hdcryptmgr 命令

用途

对逻辑卷和物理卷进行加密管理。

语法

hdcryptmgr action [ -h ] [ flags ] devicename

描述

hdcryptmgr 命令用于管理已加密的逻辑卷。从 IBM® AIX® 7.3 技术 1 级开始，可以运行 hdcryptmgr 命令来管理加密逻辑卷和加密物理卷。管理加密逻辑卷或物理卷的方法是指定操作参数，执行以下操作之一：

注意：操作参数的某些属性针对逻辑卷或物理卷。不过， 操作参数的某些属性可同时用于逻辑卷和物理卷。

表 1. hdcryptmgr 指挥行动
类别	`action` 参数	描述
显示加密设置	showvg	显示卷组的数据加密状态。
	showlv	显示逻辑卷的数据加密状态。
	showmd	显示特定卷的加密元数据。
	showconv	显示加密逻辑卷到解密逻辑卷以及解密逻辑卷到逻辑卷的活动和停止转换操作状态。
	showpv	显示加密物理卷的状态。
控制认证方法	authinit	初始化加密卷中数据的主密钥。
	authunlock 或 authunl	对加密卷进行身份验证，以解锁加密卷的主密钥。
	authadd	添加更多身份验证方法。
	authcheck 或 authchk	检查认证方法的有效性。
	authdelete 或 authdel	删除一种身份验证方法。
	authmod	修改密码口令密钥保护方法的密码。
	authsetrvgpwd 或 setrvgpwd	设置 BOS 安装后根卷组 (rootvg) 的恢复密码。
管理平台密钥存储 (PKS) 密钥	pksimport	导入 PKS 密钥。
	pksexport	导出 PKS 密钥。
	pksclean	删除 PKS 密钥。
	pksshow	显示 PKS 按键的状态。
转换逻辑卷的加密状态	plain2crypt	启用逻辑卷加密并加密逻辑卷数据。
转换逻辑卷的加密状态	crypt2plain	解密逻辑卷数据并禁用逻辑卷加密。
物理卷加密	pvenable	启用物理卷加密。
	pvdisable	禁用物理加密卷。
	pvsavemd	将物理卷元数据保存到指定文件。
	pvrecovmd	恢复物理卷元数据。

注意：非易失性内存快速接口（NVMe）和虚拟持久内存（ vPMem ）磁盘不支持加密。

显示加密设置

您可以使用 hdcryptmgr 命令运行以下操作来显示加密设置：

showvg

语法：

hdcryptmgr showvg [ -h ] [ device ]

显示指定卷组的数据加密状态。如果没有指定卷组， hdcryptmgr 命令会显示卷组的加密状态。

# hdcryptmgr showvg
VG NAME / ID          ENCRYPTION ENABLED  
EVG1                      yes                 
INSTALLVG                 yes                 
rootvg                    no

showlv

语法：

hdcryptmgr showlv [ -h ] [ -v ] device

显示逻辑卷的数据加密状态。指定卷组或逻辑卷的设备名称。指定卷组后， hdcryptmgr 命令会显示卷组中逻辑卷的数据加密状态。指定逻辑卷时，此命令将显示指定逻辑卷的数据加密状态。如果未启用卷组的数据加密功能，则会显示一条信息，说明未在卷组上启用加密功能。

# hdcryptmgr showlv vg00
NAME                 CRYPTO_STATUS    %ENCRYPTED       NOTE            
lv00                 unlocked         100             
lv01                 unlocked         100             
lv03                 not_enabled      0               
lv04                 locked           100             
lv02                 uninitialized    0               
lv06                 uninitialized    n/a              not_accessible  
lv07                 locked           100             
fslv00               locked           1                encrypting

showmd

语法

hdcryptmgr showmd [ -h ] [ -v ] device

显示特定逻辑卷，卷组或物理卷的加密元数据。指定逻辑卷、卷组或物理卷的设备名称。指定卷组时，仅显示指定卷组的头和尾部加密元数据。指定已加密的物理卷时，将显示与该物理卷相关联的元数据。如果指定的物理卷未加密，并且是包含加密逻辑卷的卷组的一部分，则会显示加密逻辑卷的元数据。即使相应的卷组未开启，也会显示元数据。指定逻辑卷时，将显示特定逻辑卷的整个加密元数据。

# hdcryptmgr showmd ELV1
.....
.....    Wed Jun 17 13:25:46 2020
.....    Device type : LV
.....    Device name : ELV1
.....

=============== B: LV HEADER ================
Version                      : 0
MasterKey                    : Defined
MasterKey size               : 16 bytes
Encryption status            : Fully encrypted
Data crypto algorithm        : AES_XTS
=============== E: LV HEADER ================

============= B: LV AUTH METHODS ============
---- Index #0 -------------------------------
Method defined               : yes
Method name                  : initpwd
Authentication type          : Passphrase
Auto-auth method             : no
MasterKey crypto algorithm   : AES_GCM
---- Index #1 -------------------------------
Method defined               : no
---- Index #2 -------------------------------
Method defined               : no
---- Index #3 -------------------------------
Method defined               : no
---- Index #4 -------------------------------
Method defined               : no
---- Index #5 -------------------------------
Method defined               : no
============= E: LV AUTH METHODS ============

showconv

语法

hdcryptmgr showconv [ -h ]

显示正在转换的逻辑卷的活动和停止进程状态。

# hdcryptmgr showconv
NAME          TID/STATUS       %ENCRYPTED       DIRECTION        START_TIME      
lv03          29557045         3                plain2crypt      Sun Feb 14 09:43:10 2021
fslv00        stopped/dirty    1                plain2crypt

showpv

语法：

hdcryptmgr showpv [ -h ] [ -v ] [ device ]

-h: 打印帮助信息。
-v: 指定详细方式。如果指定了物理卷设备名，那么打印更详细的输出。
台设备: 指定加密物理卷的设备名。 device 属性是可选的。

显示有关一个或所有加密物理卷的信息。如果指定了加密物理卷名称，那么将显示有关特定物理卷的信息。如果未指定设备名称，则会显示加密物理卷的相关信息。

# hdcryptmgr showpv
NAME                    CRYPTO_STATUS       %ENCRYPTED     NOTE
hdisk24                 unlocked             100
hdisk25                 unlocked             100

控制认证方法

逻辑卷和物理卷的加密功能支持口令、密钥文件、密钥服务器管理解决方案 ( IBM Security Key Lifecycle Manager (keyserv),

Key Protect (IBM Key
Protect for IBM Cloud®)

, HPCS ( IBM Cloud® Hyper Protect Crypto Services (HPCS) 和 PKS 等密钥保护方法。为口令和密钥文件保护方法手动指定密码或密钥文件位置。您可以使用密钥服务器管理和 PKS 保护方法来自动解锁和激活加密卷。要将密钥服务器身份验证方法限定为自动方法，请在 PKS 中存储客户证书密码，或选择不为客户证书设置密码。要控制身份验证方法，可以使用 hdcryptmgr 命令执行以下操作：

authinit

语法

hdcryptmgr authinit [ -h ] [ -e algo_detail ] [ -n name ] device

初始化已加密卷的主密钥和加密元数据。对于每个加密卷，主密钥和加密元数据必须仅初始化一次。从密钥保护方法获取的第一个口令将添加到卷的加密元数据中。 pvenable 操作参数还运行 authinit 操作参数以初始化物理卷上的认证。您可以为 authinit 操作参数指定以下标志或值:

-e

指定数据加密算法，方式和密钥长度。以下是 -e 标志的有效值：

提示符: 指定在命令运行时提示加密算法详细信息。
[算法]:[b|B][密钥长度][:w]: 指定加密算法详细信息。受支持的算法是高级加密标准 XTS 方式 (AES-XTS) 128 位或 256 位。默认情况下，字符 b 表示密钥的位数，字符 B 表示密钥的字节数， key_len 变量表示密钥的长度。 :w 参数使用指定的值覆盖卷组的缺省值。默认情况下，创建启用加密的卷群或物理卷时，默认加密算法为 AES-XTS 128 位。

-n

指定密钥保护方法的名称。名称的变化范围为 1 至 15 个字符，且只能包含 A - Z、a - z、0 - 9、下划线 (_)、减号 (-) 或句点 (.) 等字符。所有其他字符均视为无效。

台设备

指定必须初始化密钥保护方法的逻辑卷或卷组或物理卷的设备名。

authadd

语法

hdcryptmgr authadd [ -h ] [ -t type [ -m method_detail ] ] [ -n name ] device

为已初始化密钥保护方法的加密卷添加更多密钥保护方法。要激活添加到加密卷的认证方法，必须解锁加密卷。该操作参数可使用以下标志或值指定：

-t

指定密钥保护类型。有效值为 pwd， keyfile， keyserv， hpcs和 pks。

-m

指定有关密钥保护方法的任何其他信息，这些信息可能包含以下详细信息:

认证密钥文件的输入路径
KeySvr 对象数据管理器 (ODM) 类中的密钥服务器标识
HpcsSvr ODM 类中的关键服务器名称

-n

指定密钥保护方法的名称。名称可以是 1 到 15 个字符，并且只能包含 A - Z、a - z、0 - 9、下划线 (_)、减号 (-) 或句点 (.) 等字符。所有其他字符均视为无效。

台设备

指定必须为其添加密钥保护方法的逻辑卷或物理卷的设备名。

如果在运行 hdcryptmgr authadd 命令时未指定必需的标志或值，那么系统会提示您指定相同的标志或值。有关注册密钥服务器信息的信息，请参阅 keysvrmgr 命令。

authunlock 或者 authunl

语法：

hdcryptmgr authunlock [ -h ] [ -t type [ -m method_detail ] ] [ -A] device

向已加密的卷进行认证并解锁已加密的卷。该操作参数可使用以下标志或值指定：

-A

使用无需用户输入的自动密钥保护方法，对加密逻辑卷进行身份验证。只有当卷组使用自动密钥保护方法（如密钥服务器管理解决方案或 PKS）时，才在卷组级使用此标记。

-t

指定密钥保护方法的类型。有效值为 pwd， keyfile， keyserv， hpcs和 pks。

-m

指定有关密钥保护方法的任何其他信息，这些信息可能包含以下详细信息:

认证密钥文件的输入路径
KeySvr ODM 类中的密钥服务器标识
HpcsSvr ODM 类中的关键服务器名称

台设备

指定必须认证的逻辑卷或物理卷的设备名，然后必须解锁密钥保护方法。使用 -A 标志指定该值。

指定设备名时，可以使用 -t 和 -m 标志来指定密钥保护方法。如果多个密钥保护方法符合条件，那么系统会提示您选择特定的密钥保护方法。

注: 对于在引导操作期间使用密钥服务器认证方法对逻辑卷进行解密的加密逻辑卷，服务器或客户机证书必须位于 /etc 目录或引导操作序列中早期安装的文件系统中。

authcheck 或者 authchk

语法

hdcryptmgr authcheck [ -h ] [ -t <type> [ -m <method_detail> ] ] [ -i <index> ] [ -n <name> ] <device>

检查认证方法的有效性。您可以使用以下标志或值指定该操作参数：

-h

显示帮助信息。

-t

指定密钥保护方法的类型。有效值为 pwd， keyfile， keyserv， hpcs和 pks。

-m

指定有关密钥保护方法的任何其他信息，这些信息可能包含以下详细信息:

认证密钥文件的输入路径
KeySvr ODM 类中的密钥服务器标识
HpcsSvr ODM 类中的关键服务器名称

-i

仅检查指定索引的认证。会根据所选索引自动强制选择验证类型。

-n

指定必须检查的密钥保护方法的名称。名称的范围为 1 至 15 个字符，只能包含 A - Z、a - z、0 - 9、下划线 (_)、减号 (-) 或句点 (.) 等字符。所有其他字符均视为无效。

台设备

指定必须检查的逻辑卷或物理卷的设备名。

authdelete 或者 authdel

语法

hdcryptmgr authdelete [ -h ] [ -t type [ -m method_detail ] ] [ -i index] [ -n name ] [ -f ] device

除去已启动的密钥保护方法。您可以使用以下标志或值指定该操作参数：

-t

指定密钥保护类型。有效值为 pwd、 keyfile、 keyserv、 hpcs 和 pks。

-m

指定有关密钥保护方法的任何其他信息，这些信息可能包含以下详细信息:

认证密钥文件的输入路径
KeySvr ODM 类中的密钥服务器标识
HpcsSvr ODM 类中的关键服务器名称

-i

指定必须删除的密钥保护方法的索引。

-n

指定必须删除的密钥保护方法的名称。名称可以是 1 到 15 个字符，并且只能包含 A - Z、a - z、0 - 9、下划线 (_)、减号 (-) 或句点 (.) 等字符。所有其他字符均视为无效。

-f

指定强制选项。此标志绕过认证方法检查以除去密钥保护方法。

台设备

指定必须为其删除密钥保护方法的逻辑卷或物理卷的设备名。

一次只能除去一个密钥保护方法。如果您知道密钥保护方法的正确索引或名称，那么可以使用 -i 或 -n 标志来指定密钥保护方法。您可以使用 -t 和 -m 标志来过滤现有密钥保护方法的列表。如果多个条目与指定的条件匹配，那么系统会提示您选择必须除去的密钥保护方法。

在除去密钥保护方法之前，将检查密钥保护方法的有效性，除非使用了 -f 标志。使用选定的密钥保护方法对加密卷进行身份验证。

注意：在执行 authdelete 操作后，确保加密卷至少有一个口令密钥保护方式。

authsetrvgpwd 或者 setrvgpwd

语法

hdcryptmgr authsetrvgpwd [-h]

设置 rootvg 的恢复密码。在 LPAR 中安装操作系统时，如果启用了逻辑卷加密，则只为加密逻辑卷创建 PKS 身份验证方法。在安装完成并且 LPAR 以正常方式引导后，必须运行 hdcryptmgr authsetrvgpwd 命令为 rootvg 添加恢复密码。

authmod

语法

hdcryptmgr authmod [ -h ] [ -t <type> ] [ -i <index> ] [ -n <name> ] <device>

修改所选密钥保护方法。您可以使用以下标记指定该操作参数：

-h: 显示帮助信息。
-t: 指定密钥保护方法的类型。有效值为 pwd。
注意：默认情况下，如果您未指定，则密钥保护方法将设置为 pwd -t 运行 hdcryptmgrauthmod 命令。如果知道密钥保护方式的索引或名称，可以使用 -i 或 -n 标志来指定密钥保护方式。
-i: 仅修改指定的索引。
-n: 指定身份验证方法的名称。名称长度为 1 至 15 个字符，只能包含 A-Z、a-z、0-9、下划线 (_)、减号 (-) 或句点 (.)。所有其他字符均无效。
台设备: 指定必须检查的逻辑卷或物理卷的设备名。

管理 PKS 密钥

PKS 是一种安全的密钥保护方法，可在 IBM Power® E950 的 IBM PowerVM® 固件中使用。您可以为加密逻辑卷添加 PKS 密钥保护方法。您可以使用以下操作参数来管理用于身份验证的 PKS 密钥：

pksshow

语法

hdcryptmgr pksshow [-h]

显示与 PKS 密钥关联的卷的 PKS 标签以及 PKS 密钥的状态。将显示存储在 PKS 和卷元数据中的 PKS 标签。

# hdcryptmgr pksshow

Total PKS size: 65536 bytes 
Used  PKS size: 479 bytes
Estimated encryption key slots: 747

PKS_Label (LVid)                         Status		Device
00fb293100004c0000000174c0a994b7.1       VALID		 testlv
00fb293100004c0000000174c0a994b7.2       UNKNOWN	      
00fb293100004c0000000174c0a994b7.3       UNKNOWN	      

PKS_Label (PVuuid)                           status           Device          
pvuuid:706aa87a-e4d0-f2ec-3999-2631162226d2  VALID KEY        hdisk3

PKS_Label (objects)
ksvr:gpfs-pw-t2

pksclean

语法

hdcryptmgr pksclean [ -h ] <pks_label>

从 PKS 中除去无效密钥。指定与要删除的无效密钥相关联的 PKS 标签。此命令必须用于除去 hdcryptmgr pksshow 命令输出中列出的状态为 UNKNOWN的密钥。

pksexport

语法

hdcryptmgr pksexport [-h] -p ExportFile device

将 PKS 密钥导出到指定的文件中。如果指定逻辑卷或物理卷设备名称，则会导出与指定逻辑卷或物理卷相关联的 PKS 密钥。如果指定 VG 设备名，那么将导出与卷组中的逻辑卷相关联的所有 PKS 密钥。

注: 您可以将多个设备的 PKS 密钥导出到同一文件中。在 AIX 7.3.0中，现有文件内容将被新导出的内容覆盖。因此，使用不同的密码不会导致任何问题。在 AIX 7.3.1和更高版本中，新内容将追加到现有文件内容的末尾。因此，必须对所有设备使用相同的密码，否则 pksimport 命令将失败。

pksimport

语法

hdcryptmgr pksimport [-h] -p ExportFile [device]

将 PKS 密钥导入到指定的文件中。如果指定逻辑卷或物理卷设备名称，则会导入与指定逻辑卷或物理卷相关联的 PKS 密钥。如果指定 VG 设备名，那么将导入与卷组中的逻辑卷相关联的所有 PKS 密钥。如果未指定设备名，那么将导入所有 PKS 密钥。

转换逻辑卷的加密状态

您可以将普通逻辑卷转换为加密逻辑卷，也可以将加密逻辑卷转换为普通逻辑卷。只能对处于活动状态且处于联机状态的逻辑卷执行此转换操作。

警告：运行以下转换命令前，请先备份数据。

注: 在活动引导，转储，页面调度和 aio_cache 逻辑卷类型上不支持转换逻辑卷的加密状态。

rootvg 必须至少有一个空闲分区，用于将逻辑卷的加密状态从加密转换为解密，以及从解密转换为加密。当您转换 rootvg 中逻辑卷的加密状态时， hdcryptmgr 命令将创建恢复逻辑卷以存储在加密状态更改期间生成的恢复数据。而对于用户卷组中逻辑卷的加密， hdcryptmgr 命令使用恢复文件来存储恢复数据。请勿中断接收到 SIGKILL 信号的转换进程，因为您的操作可能会使逻辑卷处于脏状态。如果启动过程所需的逻辑卷处于脏状态，逻辑分区可能无法启动。逻辑分区必须在维护模式下修复或恢复。您可以使用以下操作参数来更改加密状态：

plain2crypt

语法

hdcryptmgr plain2crypt [-h] [-e algo_detail] [-n name] [-f] device

启用逻辑卷加密、配置加密设置并加密逻辑卷数据。该操作参数可使用以下标志和值指定：

-e

指定数据加密算法，方式和密钥长度。以下是 -e 标志的有效值：

提示符: 指定在命令运行时提示加密算法详细信息。
[算法]:[b|B][密钥长度][:w]: 指定加密算法详细信息。受支持的算法是高级加密标准 XTS 方式 (AES-XTS) 128 位或 256 位。默认情况下，字符 b 表示密钥的位数，字符 B 表示密钥的字节数， key_len 变量表示密钥的长度。 :w 参数使用指定的值覆盖卷组的缺省值。默认情况下，创建启用加密的卷群或物理卷时，默认加密算法为 AES-XTS 128 位。

-n

指定密钥保护方法的名称。名称长度为 1 至 15 个字符，只能包含 A - Z、a - z、0 - 9、下划线 (_)、减号 (-) 或句点 (.)。所有其他字符均无效。

-f

指定强制选项。如果不使用该标记， hdcryptmgr 命令会提示您确认数据已备份。强制选项禁止此提示。

台设备

指定必须转换其加密状态的逻辑卷的设备名。

crypt2plain

语法

hdcryptmgr crypt2plain [ -h ] [ -f ] device

解密指定逻辑卷的加密数据，并禁用指定逻辑卷的加密状态。该操作参数可使用以下标志和值指定：

-f: 指定强制选项。如果不使用该标记， hdcryptmgr 命令会提示您确认数据已备份。强制选项禁止此提示。
台设备: 指定必须转换其加密状态的逻辑卷的设备名。

管理物理卷加密

物理卷加密通过加密写入物理卷的数据来保护用户数据。基本操作系统在 I/O 操作期间执行物理卷数据加密和解密。有关物理卷加密的更多信息，请参阅加密的物理卷。

注意：如果在一个逻辑分区 (LPAR) 上使用 pvenable 或 pvdisable 操作参数启用或禁用了共享物理卷的加密，请在其他 LPAR 上为共享物理卷运行 rmdev 和 mkdev 命令，或重新启动其他 LPAR，以识别共享物理卷加密状态的更改。

您可以在加密物理卷上运行 hdcryptmgr 命令的以下操作参数:

pvenable

语法：

hdcrpytmgr pvenable [ -h ] [e algo detail ] [ -n <name> ] [ -f ] device

在物理卷上启用加密，配置主密钥，并初始化第一个认证方法。

-h

显示帮助信息。

-e

指定数据加密算法，方式和密钥长度。以下是 -e 标志的有效值：

提示符: 指示在命令运行时显示加密算法详细信息。
[算法]:[b|B][密钥长度][:w]: 指定加密算法详细信息。物理卷支持的算法是高级加密标准 XTS 方式 (AES-XTS) 128 位或 256 位。默认情况下，字符 b 表示密钥的位数（默认），字符 B 表示密钥的字节数， key_len 变量表示密钥的长度。 :w 参数使用指定的值覆盖卷组的缺省值。缺省情况下，当您创建对其启用数据加密的卷组或物理卷时，缺省加密算法将设置为 AES-XTS 128 位。

-n

指定必须检查的密钥保护方法的名称。名称长度为 1 至 15 个字符，只能包含 A - Z、a - z、0 - 9、下划线 (_)、减号 (-) 或句点 (.) 等字符。所有其他字符均无效。

-f

指定强制选项。如果不使用 -f 标志， hdcryptmgr 命令会提示您确认可以删除已启用数据加密的物理卷中的数据。

台设备

指定在其上启用加密的物理卷的名称。

pvdisable

语法：

hdcryptmgr pvdisable [ -h ] [ -f ] device

禁用物理卷加密。

-h: 显示帮助信息。
-f: 指定强制选项。如果不使用 -f 标志， hdcryptmgr 命令会提示您确认可以删除已禁用数据加密的物理卷中的数据。
台设备: 指定禁用加密的物理卷的名称。

pvsavemd

语法：

hdcryptmgr pvsavemd [-h] -p file device

将物理卷加密元数据保存到文件中。使用 pvenable 操作参数在物理卷上启用加密时， AIX 操作系统会在物理卷上保留空间以存储加密元数据。当为 I/O 操作解锁物理卷时，将使用加密元数据。 pvsavemd 操作参数保存加密元数据的副本。 pvrecovmd 操作参数验证加密元数据和引导记录，并从先前保存的文件复原加密元数据。

注: pvsavemd 和 pvrecovmd 操作参数仅保存并恢复物理卷上的加密元数据。 pvsavemd 操作参数不会保存外部数据，如存储在 PKS 密钥或外部密钥服务器中的加密详细信息。必须单独备份加密详细信息。

-h: 显示帮助信息。
-p: 指定用于保存加密元数据的文件路径。
台设备: 指定从中将加密元数据复制到指定文件的物理卷的名称。

pvrecovmd

语法：

hdcryptmgr pvrecovmd [-h] [-c] [-f] [-v] [-p File] device

pvrecovmd 操作参数验证加密物理卷上的加密元数据，并尝试复原任何损坏的加密元数据。

加密的物理卷具有两个加密元数据副本。 pvrecovmd 操作参数会验证和比较物理卷中的加密元数据副本。如果其中一个加密元数据副本不正确，那么 pvrecovmd 操作参数会使用正确的加密元数据覆盖不正确的加密元数据。 pvrecovmd 操作参数会验证引导记录，并在引导记录中包含正确的标记，以表明物理磁盘已加密。如果指定具有先前保存的加密元数据的文件，那么 pvrecovmd 操作参数将使用指定文件的内容来复原物理卷上的加密元数据。

-h: 显示帮助信息。
-f: 指定强制选项。如果加密元数据存在可纠正的问题， pvrecovmd 操作参数会在 hdcryptmgr 命令修正损坏的加密元数据前提示您确认。如果指定了 –f 选项，那么 pvrecovmd 操作参数将在没有提示的情况下写入物理卷。
-v: 指定冗长模式。如果指定了物理卷设备名，那么打印更详细的输出。
-p: 指定包含 pvsavemd 命令保存的元数据的文件路径。
-c: 检查物理卷上的加密元数据，但不更新物理卷。
台设备: 指定要验证其加密元数据的物理卷的名称。

pvrecovmd 操作参数必须仅与启用加密的物理卷配合使用。如果在未加密的物理卷上使用 pvrecovmd 操作参数，那么 hdcryptmr 命令可能会覆盖未加密的物理卷上的用户数据。

加密逻辑加密卷的命令和功能限制

有关加密逻辑卷时不支持的逻辑卷命令或功能的更多信息，请参阅加密逻辑卷中的限制部分。

示例

方案: 使用口令密钥保护方法创建加密逻辑卷

创建在其中启用加密的卷组。
```
# mkvg -k y hdisk1 hdisk2
vg00
```

创建一个大小为 32 MB 的加密逻辑卷。

# mklv -k y vg00 32M
mklv: Please run :
# hdcryptmgr authinit lvname [..] to define LV encryption options.
lv00

使用主密钥和口令密钥保护方法来初始化逻辑卷上的加密配置。

# hdcryptmgr authinit -n default lv00
Enter Passphrase:
Confirm Passphrase:
Password authentication method added successfully

场景在加密逻辑卷中创建文件系统

创建一个已启用加密的卷组，然后创建一个大小为 32 MB 的逻辑卷，然后初始化逻辑卷的加密配置。

# mkvg -k y hdisk1 hdisk2
vg00
# mklv -t jfs2 -k y vg00 32M
mklv: Please run :
# hdcryptmgr authinit lvname [..] to define LV encryption options.
fslv00
# hdcryptmgr authinit -n default fslv00
Enter Passphrase:
Confirm Passphrase:
Password authentication method added successfully

在加密逻辑卷中创建类似于在常规逻辑卷中创建文件系统的文件系统。

# crfs -v jfs2 -d fslv00 -m /mnt/myfs -A no
File system created successfully.
32560 kilobytes total disk space.
New File System size is 65536

方案: 向启用了加密的逻辑卷进行认证

当卷组被更改或系统重新启动时，对加密逻辑卷的身份验证就会失效。对加密逻辑卷进行身份验证，以访问其数据。为加密逻辑卷使用已配置的密钥保护方法。要验证启用加密的逻辑卷，请完成以下步骤：

使 VG 联机。

# varyonvg vg00
varyonvg: 1 encrypted LV defined in VG vg00.
To check if a LV is encrypted and if it is unlocked, use:
        hdcryptmgr showlv vgname    or
        hdcryptmgr showlv lvname
In order to unlock a LV, use:
        hdcryptmgr authunlock lvname

使用口令密钥保护方法进行认证。

# hdcryptmgr authunlock -t pwd fslv00
Enter Passphrase:
Password authentication succeeded

情景：修复启动操作系统所需的加密逻辑卷中损坏的 PKS 密钥

如果需要使用加密逻辑卷启动操作系统，则逻辑卷必须具有有效的 PKS 密钥。否则，启动过程不会成功。在这种情况下，必须以维护方式引导 LPAR。如果您正在使用 NIM 服务器以维护方式引导操作系统，那么以下指示信息适用。 hdisk0 磁盘包含 rootvg，而 hd3 逻辑卷中的 PKS 密钥已损坏。

在以下界面中选择 3 ：

       Maintenance 

Type the number of your choice and press Enter.

    1 Access a Root Volume Group 
    2 Copy a System Dump to Removable Media
>>> 3 Access Advanced Maintenance Functions
    4 Erase Disks
    5 Configure Network Disks (iSCSI)
    6 Select Storage Adapters

在以下界面中选择 0 ：

Information for Advanced Maintenance Functions

-------------------------------------------------------------------------------
 To return to the Maintenance Menu after completing maintenance
 activities, type exit on the command line and press Enter.

-------------------------------------------------------------------------------

 Type the number of your choice and press Enter.

>>> 0 Enter the Limited Function Maintenance Shell

运行以下命令修复加密的逻辑卷：

# LIBPATH=/SPOT/usr/lib:$LIBPATH
# importvg hdisk0
# hdcryptmgr32 authunlock hd3
# hdcryptmgr32 authdel -t pks hd3
# hdcryptmgr32 authadd -t pks -n initpks hd3

对所有需要修复的加密逻辑卷重复步骤 1 至 3。

情景：恢复启动操作系统所需的逻辑卷的中止转换操作

如果普通逻辑卷向加密逻辑卷的转换和加密逻辑卷向普通逻辑卷的转换被停止，您可以重新运行之前发出的 hdcryptmgr 转换命令来恢复转换操作。 hdcryptmgr 转换命令会读取转换恢复信息，并从上次运行时停止的位置重新开始转换过程。无论逻辑卷是否在启动过程中使用，都会运行 hdcryptmgr 转换命令。但是，如果在转换操作过程中重新启动 LPAR，并且 LPAR 进入脏状态，则重新启动操作可能会失败。例如，正在转换的数据块已部分加密，而正在转换的逻辑卷需要用于启动操作系统。在这种情况下，必须以维护方式引导 LPAR 并恢复转换操作。

以下指示信息假定您正在使用 NIM 服务器以维护方式引导操作系统。 hdisk0 磁盘包含 rootvg，而 hd3 逻辑卷由于转换过程中止而变为 dirty 状态。

在 Maintenance 菜单中选择 3 Access Advanced Maintenance Functions 。
在 Advanced Maintenance Functions 中选择 0 Enter the Limited Function Maintenance Shell 。

运行如下命令：

# LIBPATH=/SPOT/usr/lib:$LIBPATH
# importvg hdisk0
# hdcryptmgr32 plain2crypt hd3

方案: 创建加密物理卷

创建加密物理卷时，缺省情况下会向加密物理卷添加口令密钥保护方法。您可以使用以下命令对物理卷 (hdisk3) 启用加密:

# hdcryptmgr pvenable -f hdisk3
Enter Passphrase: 
Confirm Passphrase: 
Passphrase authentication method with name "initpwd" added successfully.

-f 标志指示 hdcryptmgr pvenable 命令可以覆盖物理卷中的数据而不提示确认。 hdcryptmgr pvenable 命令成功运行后，物理卷将启用加密，并解锁进行 I/O 操作。将对写入加密物理卷的任何数据进行加密，并对从加密物理卷读取的任何数据进行解密。

方案: 检查和更正已加密的卷元数据

hdcryptmgr pvrecovmd -c 命令验证加密物理卷上的加密元数据。如果物理卷具有两个加密元数据副本，那么 pvrecovmd 操作参数将验证并比较这两个加密元数据副本。

要验证物理卷 (hdisk24) 上的加密元数据，请输入以下命令:

# hdcryptmgr pvrecovmd -cv hdisk24

如果物理卷 (hdisk24) 上的两个加密元数据副本都有效，那么将显示以下消息:

Metadata area 1 is valid.
Metadata area 2 is valid.
IPL record is valid for an encrypted disk.
All encryption fields for disk hdisk24 are valid.
Check of metadata on PV hdisk24 is complete.
pvrecovmd action complete.

如果物理卷 (hdisk24) 上的任何加密元数据副本损坏，则会显示以下信息：

Metadata area 1 is valid.
Disk metadata copy #2 is corrupt.
IPL record is valid for an encrypted disk.
Check of metadata on PV hdisk24 is complete.
pvrecovmd action complete.

要使用物理卷 (hdisk24) 上的正确加密元数据覆盖损坏的加密元数据，请输入以下命令:

# hdcryptmgr pvrecovmd hdisk24 -v

hdcryptmgr pvrecovmd 命令显示以下消息并提示您确认是否可以覆盖损坏的加密元数据:

Metadata area 1 is valid.
Disk metadata copy #2 is corrupt.
IPL record is valid for an encrypted disk.
Preparing to write the following fields to the disk:
    Backup metadata
Warning, about to write to disk hdisk25
Do you wish to continue?  y(es) or n(o)?

如果要覆盖已损坏的加密元数据，请输入 y。 hdcryptmgr pvrecovmd 命令使用正确的加密元数据覆盖损坏的加密元数据，并显示以下消息:

Encrypted disk recovery attempt complete.
pvrecovmd action complete.

文件

/usr/sbin/hdcryptmgr: 包含 hdcryptmgr 命令。