

标志

描述
-c 方式 指定安全合规性方式。 有效方式为:nist_sp800_131anone
-f 即使密钥生成方法未更改,也生成新密钥。
-h 显示 chsecmode 命令的用法信息。
-m 方法 指定对于合规性方式有效的适当类型,该方式用于生成节点的公用密钥或专用密钥。 对于 nist_sp800_131a 方式,列示了下列有效密钥生成方法:
  • rsa2048_sha256
  • rsa2048_sha512
  • rsa3072_sha256
  • rsa3072_sha512
对于非 NIST 合规性方式 none,任何受支持的密钥生成方法都有效,其中包括 rsa512rsa1024 方法。
-s类型 指定集群的缺省对称密钥类型。 下列对称密钥类型对于 nist_sp800_131a 方式有效:
  • aes128_sha256
  • aes128_sha512
  • aes256_sha256
  • aes256_sha512
对于非 NIST 合规性方式 none,任何受支持的对称密钥类型都有效,其中包括:
  • aes128_md5
  • aes256_md5
  • 3des_md5
  • des_md5
-x 强制覆盖暂挂操作。 如果存在暂挂更改,但是未指定 -x 选项,那么 chsecmode 命令在用于更改安全配置时会失败。

安全性

chsecmode 命令仅允许 root 用户运行该命令。

退出状态

0
成功完成。
27
“对称密钥或非对称密钥无效”错误。
54
“输入参数无效”错误。
55
“THL 文件更新失败”错误。
56
startsrc 命令失败。
57
stopsrc 命令失败。
58
refresh <subsystem> 命令失败。
59
“合规性方式无效”错误。
60
API 错误。

示例

  1. 要对合规的密钥生成方法和对称密钥类型启用 NIST 合规性方式,请输入:
    chsecmode -c nist_sp800_131a
    如果当前方法和对称密钥类型合规,那么不会更改它们。 如果当前方法和类型不合规,那么将使用下列值:rsa2048_sha256 方式(用于密钥生成方法)和 aes256_sha256 方式(用于对称密钥类型)。
  2. 要对 rsa2048_sha512 密钥生成方法启用 NIST 合规性方式,请输入:
    chsecmode -c nist_sp800_131a -m rsa2048_sha512
    如果当前对称密钥已合规,那么不会更改该对称密钥。 如果当前对称密钥不合规,那么会将其替换为 aes256_sha256 密钥。
  3. 要对 rsa2048_sha512 密钥生成方法和 aes128_sha512 对称密钥启用 NIST 合规性方式,请输入:
    chsecmode -c nist_sp800_131a -m rsa2048_sha512 -s aes128_sha512
  4. 要禁用 NIST 合规性方式,请输入:
    chsecmode -c none
    不会更改当前密钥生成方法和对称密钥类型。
  5. 要通过使用 rsa512 密钥生成方法来生成公用密钥和专用密钥,请输入:
    chsecmode -m rsa512
    如果当前合规性方式是 nist_sp800_131a,那么将拒绝此操作。 如果当前合规性方式是 none,但是当前密钥生成方法不是 rsa512,那么当前密钥生成方法将替换为 rsa512,并生成新的专用密钥对或公用密钥对。
  6. 要在即使密钥生成方法未更改时也强制生成公用密钥和专用密钥,请输入:
    chsecmode -m rsa512 -f
    如果当前合规性方式是 nist_sp800_131a,那么将拒绝此操作。 如果当前合规性方式是 none,并且当前密钥生成方法已替换为 rsa512 方法,那么即使当前公用密钥或专用密钥已包含在 rsa512 方法中,也会生成新的专用密钥对或公用密钥对。
  7. 要覆盖或取消任何暂挂操作,请输入:
    chsecmode -x -c nist_sp800_131a
    如果存在暂挂合规性方式,那么将忽略暂挂操作,并且新的合规性方式开始更改为 nist_sp800_131a 方式。

位置

描述
/opt/rsct/bin/chsecmode 包含 chsecmode 命令。

文件

描述
/var/ct/cfg/ct_has.pkf 节点的集群安全服务公用密钥文件的缺省位置。
/var/ct/cfg/ct_has.qkf 节点的集群安全服务专用密钥文件的缺省位置。
/var/ct/cfg/ct_has.thl 节点的集群安全服务可信主机列表的缺省位置。