5 Operaciones del responsable de la seguridad

Un responsable de la seguridad gestiona la configuración de seguridad, los usuarios, los sitios y los socios de transferencia. En este capítulo, se describe lo siguiente:

• Operaciones que puede realizar un usuario con el rol de responsable de la seguridad. Si se le asignaron varios roles, consulte el capítulo adecuado para obtener instrucciones sobre cómo desempeñar el rol específico.

• Procedimientos para activar y desactivar una cuenta de asistencia técnica.

Rol de responsable de la seguridad

Como responsable de la seguridad, puede gestionar las entidades (dispositivos de gestión de claves, usuarios, sitios, socios de transferencia) y diversos aspectos del sistema.

Menú KMA List (Lista de dispositivos de gestión de claves)

La opción de menú KMA List (Lista de dispositivos de gestión de claves) le permite:

• Visualizar dispositivos de gestión de claves

• Crear un dispositivo de gestión de claves

• Modificar la información de un dispositivo de gestión de claves

• Suprimir un dispositivo de gestión de claves

• Modificar el tamaño de una agrupación de claves (consulte "Modificación del tamaño de una agrupación de claves"). Esta es una función del operador de copias de seguridad.

  Nota:

  Los seis roles ahora pueden acceder al panel KMA List (Lista de dispositivos de gestión de claves) y ver el tamaño de la agrupación de claves.

Visualización de dispositivos de gestión de claves

Para visualizar dispositivos de gestión de claves:

En el menú System Management (Gestión del sistema), seleccione KMA List (Lista de dispositivos de gestión de claves). Se muestra la pantalla KMA List (Lista de dispositivos de gestión de claves).

También puede desplazarse por la base de datos y filtrar la lista de dispositivos de gestión de claves según cualquiera de las siguientes claves:

• KMA Name (Nombre del dispositivo de gestión de claves)

• Description (Descripción)

• Site ID (ID de sitio)

• Management Network Address (Dirección de red de gestión)

• Service Network Address (Dirección de red de servicio)

• Management Network Address (IPv6) (Dirección de red de gestión [IPv6])

• Service Network Address (IPv6) (Dirección de red de servicio [IPv6])

• Version (Versión)

• Failed Login Attempts (Intentos de inicio de sesión fallidos)

• Enrolled (Inscrito)

El botón Use (Usar) aplica el filtro a la lista mostrada para el dispositivo de gestión de claves.

A continuación, se presentan los campos junto con sus descripciones:

Filter (Filtro):

Muestra los campos que puede usar para filtrar los resultados de las consultadas realizadas para el dispositivo de gestión de claves. Los posibles valores son:

• KMA Name (Nombre del dispositivo de gestión de claves)

• Description (Descripción)

• Site ID (ID de sitio)

• Management Network Address (Dirección de red de gestión)

• Service Network Address (Dirección de red de servicio)

• Management Network Address (IPv6) (Dirección de red de gestión [IPv6])

• Service Network Address (IPv6) (Dirección de red de servicio [IPv6])

• Version (Versión)

• Failed Login Attempts (Intentos de inicio de sesión fallidos)

• Enrolled (Inscrito)

Cuadro de operadores de filtro:

Haga clic en la flecha hacia abajo y seleccione la operación de filtro que desee. Los posibles valores son:

• Es igual a =

• No es igual a <>

• Es mayor que >

• Es menor que <

• Es mayor o igual que >=

• Es menor o igual que <=

• Empieza con ~

• Vacío

• No vacío

Cuadro de valor de filtro 1:

Si seleccionó uno de los filtros de fecha, haga clic en Set Date (Configurar fecha) para especificar la fecha y la hora de inicio. El valor aparece como el valor de inicio del rango de claves de filtro. Si seleccionó cualquier otro filtro, escriba un valor en este campo.

Cuadro de valor de filtro 2:

Si seleccionó uno de los filtros de fecha, haga clic en Set Date (Configurar fecha) para seleccionar la fecha y hora de finalización. El valor aparece como el valor de finalización del rango de claves de filtro.

Use (Usar):

Haga clic en este botón para aplicar el filtro a la lista mostrada.

Refresh (Actualizar):

Haga clic en este botón para actualizar la lista.

Reset (Restablecer):

Haga clic en este botón para eliminar todos los filtros y restablecer la lista mostrada a la primera página.

Haga clic en este botón para ir a la primera página de la lista.

Haga clic en este botón para ir a la página anterior.

Haga clic en este botón para ir a la página siguiente.

Haga clic en este botón para ir a la página siguiente.

Results in Page (Resultados en la página):

Muestra el número de registros por página configurados en el campo Query Page Size (Tamaño de la página de consulta) del cuadro de dialogo Options (Opciones).

KMA Name (Nombre del dispositivo de gestión de claves)

Muestra el identificador suministrado por el usuario que distingue los dispositivos de gestión de claves en un cluster.

KMA ID (ID de dispositivo de gestión de claves)

Muestra un identificador único generado por el sistema que identifica el dispositivo de gestión de claves.

Description (Descripción)

Describe el dispositivo de gestión de claves.

Site ID (ID de sitio)

Describe el sitio al cual pertenece el dispositivo de gestión de claves.

Management Network Address (Dirección de red de gestión)

Muestra la dirección IP del dispositivo de gestión de claves en la red de gestión.

Service Network Address (Dirección de red de servicio)

Muestra la dirección IP del dispositivo de gestión de claves en la red de servicio.

Management Network Address (Dirección de red de gestión [IPv6])

Muestra la dirección IPv6 (si existe una) del dispositivo de gestión de claves en la red de gestión.

Service Network Address (Dirección de red de servicio [IPv6])

Muestra la dirección IPv6 (si existe una) del dispositivo de gestión de claves en la red de servicio.

Version (Versión)

Muestra el número de versión de software del dispositivo de gestión de claves. Para los dispositivos de gestión de claves de OKM 3.0, la cadena de versión tiene el siguiente formato: <versión de OKM>-5.11-<compilación de OKM>. Por ejemplo, 3.0.0-5.11-2012.

Failed Login Attempts (Intentos de inicio de sesión fallidos)

Muestra la cantidad de veces que falló un intento de inicio de sesión.

Responding (Responde)

Indica si el dispositivo de gestión de claves se está ejecutando. Los valores posibles son True (Verdadero) o False (Falso).

• True (Verdadero) indica que el dispositivo de gestión de claves responde a las solicitudes del dispositivo de gestión de claves al que está conectado el OKM (es decir, el dispositivo de gestión de claves local). Aunque este estado se aplica entre cada par de dispositivos de gestión de claves del cluster, los valores mostrados indican si cada uno de los dispositivos de gestión de claves enumerados (es decir, los dispositivos de gestión de claves remotos) responden a las solicitudes del dispositivo de gestión de claves local.

• False (Falso) indica que el dispositivo de gestión de claves remoto no responde a las solicitudes, posiblemente porque el dispositivo de gestión de claves remoto no funciona o porque el enlace de comunicaciones al dispositivo de gestión de claves remoto no funciona.

Responding on Service Network (Responde en red de servicio)

Indica si el dispositivo de gestión de claves responde en la red de servicio. Los valores posibles son "Responding" (Responde), "Not Responding" (No responde) o "Not Accessible" (No accesible).

• Responding (Responde) indica que el dispositivo de gestión de claves responde a las solicitudes del dispositivo de gestión de claves al que está conectado este OKM (es decir, el dispositivo de gestión de claves local). Aunque este estado se aplica entre cada par de dispositivos de gestión de claves del cluster, los valores mostrados indican si cada uno de los dispositivos de gestión de claves enumerados (es decir, los dispositivos de gestión de claves remotos) responden a las solicitudes del dispositivo de gestión de claves local.

• Not Responding (No responde) indica que el dispositivo de gestión de claves remoto no responde a las solicitudes, posiblemente porque el dispositivo de gestión de claves remoto no funciona o porque el enlace de comunicaciones al dispositivo de gestión de claves remoto no funciona.

• Not Accessible (No accesible) indica que el dispositivo de gestión de claves local no puede acceder al dispositivo de gestión de claves remoto, posiblemente porque la configuración de la red de servicio no ofrece una ruta predeterminada o estática a ese dispositivo de gestión de claves.

  Nota:

  Si el dispositivo de gestión de claves tiene configurada una ruta predeterminada, se considera que tiene una ruta a dispositivos de gestión de claves remotos. Otros dispositivos de gestión de claves se muestran con el estado "Not Responding" (No responde) si no responden en la red de servicio.

  Si no se define una ruta predeterminada o estática, otros dispositivos de gestión de claves pueden mostrarse con el estado "Not Accessible" (No accesible). Lo dispositivos de gestión de claves más antiguos (OKM 2.3.x o versiones anteriores) se muestran con el estado "Responding" (Responde).

Response Time (Tiempo de respuesta)

Muestra el tiempo (en milisegundos) que el dispositivo de gestión de claves tarda en responder a una solicitud en la red de gestión. Este valor, generalmente, es de algunos cientos de milisegundos. Puede ser mayor si existe una conexión WAN entre el dispositivo de gestión de claves local y un dispositivo de gestión de claves remoto. También puede ser mayor si el enlace de comunicaciones entre los dispositivos de gestión de claves está ocupado.

Replication Lag Size (Tamaño del intervalo de replicación)

Muestra el número de actualizaciones antes de realizar una replicación. Este valor debe ser cero o un valor bajo. Los valores más altos indican que las replicaciones no se realizan oportunamente, que el enlace de comunicaciones entre dispositivos de gestión de claves no funciona o que un dispositivo de gestión de claves remoto no funciona. Este valor también será alto cuando se agrega un nuevo dispositivo de gestión de claves al cluster.

Key Pool Ready (Agrupación de claves lista)

Muestra el porcentaje de claves sin asignar que están listas.

Key Pool Backed Up (Agrupación de claves con copia de seguridad)

Muestra el porcentaje de la agrupación de claves que tiene una copia de seguridad.

Nota:

N/A (N/C) indica que el dispositivo de gestión de claves no puede determinar este valor, ya sea porque el dispositivo de gestión de claves ejecuta una versión de software de nivel inferior o porque usa una versión de Replication menor.

Locked (Bloqueado)

Indica si el dispositivo de gestión de claves está boqueado.

Nota:

N/A (N/C) indica que el dispositivo de gestión de claves no puede determinar este valor, ya sea porque el dispositivo de gestión de claves ejecuta una versión de software de nivel inferior o porque usa una versión de Replication menor.

Enrolled (Inscrito)

Indica si el dispositivo de gestión de claves se agregó o inició sesión en el cluster correctamente. Los valores posibles son True (Verdadero) o False (Falso).

True (Verdadero) indica que el dispositivo de gestión de claves se agregó o inició sesión en el cluster correctamente.

Este valor es False (Falso) cuando el dispositivo de gestión de claves se crea por primera vez y cambiará a True (Verdadero) una vez que el dispositivo de gestión de claves inicia sesión en el cluster. También puede ser False (Falso) cuando se cambia la frase de contraseña del dispositivo de gestión de claves. Una vez que un dispositivo de gestión de claves inicia sesión, ya no se puede volver a usar la frase de contraseña utilizada para iniciar sesión. La frase de contraseña debe cambiarse antes de que el dispositivo de gestión de claves pueda volver a iniciar sesión en el cluster.

HSM Status (Estado de HSM)

Indica el estado del módulo de seguridad de hardware (HSM). Los valores posibles son: Unknown (Desconocido), Inactive (Inactivo), Software, Hardware, SW Error (Error de software), HW Error (Error de hardware) o Not Present (No presente).

Unknown (Desconocido)

El dispositivo de gestión de claves ejecuta una versión de software anterior a KMS 2.2.

Inactive (Inactivo)

No es necesario que el dispositivo de gestión de claves utilice el HSM, generalmente porque el dispositivo de gestión de claves está bloqueado.

Software

El HSM no funciona y el dispositivo de gestión de claves recurre al proveedor de software para generar claves.

Hardware

El HSM funciona y el dispositivo de gestión de claves lo utiliza para generar claves.

SW Error/HW Error (Error de software/Error de hardware)

El dispositivo de gestión de claves detectó un error al intentar consultar el estado del proveedor de software (error de software) o del HSM (error de hardware).

Nota:

Por lo general, el HSM funciona (Hardware). Sin embargo, si el HSM deja de funcionar (Software) y el parámetro de seguridad FIPS Mode Only (Modo FIPS únicamente) está configurado en Off (Desactivado) (consulte "Recuperación de los parámetros de seguridad"), el dispositivo de gestión de claves recurre al proveedor de software para generar claves.

Si el HSM deja de funcionar y el parámetro de seguridad FIPS Mode Only (Modo FIPS únicamente) está configurado en On (Activado), el dispositivo de gestión de claves no puede generar claves ni devolver a los agentes material de claves encapsuladas con AES.

Si el valor es Software, SW Error (Error de software) o HW Error (Error de hardware), compruebe la tarjeta Sun Crypto Accelerator (SCA) 6000 en este dispositivo de gestión de claves (consulte "Comprobación de la tarjeta SCA 6000").

Not Present (No presente)

El HSM no está presente y el dispositivo de gestión de claves recurre al proveedor de software para generar claves.

Comprobación de la tarjeta SCA 6000

Es posible que un dispositivo de gestión de claves en un cluster tenga una tarjeta SCA 6000 defectuosa. Para identificar la tarjeta defectuosa, examine la parte posterior del servidor del dispositivo de gestión de claves y compruebe los LED en la tarjeta.

Una tarjeta SCA 6000 operativa en un dispositivo de gestión de claves de KMS 2.1, 2.2 u OKM 2.3 y versiones posteriores, inicializada mediante el programa QuickStart, tiene un LED de estado que parpadea en color verde (identificado con S) y un LED de FIPS (F) y un LED de inicialización (I) con luz verde fija.

Si el LED de estado no parpadea en color verde y los LED de FIPS y de inicialización no tienen una luz verde fija, el dispositivo de gestión de claves tiene una tarjeta SCA 6000 defectuosa y debe ser reemplazado si se requiere el modo FIPS.

Consulte la Guía del usuario de SCA 6000 para obtener una descripción de los LED en una tarjeta SCA 6000.

Si desea crear un dispositivo de gestión de claves, haga clic en el botón Create (Crear). Para obtener más información, consulte "Creación de un dispositivo de gestión de claves" a continuación.

Si desea visualizar/modificar los detalles de un dispositivo de gestión de claves, resalte el dispositivo de gestión de claves y haga clic en el botón Details (Detalles). Para obtener más información, consulte "Visualización/modificación de detalles de un dispositivo de gestión de claves".

Si desea suprimir un dispositivo de gestión de claves, haga clic en el botón Delete (Suprimir). Para obtener más información, consulte "Supresión de un dispositivo de gestión de claves".

Creación de un dispositivo de gestión de claves

Para crear un dispositivo de gestión de claves:

1. En la pantalla KMA List (Lista de dispositivos de gestión de claves), haga clic en el botón Create (Crear). Se muestra el cuadro de diálogo Create KMA (Crear dispositivo de gestión de claves), con la ficha General activa.

   
   

2. Complete los siguientes parámetros:

   En la ficha General, suministre la siguiente información, si es necesario:

   KMA Name (Nombre del dispositivo de gestión de claves)

   Escriba un valor que identifique de manera exclusiva el nombre del dispositivo de gestión de claves en un cluster. Este valor puede tener entre 1 y 64 caracteres, inclusive.

   Description (Descripción)

   Escriba un valor que describa de manera exclusiva el dispositivo de gestión de claves. Este valor puede tener entre 1 y 64 caracteres, inclusive.

   Site ID (ID de sitio)

   Haga clic en la flecha hacia abajo y seleccione el sitio al cual pertenece el dispositivo de gestión de claves. Este campo es opcional.

3. Abra la ficha Passphrase (Frase de contraseña).

   
   

4. Complete los siguientes parámetros y haga clic en el botón Save (Guardar).

   Enter Passphrase (Introducir frase de contraseña)

   Escriba la frase de contraseña para este usuario. El valor mínimo es 8 caracteres y el valor máximo es 64 caracteres. El valor predeterminado es 8.

   Requisitos de la frase de contraseña:

   • Una frase de contraseña no debe incluir el nombre del dispositivo de gestión de claves.

   • Una frase de contraseña debe incluir tres de las cuatro clases de caracteres: caracteres en mayúsculas, caracteres en minúsculas, caracteres numéricos o caracteres especiales.

   • Se permiten los siguientes caracteres especiales:

     ~ ! @ # $ % ˆ & * ( ) - _ = + [ ] { } \ | ; : ’ ” < > , . / ?

   • No se permiten los caracteres de control, como tabuladores y saltos de línea.

   Nota:

   Para modificar el requisito de longitud mínima de las frases de contraseña, consulte "Modificación de los parámetros de seguridad".

   Confirm Passphrase (Confirmar frase de contraseña)

   Escriba el mismo valor que introdujo en el campo Enter Passphrase (Introducir frase de contraseña).

5. El registro del dispositivo de gestión de claves se agrega a la base de datos y la entrada se muestra en la pantalla KMA List (Lista de dispositivos de gestión de claves).

   
   

6. Se muestra el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves). Los miembros del quórum deben escribir sus nombres de usuario y frases de contraseña para autenticar la operación.

   
   

   Si proporciona suficiente quórum de credenciales de división de claves en el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves), la información se actualiza en el cluster de OKM una vez que proporciona un quórum, no al hacer clic en el botón Save (Guardar).

   Si no proporciona suficiente quórum en el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves), pueden ocurrir dos resultados diferentes según la versión de replicación:

   Versión de Replication:	Resultado:
   10 o anterior	La operación falla y no se actualiza la información en el cluster de OKM.
   11 o posterior	La operación queda pendiente. Es decir, el sistema agrega la operación a una lista de operaciones de quórum pendientes (consulte "Menú Pending Quorum Operation List (Lista de operaciones de quórum pendientes)"). Aparece un mensaje emergente cuando la operación se agrega a la lista. No se actualiza la información en el cluster de OKM hasta que los usuarios con el rol de miembro del quórum inicien sesión y proporcionen suficiente quórum.

   
   

7. Ahora debe ejecutar el programa QuickStart en los dispositivos de gestión de claves que creó de modo que puedan unirse al cluster. Para conocer los procedimientos para unirse a un cluster, consulte "Unión a un cluster existente".

Visualización/modificación de detalles de un dispositivo de gestión de claves

Nota:

Si no es un responsable de la seguridad, al visualizar la información detallada de un dispositivo de gestión de claves, todos los campos están desactivados, incluido el botón Save (Guardar).

Para modificar los detalles de un dispositivo de gestión de claves:

1. En la pantalla KMA List (Lista de dispositivos de gestión de claves), haga doble clic en la entrada de un dispositivo de gestión de claves para el cual desea ver información más detallada o resalte la entrada de un dispositivo de gestión de claves y haga clic en el botón Details (Detalles). Se muestra el cuadro de diálogo KMA Details (Detalles del dispositivo de gestión de claves).

   
   

2. En la ficha General, cambie los siguientes campos:

   • Description (Descripción)

   • Site ID (ID de sitio)

3. En la ficha Network Configuration (Configuración de red), cambie los siguientes campos:

   • Management Network Address (Dirección de red de gestión)

   • Service Network Address (Dirección de red de servicio)

   
   

4. En la ficha Key Pool Info (Información de agrupación de claves), aparecen los siguientes campos de sólo visualización:

   Ready Keys (Claves listas)

   Muestra el número de claves generadas en este dispositivo de gestión de claves y que tienen copias de seguridad (para un cluster de nodo único) o que fueron replicadas a otros dispositivos de gestión de claves (para un cluster de varios nodos), pero que aún no se enviaron a los agentes para cifrado.

   Backup-Up Ready Keys (Claves listas con copia de seguridad)

   Muestra el número de claves listas en la agrupación de claves que tienen copias de seguridad. N/A (N/C) significa que el dispositivo de gestión de claves no puede determinar este valor, ya sea porque el dispositivo de gestión de claves ejecuta una versión de software de nivel inferior o porque usa una versión de replicación menor.

   Generated Keys (Claves generadas)

   Muestra el número de claves generadas en este dispositivo de gestión de claves que no tienen copias de seguridad (para un cluster de nodo único) o que no fueron replicadas a otros dispositivos de gestión de claves (para un cluster de varios nodos).

   Key Pool Ready (Agrupación de claves lista)

   Muestra el porcentaje de claves en la agrupación de claves que están listas para ser utilizadas.

   Key Pool Backed Up (Agrupación de claves con copia de seguridad)

   Muestra el porcentaje de claves listas en la agrupación de claves que tienen copias de seguridad. N/A (N/C) significa que el dispositivo de gestión de claves no puede determinar este valor, ya sea porque el dispositivo de gestión de claves ejecuta una versión de software de nivel inferior o porque usa una versión de replicación menor.

   
   

5. Abra la ficha Passphrase (Frase de contraseña) y modifique los siguientes parámetros:

   • Passphrase (Frase de contraseña)

   • Confirm Passphrase (Confirmar frase de contraseña) (vuelva a escribir la misma frase de contraseña).

6. Cuando haya terminado, haga clic en el botón Save (Guardar). Se modifica el registro del dispositivo de gestión de claves en la base de datos.

7. Se muestra el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves). Los miembros del quórum deben escribir sus nombres de usuario y frases de contraseña para autenticar la operación.

   
   

   Si proporciona suficiente quórum de credenciales de división de claves en el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves), la información se actualiza en el cluster de OKM una vez que proporciona un quórum, no al hacer clic en el botón Save (Guardar).

   Si no proporciona suficiente quórum en el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves), pueden ocurrir dos resultados diferentes según la versión de replicación:

   Versión de Replication:	Resultado
   10 o anterior	La operación falla y no se actualiza la información en el cluster de OKM.
   11 o posterior	La operación queda pendiente. Es decir, el sistema agrega la operación a una lista de operaciones de quórum pendientes (consulte "Menú Pending Quorum Operation List (Lista de operaciones de quórum pendientes)"). Aparece un mensaje emergente cuando la operación se agrega a la lista. No se actualiza la información en el cluster de OKM hasta que los usuarios con el rol de miembro del quórum inicien sesión y proporcionen suficiente quórum.

   
   

Configuración de una frase de contraseña para un dispositivo de gestión de claves

Nota:

Puede cambiar una frase de contraseña para un dispositivo de gestión de claves, siempre que no esté conectado al dispositivo.

Cuando crea un nuevo cluster, se asigna automáticamente una frase de contraseña aleatoria al dispositivo de gestión de claves, que se utiliza para crear el nuevo cluster. Si el dispositivo de gestión de claves desea recuperar un certificado de entidad de otro dispositivo de gestión de claves del cluster, debido a que caduco el certificado, usted deberá utilizar esta función para configurar la frase de contraseña en un valor conocido.

Para configurar una frase de contraseña para un dispositivo de gestión de claves:

1. en la pantalla KMA List (Lista de dispositivos de gestión de claves), haga doble clic en la entrada de un dispositivo de gestión de claves o resalte la entrada de un dispositivo de gestión de claves y haga clic en el botón Details (Detalles). Se muestra el cuadro de diálogo KMA Details (Detalles del dispositivo de gestión de claves), con la ficha General activa.

2. Abra la ficha Passphrase (Frase de contraseña) y modifique los siguientes parámetros:

   • Passphrase (Frase de contraseña)

   • Confirm Passphrase (Confirmar frase de contraseña) (vuelva a escribir la misma frase de contraseña).

3. Haga clic en el botón Save (Guardar) para guardar los cambios. Se cambia la entrada de la base de datos para el dispositivo de gestión de claves.

4. Se muestra el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves). Los miembros del quórum deben escribir sus nombres de usuario y frases de contraseña para autenticar la operación.

   
   

   Si proporciona suficiente quórum de credenciales de división de claves en el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves), la información se actualiza en el cluster de OKM una vez que proporciona un quórum, no al hacer clic en el botón Save (Guardar).

   Si no proporciona suficiente quórum en el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves), pueden ocurrir dos resultados diferentes según la versión de replicación:

   Versión de Replication:	Resultado:
   10 o anterior	La operación falla y no se actualiza la información en el cluster de OKM.
   11 o posterior	La operación queda pendiente. Es decir, el sistema agrega la operación a una lista de operaciones de quórum pendientes (consulte "Menú Pending Quorum Operation List (Lista de operaciones de quórum pendientes)"). Aparece un mensaje emergente cuando la operación se agrega a la lista. No se actualiza la información en el cluster de OKM hasta que los usuarios con el rol de miembro del quórum inicien sesión y proporcionen suficiente quórum.

   
   

En la consola, en el dispositivo de gestión de claves donde se cambió la frase de contraseña, seleccione la función para que el dispositivo de gestión de claves inicie sesión en el cluster. El dispositivo de gestión de claves no puede comunicarse con el cluster hasta que vuelve a iniciar sesión.

Nota:

Si se cerró la sesión del dispositivo de gestión de claves en el cluster durante algunas horas, bloquee el dispositivo de gestión de claves antes de volver a iniciar la sesión del dispositivo de gestión de claves en el cluster. Una vez que se hayan propagado las actualizaciones recientes a este dispositivo de gestión de claves, según lo indicado por Replication Lag Size (Tamaño del intervalo de replicación) en el panel KMA List (Lista de dispositivos de gestión de claves), desbloquee el dispositivo de gestión de claves.

Para obtener información detallada, consulte los siguientes temas:

• "Lock/Unlock KMA (Bloquear/desbloquear dispositivo de gestión de claves)"

• "Menú KMA List (Lista de dispositivos de gestión de claves)"

• "Nuevo inicio de sesión del dispositivo de gestión de claves en el cluster".

Supresión de un dispositivo de gestión de claves

Importante: Antes de suprimir un dispositivo de gestión de claves, debe desconectarlo con la función "Shutdown KMA" (Cerrar dispositivo de gestión de claves) de la consola. Si no lo hace, el dispositivo de gestión de claves sigue funcionando fuera del cluster y envía "información obsoleta" a agentes y usuarios.

Por lo general, este comando solamente se utiliza para suprimir del cluster un dispositivo de gestión de claves defectuoso. Sin embargo, también se puede utilizar para eliminar un dispositivo de gestión de claves que se está retirando.

Si desea que un dispositivo de gestión de claves suprimido vuelva a unirse a un cluster, debe restablecer el dispositivo de gestión de claves al estado predeterminado de fábrica y seleccionar la opción 2 en el programa QuickStart.

Esta opción permite que el responsable de la seguridad suprima un dispositivo de gestión de claves que ya no se utiliza.

Para suprimir un dispositivo de gestión de claves:

1. En la pantalla KMA List (Lista de dispositivos de gestión de claves), resalte el dispositivo de gestión de claves que desea suprimir y haga clic en el botón Delete (Suprimir). Se muestra el siguiente cuadro de diálogo, que le pedirá que confirme que desea suprimir el dispositivo de gestión de claves seleccionado.

   
   

2. Haga clic en el botón Yes (Sí) para suprimir el dispositivo de gestión de claves. Se suprime el dispositivo de gestión de claves seleccionado y usted vuelve a la pantalla KMA List (Lista de dispositivos de gestión de claves). El sistema también elimina las entradas que están asociadas con el dispositivo de gestión de claves y que no son utilizadas por ninguna otra entidad.

Menú KMA Performance List (Lista de rendimiento de dispositivos de gestión de claves)

El menú KMA Performance List (Lista de rendimiento de dispositivos de gestión de claves) permite que los usuarios con cualquier rol consulten la información de rendimiento de los dispositivos de gestión de claves en este cluster de OKM.

Este panel muestra información de rendimiento sobre las solicitudes de claves, las solicitudes de replicación, las solicitudes de usuarios y las condiciones de servidor ocupado emitidas por cada dispositivo de gestión de claves. Esta información incluye valores de frecuencia y de recuento, y tiempos de procesamiento.

Los valores de frecuencia representan la frecuencia con la que este dispositivo de gestión de claves procesó estas solicitudes dentro del período seleccionado. Son expresados como la frecuencia promedio de estas solicitudes extrapolada en la unidad de tiempo del intervalo de visualización de la frecuencia seleccionado (por ejemplo, número promedio extrapolado de solicitudes de claves por día). Si configuró el intervalo de visualización de la frecuencia en "entire time period" (todo el período), el panel muestra el recuento de solicitudes procesadas por este dispositivo de gestión de claves dentro del período seleccionado.

Los tiempos de procesamiento representan el tiempo promedio en milisegundos que este dispositivo de gestión de claves tardó en procesar las solicitudes emitidas dentro del período seleccionado. Estos tiempos de procesamiento corresponden a la perspectiva del dispositivo de gestión de claves y describen la cantidad de tiempo necesario para procesar las solicitudes internamente. No incluyen los tiempos de transmisión por la red ni la cantidad de tiempo necesario para establecer una conexión SLL.

Este panel muestra información sobre condiciones de servidor ocupado que el dispositivo de gestión de claves local detectó dentro del período seleccionado. Esta condición indica que los otros threads de OKM actualmente acceden a la información de OKM en una base de datos local y pueden producirse durante operaciones de OKM largas (como copias de seguridad de OKM).

El cluster de OKM debe usar la versión de replicación 15 o una versión posterior antes de que los tiempos de procesamiento de solicitudes estén disponibles.

Consulta de un dispositivo de gestión de claves

1. En el menú System Management (Gestión del sistema), seleccione KMA Performance (Rendimiento de dispositivos de gestión de claves). Se muestra el siguiente panel.

   
   

2. Haga clic en el botón Details (Detalles), o doble clic en un dispositivo de gestión de claves, para visualizar más información sobre ese dispositivo de gestión de claves. Aparece el cuadro de diálogo KMA Performance Details (Detalles de rendimiento del dispositivo de gestión de claves).

   
   

Menú User List (Lista de usuarios)

La opción de menú User List (Lista de usuarios) le permite:

• Visualizar usuarios

• Crear un usuario

• Modificar la información de un usuario existente

• Suprimir un usuario existente

Visualización de usuarios

Para visualizar usuarios:

En el menú System Management (Gestión del sistema), seleccione User List (Lista de usuarios). Se muestra la pantalla User List (Lista de usuarios).

También puede desplazarse por la base de datos y filtrar la lista de usuarios según cualquiera de las siguientes claves:

• User ID (ID de usuario)

• Description (Descripción)

• Roles

• Enabled (Activado)

• Failed Login Attempts (Intentos de inicio de sesión fallidos)

El botón Use (Usar) aplica el filtro a la lista mostrada para el usuario.

A continuación, se presentan los campos junto con sus descripciones:

Filter (Filtro):

Muestra los campos que puede usar para filtrar los resultados de las consultadas realizadas para el dispositivo de gestión de claves. Los posibles valores son:

• User ID (ID de usuario)

• Description (Descripción)

• Enabled (Activado)

• Failed Login Attempts (Intentos de inicio de sesión fallidos)

Cuadro de operadores de filtro:

Haga clic en la flecha hacia abajo y seleccione la operación de filtro que desee. Los posibles valores son:

• Es igual a =

• No es igual a <>

• Es mayor que >

• Es menor que <

• Es mayor o igual que >=

• Es menor o igual que <=

• Empieza con ~

• Vacío

• No vacío

Cuadro de valor de filtro 1:

Escriba un valor en este campo.

Use (Usar):

Haga clic en este botón para aplicar el filtro a la lista mostrada.

Refresh (Actualizar):

Haga clic en este botón para actualizar la lista.

Reset (Restablecer):

Haga clic en este botón para eliminar todos los filtros y restablecer la lista mostrada a la primera página.

Haga clic en este botón para ir a la primera página de la lista.

Haga clic en este botón para ir a la página anterior.

Haga clic en este botón para ir a la página siguiente.

Results in Page (Resultados en la página):

Muestra el número de registros por página configurados en el campo Query Page Size (Tamaño de la página de consulta) del cuadro de dialogo Options (Opciones).

User ID (ID de usuario)

Muestra un identificador único, generalmente conocido como "nombre de usuario", que distingue a los usuarios del cluster.

Description (Descripción)

Describe al usuario.

Roles

Muestra la lista de roles de seguridad para un usuario. Los roles permiten que el usuario realice diversas operaciones.

Enabled (Activado)

Indica el estado del usuario. Los valores posibles son True (Verdadero) o False (Falso).

Failed Login Attempts (Intentos de inicio de sesión fallidos)

Indica el número de intentos de inicio sesión fallidos.

Si desea crear un usuario, haga clic en el botón Create (Crear). Para obtener más información, consulte "Creación de un usuario".

Si desea modificar los detalles de un usuario, resalte el usuario y haga clic en el botón Details (Detalles). Para obtener más información, consulte "Visualización/modificación de detalles de un usuario".

Si desea suprimir un usuario, haga clic en el botón Delete (Suprimir). Para obtener más información, consulte "Supresión de usuarios".

Un responsable de la seguridad puede configurar una frase de contraseña para un usuario si la frase de contraseña o el certificado de seguridad se vieron comprometidos. Para conocer los procedimientos para configurar la frase de contraseña de un usuario, consulte "Configuración de una frase de contraseña para un usuario".

Los usuarios también pueden cambiar su propia frase de contraseña. Para conocer los procedimientos, consulte "Cambio de la frase de contraseña".

Creación de un usuario

Para crear un usuario:

1. En la pantalla User List (Lista de usuarios), haga clic en el botón Create (Crear). Se muestra el cuadro de diálogo Create User (Crear usuario), con la ficha General abierta.

   
   

2. Complete los siguientes parámetros:

   En la ficha General:

   User ID (ID de usuario)

   Escriba un valor que identifique de manera exclusiva al usuario. Este valor puede tener entre 1 y 64 caracteres, inclusive.

   Description (Descripción)

   Escriba un valor que describa al usuario. Este valor puede tener entre 1 y 64 caracteres, inclusive.

   Roles

   Seleccione las casillas de verificación junto a los roles que desea que desempeñe el usuario.

   Nota:

   La casilla de verificación Quorum Member (Miembro del quórum) está desactivada (gris) si el dispositivo de gestión de claves ejecuta la versión de software 2.1 o anterior del dispositivo de gestión de claves o si la versión de replicación del cluster de OKM está configurada en 10 o anterior.

   En la ficha Passphrase (Frase de contraseña):

3. Abra la ficha Passphrase (Frase de contraseña).

   
   

4. Complete los siguientes parámetros:

   Passphrase (Frase de contraseña)

   Escriba la frase de contraseña para este usuario. El valor mínimo es 8 caracteres y el valor máximo es 64 caracteres. El valor predeterminado es 8.

   Requisitos de la frase de contraseña:

   • Una frase de contraseña no debe incluir el ID de usuario.

   • Una frase de contraseña debe incluir tres de las cuatro clases de caracteres: caracteres en mayúsculas, caracteres en minúsculas, caracteres numéricos o caracteres especiales.

   • Se permiten los siguientes caracteres especiales:

     ~ ! @ # $ % ˆ & * ( ) - _ = + [ ] { } \ | ; : ’ ” < > , . / ?

   • No se permiten los caracteres de control, como tabuladores y saltos de línea.

   Nota:

   Para modificar el requisito de longitud mínima de las frases de contraseña, consulte "Modificación de los parámetros de seguridad".

   Confirm Passphrase (Confirmar frase de contraseña)

   Escriba el mismo valor que introdujo en el campo Enter Passphrase (Introducir frase de contraseña).

5. Haga clic en el botón Save (Guardar). Se agrega el registro de usuario a la base de datos. El nuevo usuario se muestra en la lista de usuarios.

6. Se muestra el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves). Los miembros del quórum deben escribir sus nombres de usuario y frases de contraseña para autenticar la operación.

   
   

   Si proporciona suficiente quórum de credenciales de división de claves en el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves), la información se actualiza en el cluster de OKM una vez que proporciona un quórum, no al hacer clic en el botón Save (Guardar).

   Si no proporciona suficiente quórum en el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves), pueden ocurrir dos resultados diferentes según la versión de replicación:

   Versión de Replication:	Resultado:
   10 o anterior	La operación falla y no se actualiza la información en el cluster de OKM.
   11 o superior	La operación queda pendiente. Es decir, el sistema agrega la operación a una lista de operaciones de quórum pendientes (consulte "Menú Pending Quorum Operation List (Lista de operaciones de quórum pendientes)"). Aparece un mensaje emergente cuando la operación se agrega a la lista. No se actualiza la información en el cluster de OKM hasta que los usuarios con el rol de miembro del quórum inicien sesión y proporcionen suficiente quórum.

   
   

Visualización/modificación de detalles de un usuario

Nota:

Los responsables de la seguridad conectados no pueden modificar sus registros.

Para modificar la información de un usuario:

1. En la pantalla Users List (Lista de usuarios), haga doble clic en el usuario para el cual desea ver más información o resalte un registro de usuario y haga clic en el botón Details (Detalles). Se muestra el cuadro de diálogo User Details (Detalles del usuario), donde todos los campos, incluido el botón Save (Guardar), están desactivados.

   
   

2. En la ficha General, modifique los siguientes parámetros:

   • Description (Descripción)

   • Roles

   • Flags - Enabled (Indicadores: Activado)

   El campo Failed Login Attempts (Intentos de inicio de sesión fallidos) muestra el número de intentos de inicio de sesión fallidos.

3. En la ficha Passphrase (Frase de contraseña), si desea configurar la frase de contraseña del usuario, consulte "Configuración de una frase de contraseña para un usuario".

4. Cuando haya terminado, haga clic en el botón Save (Guardar).

5. Si se agregaron roles de usuario, se muestra el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves). Los miembros del quórum deben escribir sus nombres de usuario y frases de contraseña para autenticar la operación.

   Nota:

   Si no se agregaron roles de usuario, la información del usuario se actualiza en el cluster de OKM después de hacer clic en el botón Save (Guardar) y no se muestra el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves).
   
   

   Si proporciona suficiente quórum de credenciales de división de claves en el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves), la información se actualiza en el cluster de OKM una vez que proporciona un quórum, no al hacer clic en el botón Save (Guardar).

   Si no proporciona suficiente quórum en el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves), pueden ocurrir dos resultados diferentes según la versión de replicación:

   Versión de Replication:	Resultado:
   10 o anterior	La operación falla y no se actualiza la información en el cluster de OKM.
   11 o posterior	La operación queda pendiente. Es decir, el sistema agrega la operación a una lista de operaciones de quórum pendientes (consulte "Menú Pending Quorum Operation List (Lista de operaciones de quórum pendientes)"). Aparece un mensaje emergente cuando la operación se agrega a la lista. No se actualiza la información en el cluster de OKM hasta que los usuarios con el rol de miembro del quórum inicien sesión y proporcionen suficiente quórum.

   
   

Configuración de una frase de contraseña para un usuario

Como responsable de la seguridad, puede configurar una frase de contraseña para un usuario si considera que la frase de contraseña o el certificado de seguridad se vieron comprometidos. Se genera un nuevo certificado cuando el usuario utiliza la nueva frase de contraseña para iniciar sesión en el dispositivo de gestión de claves.

Para configurar una frase de contraseña para un usuario:

1. En la pantalla User List (Lista de usuarios), haga doble clic en el usuario cuya frase de contraseña desea seleccionar o resalte el usuario y haga clic en el botón Details (Detalles).

2. Se muestra el cuadro de diálogo User Details (Detalles del usuario). Abra la ficha Passphrase (Frase de contraseña).

   
   

3. En el campo Enter Passphrase (Introducir frase de contraseña), escriba la frase de contraseña asignada por el responsable de la seguridad cuando se creó la cuenta del usuario.

4. En el campo Confirm Passphrase (Confirmar frase de contraseña), escriba el mismo valor que introdujo en el paso anterior. Se guarda la nueva frase de contraseña para el registro de usuario.

5. Se muestra el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves). Los miembros del quórum deben escribir sus nombres de usuario y frases de contraseña para autenticar la operación.

   
   

   Si proporciona suficiente quórum de credenciales de división de claves en el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves), la información se actualiza en el cluster de OKM una vez que proporciona un quórum, no al hacer clic en el botón Save (Guardar).

   Si no proporciona suficiente quórum en el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves), pueden ocurrir dos resultados diferentes según la versión de replicación:

   Versión de Replication:	Resultado:
   10 o anterior	La operación falla y no se actualiza la información en el cluster de OKM.
   11 o posterior	La operación queda pendiente. Es decir, el sistema agrega la operación a una lista de operaciones de quórum pendientes (consulte "Menú Pending Quorum Operation List (Lista de operaciones de quórum pendientes)"). Aparece un mensaje emergente cuando la operación se agrega a la lista. No se actualiza la información en el cluster de OKM hasta que los usuarios con el rol de miembro del quórum inicien sesión y proporcionen suficiente quórum.

   
   

Supresión de usuarios

Los usuarios no pueden suprimirse ellos mismos.

Para suprimir un usuario:

1. En la pantalla Users List (Lista de usuarios), seleccione el usuario que desea suprimir y haga clic en el botón Delete (Suprimir). Se muestra el siguiente cuadro de diálogo, que le pedirá que confirme que desea suprimir el usuario seleccionado.

   
   

2. Haga clic en el botón Yes (Sí) para suprimir el usuario. Se suprime el usuario seleccionado y usted vuelve a la pantalla User List (Lista de usuarios), donde ya no aparece el usuario suprimido.

Menú Role List (Lista de roles)

La opción de menú Role List (Lista de roles) le permite visualizar roles de usuario. Los roles son agrupaciones lógicas fijas de diversas operaciones del sistema que un usuario puede realizar. Un usuario puede tener más de un rol.

Visualización de roles

Para visualizar roles:

En el menú System Management (Gestión del sistema), seleccione Role List (Lista de roles). Se muestra la pantalla Role List (Lista de roles).

También puede desplazarse por la base de datos y filtrar la lista de roles según cualquiera de las siguientes claves:

• Role ID (ID de rol)

• Description (Descripción)

El botón Use (Usar) aplica el filtro a la lista mostrada.

A continuación, se presentan los campos junto con sus descripciones:

Filter (Filtro):

Muestra los campos que puede usar para filtrar los resultados de las consultadas realizadas para el dispositivo de gestión de claves. Los posibles valores son:

• Role ID (ID de rol)

• Description (Descripción)

Cuadro de operadores de filtro:

Haga clic en la flecha hacia abajo y seleccione la operación de filtro que desee. Los posibles valores son:

• Es igual a =

• No es igual a <>

• Vacío

• No vacío

Cuadro de valor de filtro 1:

Escriba un valor en este campo.

Refresh (Actualizar):

Haga clic en este botón para actualizar la lista.

Reset (Restablecer):

Haga clic en este botón para eliminar todos los filtros y restablecer la lista mostrada a la primera página.

Haga clic en este botón para ir a la primera página de la lista.

Haga clic en este botón para ir a la página anterior.

Haga clic en este botón para ir a la página siguiente.

Results in Page (Resultados en la página):

Muestra el número de registros por página configurados en el campo Query Page Size (Tamaño de la página de consulta) del cuadro de dialogo Options (Opciones).

Role ID (ID de rol)

Muestra el identificador único que distingue los roles de seguridad.

Description (Descripción)

Describe el rol.

Si desea obtener información más detallada sobre un rol, resalte la entrada de un rol y haga clic en el botón Details (Detalles). Para obtener más información, consulte "Visualización de operaciones para un rol".

Visualización de operaciones para un rol

El cuadro de diálogo Role Operations (Operaciones de rol) le permite visualizar un rol y las operaciones permitidas.

Para visualizar las operaciones para un rol específico:

1. En la pantalla Role List (Lista de roles), resalte un rol y haga clic en el botón Details (Detalles). Se muestra el cuadro de diálogo Role Operations (Operaciones de rol), que indica las operaciones para el rol seleccionado.

   
   

2. Haga clic en el botón Close (Cerrar) para cerrar este cuadro de diálogo. Volverá a la pantalla Role List (Lista de roles).

Menú Site List (Lista de sitios)

Un sitio es una ubicación física con, al menos, un dispositivo de gestión de claves al cual se conectan varios agentes (hosts y cluster de OKM). Los sitios permiten que los agentes respondan más eficazmente a los errores de dispositivos de gestión de claves o al equilibrio de carga mediante la conexión a otro dispositivo de gestión de claves en el sitio local en lugar de en un sitio remoto

La opción de menú Site List (Lista de sitios) le permite:

• Visualizar sitios

• Crear un sitio

• Modificar la información de un sitio

• Suprimir un sitio

  Nota:

  Un operador puede visualizar sitios únicamente. Un responsable de la seguridad puede gestionar los sitios.

Visualización de sitios

Para visualizar sitios:

En el menú System Management (Gestión del sistema), seleccione Site List (Lista de sitios). Se muestra la pantalla Site List (Lista de sitios).

También puede desplazarse por la base de datos y filtrar la lista de sitios según cualquiera de las siguientes claves:

• Site ID (ID de sitio)

• Description (Descripción)

El botón Use (Usar) aplica el filtro a la lista mostrada para el sitio.

A continuación, se presentan los campos junto con sus descripciones:

Filter (Filtro):

Muestra los campos que puede usar para filtrar los resultados de las consultadas realizadas para el dispositivo de gestión de claves. Los posibles valores son:

• Site ID (ID de sitio)

• Description (Descripción)

Cuadro de operadores de filtro:

Haga clic en la flecha hacia abajo y seleccione la operación de filtro que desee. Los posibles valores son:

• Es igual a =

• No es igual a <>

• Es mayor que >

• Es menor que <

• Es mayor o igual que >=

• Es menor o igual que <=

• Empieza con ~

Cuadro de valor de filtro 1:

Escriba un valor en este campo.

Use (Usar):

Haga clic en este botón para aplicar el filtro a la lista mostrada.

Refresh (Actualizar):

Haga clic en este botón para actualizar la lista.

Reset (Restablecer):

Haga clic en este botón para eliminar todos los filtros y restablecer la lista mostrada a la primera página.

Haga clic en este botón para ir a la primera página de la lista.

Haga clic en este botón para ir a la página anterior.

Haga clic en este botón para ir a la página siguiente.

Results in Page (Resultados en la página):

Muestra el número de registros por página configurados en el campo Query Page Size (Tamaño de la página de consulta) del cuadro de dialogo Options (Opciones).

Site ID (ID de sitio)

Identifica de manera exclusiva el sitio.

Description (Descripción)

Describe el sitio.

Haga clic en el botón Create (Crear) para crear un sitio. Para obtener más información, consulte "Creación de un sitio".

Si desea visualizar/modificar la información detallada de un sitio, resalte el sitio y haga clic en el botón Details (Detalles). Para obtener más información, consulte "Visualización/modificación de detalles de un sitio".

Haga clic en el botón Delete (Suprimir) para suprimir un sitio seleccionado. Para obtener más información, consulte "Supresión de un sitio".

Creación de un sitio

Para crear un sitio:

1. En la pantalla Site List (Lista de sitios), haga clic en el botón Create (Crear). Aparecerá el cuadro de diálogo Create Site (Crear sitio).

   
   

2. Complete los siguientes parámetros:

   Site ID (ID de sitio)

   Escriba un valor que identifique de manera exclusiva el sitio. Este valor puede tener entre 1 y 64 caracteres, inclusive.

   Description (Descripción)

   Escriba un valor que describa de manera exclusiva el sitio. Este valor puede tener entre 1 y 64 caracteres, inclusive.

   A continuación, se muestra un ejemplo de un cuadro de diálogo completo.

   
   

3. Haga clic en el botón Save (Guardar). Se guarda el nuevo sitio, se almacena en la base de datos y se muestra en la lista de sitios.

   
   

Visualización/modificación de detalles de un sitio

Nota:

Si no es un responsable de la seguridad, al visualizar la información detallada de un sitio, todos los campos están desactivados, incluido el botón Save (Guardar).

Para modificar los detalles de un sitio:

1. En la pantalla Site List (Lista de sitios), haga clic en el botón Details (Detalles). Se muestra el cuadro de diálogo Site Details (Detalles del sitio).

   
   

2. Cambie el campo Description (Descripción) y haga clic en el botón Save (Guardar). Se modifican los detalles del sitio y se almacenan en la base de datos.

Supresión de un sitio

Nota:

Si el sitio está en uso, es decir, si hay agentes o dispositivos de gestión de claves especificados en el sitio, se deben suprimir o cambiar a otro sitio antes de poder suprimir el sitio.

Para suprimir un sitio:

1. En la pantalla Site List (Lista de sitios), resalte el sitio que desea suprimir y haga clic en el botón Delete (Suprimir). Se muestra el siguiente cuadro de diálogo, que le pedirá que confirme las acciones.

   
   

2. Haga clic en el botón Yes (Sí) para suprimir el sitio. Se suprime el sitio seleccionado y usted vuelve a la pantalla Site List (Lista de sitios).

Menú SNMP Manager List (Lista de gestores de SNMP)

Los siguientes menús permiten visualizar, crear y modificar gestores de SNMP.

Además, se genera información de SNMP para los usuarios que configuraron un agente de SNMP en la red y definieron gestores de SNMP en la GUI de OKM Manager. Cuando se define al menos un gestor de SNMP en la GUI de OKM Manager, los dispositivos de gestión de claves envían informes de SNMP a la dirección IP de esos gestores de SNMP.

Puede especificar una dirección IPv6 al crear o modificar un gestor de SNMP.

Consulte el Apéndice A, "Base de datos de información de administración (MIB) de SNMP" para obtener más detalles sobre la información que los dispositivos de gestión de claves envían en los paquetes de informes de SNMP.

Visualización de gestores de SNMP de un dispositivo de gestión de claves

Para visualizar gestores de SNMP:

En el menú System Management (Gestión del sistema), seleccione SNMP Manager List (Lista de gestores de SNMP). Se muestra la pantalla SNMP Manager List (Lista de gestores de SNMP).

También puede desplazarse por la base de datos y filtrar la lista de gestores de SNMP según cualquiera de las siguientes claves:

• SNMP Manager ID (ID de gestor de SNMP)

• Description (Descripción)

• Network Address (Dirección de red)

• Enabled (Activado)

• User Name (Nombre de usuario)

El botón Use (Usar) aplica el filtro a la lista mostrada para el gestor de SNMP.

A continuación, se presentan los campos junto con sus descripciones:

Filter (Filtro):

Muestra los campos que puede usar para filtrar los resultados de las consultadas realizadas para el dispositivo de gestión de claves. Los posibles valores son:

• SNMP Manager ID (ID de gestor de SNMP)

• Description (Descripción)

• Network Address (Dirección de red)

• Enabled (Activado)

• User Name (Nombre de usuario)

Cuadro de operadores de filtro:

Haga clic en la flecha hacia abajo y seleccione la operación de filtro que desee. Los posibles valores son:

• Es igual a =

• No es igual a <>

• Es mayor que >

• Es menor que <

• Es mayor o igual que >=

• Es menor o igual que <=

• Empieza con ~

• Vacío

• No vacío

Cuadro de valor de filtro 1:

Escriba un valor en este campo.

Use (Usar):

Haga clic en este botón para aplicar el filtro a la lista mostrada.

Refresh (Actualizar):

Haga clic en este botón para actualizar la lista.

Reset (Restablecer):

Haga clic en este botón para eliminar todos los filtros y restablecer la lista mostrada a la primera página.

Haga clic en este botón para ir a la primera página de la lista.

Haga clic en este botón para ir a la página anterior.

Haga clic en este botón para ir a la página siguiente.

Results in Page (Resultados en la página):

Muestra el número de registros por página configurados en el campo Query Page Size (Tamaño de la página de consulta) del cuadro de dialogo Options (Opciones).

SNMP Manager ID (ID de gestor de SNMP)

Muestra el identificador único definido por el usuario para el gestor de SNMP.

Description (Descripción)

Muestra una descripción para el gestor de SNMP. Este campo es opcional.

Network Address (Dirección de red)

Muestra la dirección de red utilizada al enviar una captura SNMP.

Enabled (Activado)

Indica si el gestor de SNMP está activado o no.

User Name (Nombre de usuario)

Muestra el nombre de usuario utilizado para establecer una conexión SNMPv3 segura y confiable a este gestor de SNMP.

Protocol Version (Versión de protocolo)

Indica la versión del protocolo SNMP, SNMPv3 (versión 3) o SNMPv2 (versión 2).

La versión 3 del protocolo SNMP (SNMPv3) admite autenticación y el uso de nombres de usuario y frases de contraseña. La versión 2 del protocolo SNMP (SNMPv2) no admite autenticación y no usa nombres de usuario ni frases de contraseña. Puede configurar un gestor de SNMP para usar SNMPv3 o SNMPv2. Los dispositivos de gestión de claves no envían informes de SNMP a gestores de SNMP configurados para usar SNMPv2 si la versión de replicación del cluster de OKM está configurada en 10 o anterior.

Haga clic en el botón Create (Crear) para crear un nuevo gestor de SNMP. Para obtener más información, consulte "Creación de un nuevo gestor de SNMP" a continuación.

Si desea visualizar/modificar la información detallada de un gestor de SNMP, resalte la entrada y haga clic en el botón Details (Detalles). Para obtener más información, consulte "Visualización/modificación de detalles de un gestor de SNMP".

Haga clic en el botón Delete (Suprimir) para suprimir el gestor de SNMP seleccionado. Para obtener más información, consulte "Supresión de un gestor de SNMP".

Creación de un nuevo gestor de SNMP

Si el agente de SNMP está configurado para usar la versión 3 del protocolo SNMP, asegúrese de haber creado un protocolo SNMP versión 3 antes de crear un gestor de SNMP en el cluster de OKM. Este usuario de SNMP debe usar SHA (no MD5) como el protocolo de autenticación y DES como el protocolo de privacidad. Consulte la documentación del agente de SNMP para obtener más información sobre la creación de usuarios de SNMP versión 3.

Además, si el usuario de SNMP tiene una frase de contraseña, el dispositivo de gestión de claves utiliza esta frase de contraseña para la frase de contraseña de autenticación y la frase de contraseña de cifrado para ese usuario de SNMP. Por lo tanto, estas frases de contraseña deben tener el mismo valor para este usuario de SNMP en el agente de SNMP. Si el usuario de SNMP no tiene una frase de contraseña, el dispositivo de gestión de claves usa el nivel de seguridad "noAuthNoPriv" cuando envía informes de SNMP al agente de SNMP.

Si el agente de SNMP está configurado para usar la versión 2 del protocolo SNMP, no es necesario que configure un protocolo de autenticación ni que cree un usuario de SNMP. En la actualidad, OKM admite únicamente la comunidad pública para la versión 2.

Consulte la documentación del agente de SNMP para obtener más información sobre la creación de usuarios de SNMP. Por ejemplo, consulte la Guía de administración del agente de gestión del sistema de Solaris (http://docs.oracle.com/cd/E19253-01/817-3000/index.html) para obtener más información sobre la configuración del agente de gestión del sistema en un sistema Solaris. Además, consulte http://www.net-snmp.org/FAQ.html para obtener información general sobre Net-SNMP.

1. En la pantalla SNMP Managers List (Lista de gestores de SNMP), haga clic en el botón Create (Crear).

   Se muestra el cuadro de diálogo Create SNMP Manager (Crear gestor de SNMP).

   
   

2. Complete los siguientes parámetros:

   SNMP Manager ID (ID de gestor de SNMP)

   Escriba un valor que identifique de manera exclusiva el gestor de SNMP. Este valor puede tener entre 1 y 64 caracteres, inclusive.

   Description (Descripción)

   Escriba un valor que describa el gestor de SNMP. Este valor puede tener entre 1 y 64 caracteres, inclusive.

   Network Address (Dirección de red)

   Escriba la dirección de red del gestor de SNMP.

   Flags - Enabled (Indicadores: Activado)

   Seleccione esta casilla de verificación para indicar si SNMP está activado o no.

   User Name (Nombre de usuario)

   Escriba el nombre de usuario utilizado para autenticar el gestor de SNMP.

   Passphrase (Frase de contraseña)

   Escriba la frase de contraseña utilizada para autenticar el gestor de SNMP.

   Confirm Passphrase (Confirmar frase de contraseña)

   Escriba la misma frase de contraseña que introdujo en el campo Passphrase (Frase de contraseña).

   Protocol Version (Versión de protocolo)

   Seleccione la versión del protocolo SNMP que debería usar este gestor de SNMP. El valor SNMPV3 significa que está usando la versión 3 del protocolo SNMP. El valor SNMPV2 significa que está usando la versión 2 del protocolo SNMP.

   La versión 3 del protocolo SNMP (SNMPv3) admite autenticación y el uso de nombres de usuario y frases de contraseña. La versión 2 del protocolo SNMP (SNMPv2) no admite autenticación y no usa nombres de usuario ni frases de contraseña. Puede configurar un gestor de SNMP para usar SNMPv3 o SNMPv2. Los dispositivos de gestión de claves no envían informes de SNMP a gestores de SNMP configurados para usar SNMPv2 si la versión de replicación del cluster de OKM está configurada en 10 o anterior.

3. Cuando haya terminado, haga clic en el botón Save (Guardar) para guardar la información. La nueva entrada del gestor de SNMP y el perfil asociado se almacenan en la base de datos.

Visualización/modificación de detalles de un gestor de SNMP

Para ver/modificar los detalles de un gestor de SNMP:

1. En la pantalla SNMP Managers List (Lista de gestores de SNMP), haga doble clic en la entrada de un gestor de SNMP para el cual desea ver más información y haga clic en el botón Details (Detalles). Se muestra el cuadro de diálogo SNMP Manager Details (Detalles del gestor de SNMP).

   
   

2. Cambie los parámetros, si es necesario.

3. Cuando haya terminado, haga clic en el botón Save (Guardar) para guardar los cambios.

   Nota:

   Cada vez que modifica los detalles de un gestor de SNMP, deberá volver a especificar la frase de contraseña.

Supresión de un gestor de SNMP

Para suprimir un gestor de SNMP:

1. En la pantalla SNMP Managers List (Lista de gestores de SNMP), resalte el gestor de SNMP que desea suprimir y haga clic en el botón Delete (Suprimir). Se muestra el cuadro de diálogo para confirmar la supresión del gestor de SNMP.

   
   

2. Haga clic en el botón Yes (Sí) para suprimir el gestor de SNMP. Se suprime el gestor de SNMP seleccionado y usted vuelve a la pantalla SNMP Managers List (Lista de gestores de SNMP).

Transferencia de claves

La transferencia de claves, también llamada intercambio de claves, permite que las claves y los datos asociados se intercambien de manera segura entre los socios y es necesaria para intercambiar medios cifrados. Este proceso requiere que cada parte de la transferencia establezca un par de claves públicas/privadas y, luego, proporcione la clave pública a la otra parte.

Cada parte introduce la clave pública de la otra parte en su propio cluster de OKM. Una vez que se completa esta configuración inicial, la parte emisora usa Export Keys (Exportar claves) para generar un archivo de transferencia, que se envía desde la parte emisora hasta la parte receptora. La parte receptora utiliza Import Keys (Importar claves) para importar las claves y las unidades de datos asociadas en el cluster de OKM.

El archivo de transferencia se firma con la clave privada de la parte emisora y se cifra con la clave pública de la parte receptora. Esto permite que únicamente la parte receptora descifre el archivo de transferencia usando su propia clave privada. La parte receptora puede utilizar la clave pública del emisor para verificar que el archivo realmente fue producido por el emisor esperado.

Función de socios de transferencia de claves

La función de socios de transferencia de claves permite que las claves se muevan de un cluster de OKM a otro. Por lo general, esta función se puede utilizar para intercambiar cintas entre compañías o dentro de una misma compañía si hay varios clusters configurados para satisfacer las demandas de una gran cantidad de sitios.

El proceso de transferencia de claves implica estos pasos:

• Cada cluster de OKM configura el otro cluster como un socio de transferencia. Esto generalmente se realiza una vez.

• El usuario exporta las claves desde un cluster de OKM y las importa en el otro. Este paso se puede realizar varias veces.

Proceso de transferencia de claves

Dentro de OKM, debe realizar varias tareas en un orden específico. Dado que estas tareas implican más de un rol de usuario, los procedimientos reales residen en diferentes capítulos del documento.

Configuración de socios de transferencia de claves

Para mover las claves, debe configurar un socio de transferencia de claves para ambos clusters de OKM que participan en el movimiento de claves.

En el siguiente procedimiento, "C1" se refiere al primer cluster de OKM, y "C2", al segundo.

Administrador (rol de responsable de la seguridad):

Administrador de C1 (rol de responsable de la seguridad):

1. Obtenga la información de la clave pública para C1 (su cluster). Para ello, vaya al menú Key Transfer Public Key List (Lista de claves públicas para transferencia de claves). Consulte "Visualización de la lista de claves públicas para transferencia de claves" and "Visualización de detalles de una clave pública para transferencia de claves".

2. Corte el ID de clave pública y la clave pública y péguelos en un correo electrónico u otra forma de comunicación acordada. Envíe esta información al administrador de C2.

   Nota:

   El método de comunicación exacto debería ser suficientemente seguro de modo que, cuando C2 recibe la información, pueda tener la seguridad de que provino de C1. Existe un mecanismo, la huella digital, que impide la modificación de esta información en tránsito.

Administrador de C2 (rol de responsable de la seguridad):

1. Administrador de C2: acceda al menú Transfer Partner List (Lista de socios de transferencia) para introducir la información de la clave pública de C1 en el cluster de OKM. Consulte "Menú Key Transfer Public Key List (Lista de claves públicas para transferencia de claves)".

2. Haga clic en el botón Create... (Crear). Complete un nombre para el socio de transferencia, una descripción y la información de contacto. Determine qué desea hacer con este socio. Consulte "Creación de un socio de transferencia".

3. Seleccione la ficha Public Keys (Claves públicas). Complete el ID de clave pública y la clave pública a partir de la información suministrada por C1.

   A medida que se introduce la clave pública, el sistema calcula la huella digital. Los administradores de C1 y C2 deben comunicarse entre sí usando un mecanismo diferente al utilizado para la transferencia de la clave en sí.

   Ambos administradores deben analizar OKM y verificar que coincidan las huellas digitales. Una discrepancia indica que la clave está dañada o que se modificó durante la transferencia.

4. Si la huella digital es correcta, haga clic en Save (Guardar). El sistema le solicita un quórum. Esto sucede porque las operaciones de exportación de claves activadas mediante este paso se pueden usar para extraer claves válidas de un cluster de OKM. C1 ahora está configurado como socio de transferencia en el cluster de OKM de C2.

Administrador de C2 (rol de responsable de la seguridad):

1. Repita el Paso 1 y el Paso 2, esta vez para el cluster de OKM de C2.

Administrador de C1 (rol de responsable de la seguridad):

1. Repita del Paso 1 al Paso 4 para agregar la clave pública de C2 a C1.

Administrador de C1 (rol de responsable del cumplimiento):

1. C1 debe configurar grupos de claves que puedan enviarse a C2. Consulte "Visualización de asignaciones de grupos de claves".

Administrador de C2 (rol de responsable del cumplimiento):

1. C2 debe configurar grupos de claves que puedan recibir claves de C1. Consulte "Visualización de asignaciones de grupos de claves".

2. Seleccione el socio de transferencia deseado.

3. Seleccione uno o varios grupos de claves no permitidos y haga clic en el botón de flecha hacia atrás para agregarlos a la lista de grupos de claves. Consulte "Agregación de un grupo de claves a un socio de transferencia".

Exportación/importación de claves

Antes de exportar claves, estas deben cumplir con todos los criterios siguientes. Las claves que no cumplen con los criterios no son exportadas cuando un operador envía una solicitud de exportación de claves.

• Las claves deben pertenecer a un grupo de claves asociado con una política de claves que tenga el indicador Allow Export From (Permitir exportación desde) configurado en "True" (Verdadero). Consulte "Visualización/modificación de detalles de una unidad de datos" y "Visualización de grupos de claves".

Para configurar el indicador, consulte "Visualización/modificación de una política de claves".

• El socio de transferencia de la clave de destino debe tener los indicadores Enabled and Allow Export To (Activado y Permitir exportación a) configurados en "True" (Verdadero). Consulte "Visualización/modificación de detalles de un socio de transferencia".

Para configurar el indicador, consulte "Visualización/modificación de una política de claves".

• El socio de transferencia de la clave de destino debe estar asociado con el grupo de claves de la clave seleccionada. Consulte "Agregación de un grupo de claves a un socio de transferencia".

• Las claves deben tener el estado de protección y procesamiento, procesamiento únicamente, desactivadas o comprometidas. Consulte "Visualización/modificación de detalles de una unidad de datos".

Además, la configuración de Export Format (Formato de exportación) del socio de transferencia de destino (consulte "Lista de socios de transferencia") debe coincidir con:

• La versión de software (consulte "Carga y aplicación de actualizaciones de software") del dispositivo de gestión de claves donde se importarán las claves

• Los valores del parámetro de seguridad FIPS Mode Only (Modo FIPS únicamente) (consulte "Recuperación de los parámetros de seguridad") en los clusters de OKM donde se exportarán e importarán las claves.

La Tabla 5-1 resume la relación entre estos valores de configuración.

Tabla 5-1 Configuración del formato de exportación

Versión de software - Importación de dispositivo de gestión de claves	FIPS Mode Only (Modo FIPS únicamente) - Cluster de OKM para exportación	FIPS Mode Only (Modo FIPS únicamente) - Cluster de OKM para importación	Formato de exportación
2.0.2 o anterior	Off (Desactivado)	N/A (N/C)	v2.0 o Default (Predeterminado)
2.0.2 o anterior	On (Activado)	N/A (N/C)	v2.0
2.1 o posterior	Off (Desactivado)	Off (Desactivado)	v2.0 o Default (Predeterminado)
2.1 o posterior	On (Activado)	Off (Desactivado)	v2.0
2.1 o posterior	Off (Desactivado)	On (Activado)	v2.1 (FIPS)
2.1 o posterior	On (Activado)	On (Activado)	v2.1 (FIPS) o Default (Predeterminado)

El siguiente procedimiento se utiliza para exportar claves desde un cluster de OKM e importarlas en otro. Esto se puede realizar varias veces.

En este procedimiento, "C1" se refiere al primer cluster de OKM, y "C2", al segundo. Esta instrucciones se escriben para permitir que C2 exporte las claves que luego se importarán a C1.

Administrador de C2 (rol de operador):

1. Para intercambiar claves, vaya a la pantalla Data Unit List (Lista de unidades de datos). Consulte "Visualización de unidades de datos".

2. Seleccione una o más unidades de datos (cintas) que se enviarán de C2 a C1. La etiqueta externa es el código de barras en las cintas.

   Las claves asociadas con las unidades de datos seleccionadas deben pertenecer a los grupos de claves asociados con las políticas de claves que tienen el indicador Allow Export From (Permitir exportación desde) configurado en "True" (Verdadero). Estas claves también deben estar activadas (la fecha de activación no debe estar vacía) y no destruidas (la fecha de destrucción debe estar vacía). Consulte "Visualización/modificación de detalles de una unidad de datos".

3. Haga clic en el botón Export Keys (Exportar claves) para mostrar el cuadro de diálogo.

4. Seleccione el socio de transferencia de destino, seleccione el nombre del archivo de exportación de claves, si es necesario, y haga clic en Start (Iniciar). Se crea el archivo de transferencia.

   Únicamente se exportan las claves que pertenecen a los grupos de claves que pueden ser exportados a C1

   El socio de transferencia de destino seleccionado debe ser asignado al grupo de claves al cual pertenecen estas claves. Consulte "Menú Transfer Partner Assignment to Key Groups (Asignación de socios de transferencia a grupos de claves)".

5. Envíe el archivo de transferencia al administrador de C1 por correo electrónico u otro mecanismo o forma de comunicación acordados para mover los archivos.

Administrador de C1 (rol de operador):

1. Seleccione la pantalla Import Keys (Importar claves). Consulte "Menú Import Keys (Importar claves)".

2. Especifique el grupo de claves de destino al cual se importarán las claves, el socio de transferencia emisor (C2, en este caso) que exportó estas claves y el nombre del archivo de transferencia de claves. El grupo de claves seleccionado debe ser un grupo configurado para recibir claves de C2.

   Es decir, la política de claves asociada con el grupo de claves seleccionado debe tener el indicador Allow Import To (Permitir importación a) configurado en "True" (Verdadero). Además, el socio de transferencia seleccionado debe tener los indicadores Enabled (Activado) y Allow Import From (Permitir importación desde) configurados en "True" (Verdadero) y el valor de Export Format (Formato de exportación) configurado de la manera antes descrita. El socio de transferencia seleccionado debe ser asignado al grupo de claves seleccionado. Consulte "Menú Transfer Partner Assignment to Key Groups (Asignación de socios de transferencia a grupos de claves)".

3. Haga clic en Start (Iniciar).

Menú Transfer Partners (Socios de transferencia)

La función de socios de transferencia de claves permite que las claves se muevan de un cluster de OKM a otro.

Lista de socios de transferencia

En el menú Secure Information Management (Gestión segura de la información), seleccione Transfer Partner List (Lista de socios de transferencia).

También puede desplazarse por la base de datos y filtrar la lista de socios de transferencia según cualquiera de las siguientes claves:

• Transfer Partner ID (ID de socio de transferencia)

• Description (Descripción)

• Contact Information (Información de contacto)

• Enabled (Activado)

• Allow Export To (Permitir exportación a)

• Allow Import From (Permitir importación desde)

El botón Use (Usar) aplica el filtro a la lista mostrada para el socio de transferencia.

A continuación, se presentan los campos junto con sus descripciones:

Filter (Filtro):

Seleccione opciones de filtro para filtrar la lista mostrada de socios de transferencia. Únicamente se muestran los socios de transferencia que cumplen con todos los filtros.

Cuadro combinado de atributos de filtro:

Haga clic en la flecha hacia abajo y seleccione un atributo para el filtrado. Los posibles valores son:

• Transfer Partner ID (ID de socio de transferencia)

• Description (Descripción)

• Contact Information (Información de contacto)

• Enabled (Activado)

• Allow Export To (Permitir exportación a)

• Allow Import From (Permitir importación desde)

Cuadro combinado de operadores de filtro:

Haga clic en la flecha hacia abajo y seleccione la operación de filtro que se aplicará al atributo seleccionado. Esta opción de filtro no se muestra para todos los atributos de filtro. Los posibles valores son:

• Es igual a =

• No es igual a <>

• Es mayor que >

• Es menor que <

• Es mayor o igual que >=

• Es menor o igual que <=

• Empieza con ~

• Vacío

• No vacío

Cuadro de texto de valor de filtro:

Escriba un valor para filtrar el atributo seleccionado. Esta opción de filtro no se muestra para todos los atributos de filtro.

Cuadro combinado de valores de filtro:

Haga clic en la flecha hacia abajo y seleccione un valor para filtrar el atributo seleccionado. Esta opción de filtro no se muestra para todos los atributos de filtro.

Haga clic en el botón con el signo más para agregar filtros adicionales.

Haga clic en el botón con el signo menos para eliminar un filtro. Este botón aparece únicamente si se muestra más de un filtro.

Use (Usar):

Haga clic en este botón para aplicar los filtros seleccionados a la lista mostrada e ir a la primera página.

Refresh (Actualizar):

Haga clic en este botón para actualizar la lista mostrada. Esta acción no aplica los filtros seleccionados desde el último uso o la última actualización, y no cambia la página de la lista.

Reset (Restablecer):

Haga clic en este botón para eliminar todos los filtros y restablecer la lista mostrada a la primera página.

Haga clic en este botón para ir a la primera página de la lista.

Haga clic en este botón para ir a la página anterior.

Haga clic en este botón para ir a la página siguiente.

Results in Page (Resultados en la página):

Muestra el número de elementos que se pueden mostrar en la página actual. Se agrega "(last page)" (última página) al número de elemento si está al final de la lista. El número máximo de elementos mostrados en una página está definido por el valor de Query Page Size (Tamaño de la página de consulta) del cuadro de diálogo Options (Opciones).

Transfer Partner ID (ID de socio de transferencia):

Muestra el identificador único que distingue los socios de transferencia. Este valor puede tener entre 1 y 64 caracteres, inclusive. Haga clic en el nombre de esta columna para ordenarla según este atributo.

Description (Descripción):

Describe el socio de transferencia. Este valor puede tener entre 1 y 64 caracteres, inclusive. Haga clic en el nombre de esta columna para ordenarla según este atributo.

Contact Information (Información de contacto):

Muestra información de contacto sobre el socio de transferencia. Haga clic en el nombre de esta columna para ordenarla según este atributo.

Enabled (Activado):

Indica si el socio de transferencia puede compartir claves. Los valores posibles son True (Verdadero) o False (Falso). Si este campo es falso, el socio de transferencia no puede compartir claves. Haga clic en el nombre de esta columna para ordenarla según este atributo.

Allow Export To (Permitir exportación a):

Indica si el socio de transferencia puede exportar claves. Los valores posibles son True (Verdadero) o False (Falso). Si este campo es falso, el socio de transferencia no puede exportar claves. Haga clic en el nombre de esta columna para ordenarla según este atributo.

Allow Import From (Permitir importación desde):

Indica si se pueden importar claves desde este socio de transferencia. Los valores posibles son True (Verdadero) o False (Falso). Si este campo es falso, no se pueden importar claves desde este socio de transferencia. Haga clic en el nombre de esta columna para ordenarla según este atributo.

Export Format (Formato de exportación):

Indica si se pueden encapsular las claves (las claves encapsuladas cifran la clave de medios en la LAN y el token).

En la columna Export Format (Formato de exportación), el valor "v2.0" significa que este socio de transferencia no encapsula claves cuando las exporta.

El valor "v2.1 (FIPS)" significa que este socio de transferencia encapsula las claves cuando las exporta.

El valor "N/A" (N/C) significa que el dispositivo de gestión de claves conectado ejecuta el software de OKM 2.0.x y, por lo tanto, no permite que el usuario seleccione esta configuración.

Nota:

Para intercambiar claves con un cluster que ejecuta KMS 2.0, el responsable de la seguridad debe crear un socio de transferencia que tenga un valor de formato de exportación de "v2.0".

Consulte el parámetro FIPS Mode Only (Modo FIPS únicamente) en "Recuperación de los parámetros de seguridad" para obtener más información.

Public Key ID (ID de clave pública)

Muestra el identificador único que distingue las claves públicas. Este valor puede tener entre 1 y 64 caracteres, inclusive. Haga clic en el nombre de esta columna para ordenarla según este atributo.

Public Key Fingerprint (Huella digital de clave pública)

Muestra la huella digital, o valor hash, de la clave pública.

Entry Date (Fecha de entrada)

Muestra la fecha de introducción de la clave pública en el cluster de OKM.

Creación de un socio de transferencia

Para crear un socio de transferencia:

1. En la pantalla Transfer Partner List (Lista de socios de transferencia), haga clic en el botón Create (Crear). Se muestra el cuadro de diálogo Create Transfer Partner (Crear socio de transferencia), con la ficha General activa.

   
   

2. Complete los siguientes parámetros:

   En la ficha General:

   Transfer Partner ID (ID de socio de transferencia)

   Identifica de manera exclusiva al socio de transferencia.

   Description (Descripción)

   Escriba un valor que describa de manera exclusiva el socio de transferencia. Este valor puede tener entre 1 y 64 caracteres, inclusive. Este campo se puede dejar en blanco.

   Contact Information (Información de contacto)

   Escriba un valor que identifique la información de contacto sobre el socio de transferencia. Este campo se puede dejar en blanco.

   Export Format (Formato de exportación)

   Seleccione Default (Predeterminado), v2.0 o v2.1 (FIPS) para determinar el formato de exportación.

   El valor "v2.0" significa que este socio de transferencia no encapsula las claves cuando las exporta.

   El valor "v2.1 (FIPS)" significa que este socio de transferencia encapsula las claves cuando las exporta.

   El valor "Default" (Predeterminado) significa que, al exportar un archivo de claves de transferencia para este socio de transferencia, el formato depende de la configuración del parámetro de seguridad FIPS Mode Only (Modo FIPS únicamente) (consulte "Recuperación de los parámetros de seguridad").

   Si FIPS Mode Only (Modo FIPS únicamente) tiene el valor "Off" (Desactivado), el formato es v2.0. Si FIPS Mode Only (Modo FIPS únicamente) tiene el valor "On" (Activado), el formato es v2.1 (FIPS).

   Nota:

   Una ventaja de configurar en "Default" (Predeterminado) el formato de exportación del socio de transferencia es que permite modificar el formato de los archivos de transferencia del socio de transferencia cambiando el parámetro de seguridad FIPS Mode Only (Modo FIPS únicamente), en lugar de editar directamente la configuración del formato de exportación del socio de transferencia, que requiere de un quórum para autenticar el cambio.

   Flags - Enabled (Indicadores: Activado)

   Seleccione esta casilla para permitir que este socio de transferencia comparta claves. Si el campo no está seleccionado, el socio de transferencia no puede compartir claves.

   Allow Export To (Permitir exportación a)

   Seleccione esta casilla para permitir que se exporten claves al socio de transferencia. Si este campo no está seleccionado, el socio de transferencia no estará disponible para la operación de exportación de claves.

   Allow Import From (Permitir importación desde)

   Seleccione esta casilla para indicar si se pueden importar claves desde este socio de transferencia Si este campo no está seleccionado, no se pueden importar claves desde este socio de transferencia.

3. Abra la ficha Public Keys (Claves públicas).

   
   

   En la ficha Public Keys (Claves públicas), puede introducir la siguiente información:

   New Public Key ID (ID de nueva clave pública)

   Introduzca el ID de clave pública proporcionado por el socio de transferencia.

   New Public Key (Nueva clave pública)

   Introduzca la clave pública proporcionada por el socio de transferencia.

   New Public Key Fingerprint (Huella digital de nueva clave pública)

   Este campo de sólo lectura muestra la huella digital, o valor hash, de la nueva clave pública. Verifique esta huella digital con el socio para asegurarse de que la clave pública no haya sido manipulada, accidental o deliberadamente, durante la transmisión.

4. Cuando haya terminado, haga clic en el botón Save (Guardar).

5. Se muestra el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves). Los miembros del quórum deben escribir sus nombres de usuario y frases de contraseña para autenticar la operación.

   
   

   Si proporciona suficiente quórum de credenciales de división de claves en el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves), la información se actualiza en el cluster de OKM una vez que proporciona un quórum, no al hacer clic en el botón Save (Guardar).

   Si no proporciona suficiente quórum en el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves), pueden ocurrir dos resultados diferentes según la versión de replicación:

   Versión de Replication:	Resultado:
   10 o anterior	La operación falla y no se actualiza la información en el cluster de OKM.
   11 o posterior	La operación queda pendiente. Es decir, el sistema agrega la operación a una lista de operaciones de quórum pendientes (consulte "Menú Pending Quorum Operation List (Lista de operaciones de quórum pendientes)"). Aparece un mensaje emergente cuando la operación se agrega a la lista. No se actualiza la información en el cluster de OKM hasta que los usuarios con el rol de miembro del quórum inicien sesión y proporcionen suficiente quórum.

   
   

Visualización/modificación de detalles de un socio de transferencia

El cuadro de diálogo Transfer Partner Details (Detalles del socio de transferencia) le permite visualizar información detallada sobre un socio de transferencia específico.

Para visualizar estos detalles:

1. En la pantalla Transfer Partner List (Lista de socios de transferencia), resalte un ID de socio de transferencia y haga clic en el botón Details (Detalles). Se muestra el cuadro de diálogo KMA Transfer Partner Details (Detalles del socio de transferencia).

   
   

2. En la ficha General, puede cambiar los siguientes campos:

   • Description (Descripción)

   • Contact Information (Información de contacto)

   • Export Format (Formato de exportación)

   • Flags - Enabled (Indicadores: Activado)

   • Allow Export To (Permitir exportación a)

   • Allow Import From (Permitir importación desde)

   El campo Transfer Partner ID (ID de socio de transferencia) es de sólo lectura.

3. Cuando haya terminado, haga clic en el botón Save (Guardar). Se modifica el registro del socio de transferencia en la base de datos.

4. Abra la ficha Public Keys (Claves públicas).

   
   

5. En la ficha Public Keys (Claves públicas), puede cambiar los siguientes campos:

   New Public Key ID (ID de nueva clave pública)

   Introduzca el ID de nueva clave pública proporcionado por el socio de transferencia.

   New Public Key (Nueva clave pública)

   Introduzca la nueva clave pública proporcionada por el socio de transferencia.

   New Public Key Fingerprint (Huella digital de nueva clave pública)

   Este campo de sólo lectura muestra la huella digital, o valor hash, de la nueva clave pública. Verifique esta clave con el socio de transferencia emisor.

   Existing Public Keys (Claves públicas existentes)

   Esta lista muestra las claves públicas asociadas con este socio de transferencia.

6. Cuando haya terminado, haga clic en el botón Save (Guardar).

7. Se muestra el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves). Los miembros del quórum deben escribir sus nombres de usuario y frases de contraseña para autenticar la operación.

   
   

   Si proporciona suficiente quórum de credenciales de división de claves en el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves), la información se actualiza en el cluster de OKM una vez que proporciona un quórum, no al hacer clic en el botón Save (Guardar).

   Si no proporciona suficiente quórum en el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves), pueden ocurrir dos resultados diferentes según la versión de replicación:

   Versión de Replication:	Resultado:
   10 o anterior	La operación falla y no se actualiza la información en el cluster de OKM.
   11 o posterior	La operación queda pendiente. Es decir, el sistema agrega la operación a una lista de operaciones de quórum pendientes (consulte "Menú Pending Quorum Operation List (Lista de operaciones de quórum pendientes)"). Aparece un mensaje emergente cuando la operación se agrega a la lista. No se actualiza la información en el cluster de OKM hasta que los usuarios con el rol de miembro del quórum inicien sesión y proporcionen suficiente quórum.

   
   

Supresión de un socio de transferencia

Esta opción permite que el responsable de la seguridad suprima un socio de transferencia.

Para suprimir un socio de transferencia:

1. En la pantalla Transfer Partner List (Lista de socios de transferencia), resalte el ID de socio de transferencia que desea suprimir y haga clic en el botón Delete (Suprimir). Se muestra el cuadro de diálogo para confirmar la supresión del socio de transferencia.

   
   

2. Haga clic en el botón Yes (Sí) para suprimir el socio de transferencia. Se suprime el socio de transferencia seleccionado y usted vuelve a la pantalla Transfer Partner List (Lista de socios de transferencia).

Menú Key Transfer Public Key List (Lista de claves públicas para transferencia de claves)

Para compartir claves entre socios de transferencia, los responsables de la seguridad primero deben acceder a la información de las claves públicas para el cluster de OKM. Este menú proporciona información sobre las claves públicas. La clave pública y el ID de clave pública mostrado por este comando deben enviarse al socio de transferencia.

Visualización de la lista de claves públicas para transferencia de claves

Para visualizar la lista de claves públicas para transferencia de claves:

1. En el menú System Management (Gestión del sistema), seleccione Key Transfer Public Key List (Lista de claves públicas para transferencia de claves).

También puede desplazarse por la base de datos y filtrar la lista de claves públicas para transferencia de claves según cualquiera de las siguientes claves:

• Public Key ID (ID de clave pública)

• Created Date (Fecha de creación)

• Public Key (Clave pública)

El botón Use (Usar) aplica el filtro a la lista mostrada para las claves públicas para transferencia de claves.

A continuación, se presentan los campos junto con sus descripciones:

Filter (Filtro):

Seleccione opciones de filtro para filtrar la lista mostrada de claves públicas. Únicamente se muestran las claves públicas que cumplen con todos los filtros.

Cuadro combinado de atributos de filtro:

Haga clic en la flecha hacia abajo y seleccione un atributo para el filtrado. Los posibles valores son:

• Public Key ID (ID de clave pública)

• Created Date (Fecha de creación)

• Public Key (Clave pública)

Cuadro combinado de operadores de filtro:

Haga clic en la flecha hacia abajo y seleccione la operación de filtro que se aplicará al atributo seleccionado. Esta opción de filtro no se muestra para todos los atributos de filtro. Los posibles valores son:

• Es igual a =

• No es igual a <>

• Es mayor que >

• Es menor que <

• Es mayor o igual que >=

• Es menor o igual que <=

• Empieza con ~

• Vacío

• No vacío

Cuadro de texto de valor de filtro:

Escriba un valor para filtrar el atributo seleccionado. Esta opción de filtro no se muestra para todos los atributos de filtro.

Cuadro combinado de valores de filtro:

Haga clic en la flecha hacia abajo y seleccione un valor para filtrar el atributo seleccionado. Esta opción de filtro no se muestra para todos los atributos de filtro.

Cuadro combinado de valores de filtro:

Haga clic en la flecha hacia abajo y seleccione un valor para filtrar el atributo seleccionado. Esta opción de filtro no se muestra para todos los atributos de filtro.

Haga clic en el botón con el signo más para agregar filtros adicionales.

Haga clic en el botón con el signo menos para eliminar un filtro. Este botón aparece únicamente si se muestra más de un filtro.

Use (Usar):

Haga clic en este botón para aplicar los filtros seleccionados a la lista mostrada e ir a la primera página.

Refresh (Actualizar):

Haga clic en este botón para actualizar la lista mostrada. Esta acción no aplica los filtros seleccionados desde el último uso o la última actualización, y no cambia la página de la lista.

Reset (Restablecer):

Haga clic en este botón para eliminar todos los filtros y restablecer la lista mostrada a la primera página.

Haga clic en este botón para ir a la primera página de la lista.

Haga clic en este botón para ir a la página anterior.

Haga clic en este botón para ir a la página siguiente.

Results in Page (Resultados en la página):

Muestra el número de elementos que se pueden mostrar en la página actual. Se agrega "(last page)" (última página) al número de elemento si está al final de la lista. El número máximo de elementos mostrados en una página está definido por el valor de Query Page Size (Tamaño de la página de consulta) del cuadro de diálogo Options (Opciones).

Public Key ID (ID de clave pública):

Muestra el identificador único que distingue las claves públicas. Este valor puede tener entre 1 y 64 caracteres, inclusive. Haga clic en el nombre de esta columna para ordenarla según este atributo.

Created Date (Fecha de creación):

Muestra la fecha y la hora de creación de esta clave pública. Haga clic en el nombre de esta columna para ordenarla según este atributo.

La clave privada correspondiente a la clave pública más recientemente creada se utiliza para firmar todos los archivos de transferencia de claves exportados.

Public Key (Clave pública):

Muestra la clave pública utilizada para realizar las transferencias de claves entre socios de transferencia. Este valor se muestra con una codificación base 64. Haga clic en el nombre de esta columna para ordenarla según este atributo.

Public Key Fingerprint (Huella digital de clave pública):

El hash de la clave pública. Este valor se utiliza para verificar que la clave pública se transmite correctamente y se muestra con una codificación base 64.

Visualización de detalles de una clave pública para transferencia de claves

Para visualizar la pantalla de detalles de una clave pública para transferencia de claves:

1. Seleccione una clave pública y haga clic en el botón Details (Detalles).

   Se muestra el cuadro de diálogo Key Transfer Public Key Details (Detalles de la clave pública para transferencia de claves).

Creación de una clave pública para transferencia de claves

Para crear una clave pública para transferencia de claves:

1. Haga clic en el botón Create (Crear).

2. Proporcione la nueva clave a todos los socios de transferencia existentes.

   Dado que todos los archivos de transferencia de claves creados después de la creación de la nueva clave pública para transferencia de claves son firmados con la nueva clave pública para transferencia de claves, se debe proporcionar a los socios la nueva clave pública para transferencia de claves antes de que puedan importar los nuevos archivos de transferencia de claves.

Menú Backup List (Lista de copias de seguridad)

La opción de menú Backups List (Lista de copias de seguridad) permite al responsable de la seguridad:

• Visualizar el historial de copias de seguridad

• Visualizar detalles de un archivo de copia de seguridad

• Restaurar copias de seguridad

Visualización del historial de archivos de copia de seguridad

Para visualizar el historial de archivos de copia de seguridad:

En el menú Secure Information Management (Gestión segura de la información), seleccione Backup List (Lista de copias de seguridad). Se muestra la pantalla Backup List (Lista de copias de seguridad).

También puede desplazarse por la base de datos y filtrar los archivos de copia de seguridad según cualquiera de las siguientes claves:

• Backup ID (ID de copia de seguridad)

• KMA ID (ID de dispositivo de gestión de claves)

• Created Date (Fecha de creación)

• Destroyed Date (Fecha de destrucción)

• Destruction Status (Estado de destrucción)

• Destruction Comment (Comentario de destrucción)

El botón + aplica el filtro a la lista mostrada para el archivo de copia de seguridad.

A continuación, se presentan los campos junto con sus descripciones:

Filter (Filtro):

Muestra los campos que puede usar para filtrar los resultados de las consultadas realizadas para el dispositivo de gestión de claves. Los posibles valores son:

• Backup ID (ID de copia de seguridad)

• Created Date (Fecha de creación)

• Destroyed Date (Fecha de destrucción)

• Destruction Status (Estado de destrucción)

• Destruction Comment (Comentario de destrucción)

Cuadro de operadores de filtro:

Haga clic en la flecha hacia abajo y seleccione la operación de filtro que desee. Los posibles valores son:

• Es igual a =

• No es igual a <>

• Es mayor que >

• Es menor que <

• Es mayor o igual que >=

• Es menor o igual que <=

• Empieza con ~

Cuadro de valor de filtro 1:

Si seleccionó un filtro de fecha, haga clic en Set Date (Configurar fecha) para especificar la fecha y la hora de inicio. El valor aparece como el valor de inicio del rango de claves de filtro. Si seleccionó cualquier otro filtro, escriba un valor en este campo.

Cuadro de valor de filtro 2:

Si seleccionó un filtro de fecha, haga clic en Set Date (Configurar fecha) para seleccionar una fecha y una hora de finalización. El valor aparece como el valor de finalización del rango de claves de filtro.

Use (Usar):

Haga clic en este botón para aplicar el filtro a la lista mostrada.

Refresh (Actualizar):

Haga clic en este botón para actualizar la lista.

Reset (Restablecer):

Haga clic en este botón para eliminar todos los filtros y restablecer la lista mostrada a la primera página.

Haga clic en este botón para ir a la primera página de la lista.

Haga clic en este botón para ir a la página anterior.

Haga clic en este botón para ir a la página siguiente.

Results in Page (Resultados en la página):

Muestra el número de registros por página configurados en el campo Query Page Size (Tamaño de la página de consulta) del cuadro de dialogo Options (Opciones).

Backup ID (ID de copia de seguridad)

Muestra un identificador único generado por el sistema que distingue los archivos de copia de seguridad.

KMA ID (ID de dispositivo de gestión de claves)

Muestra el dispositivo de gestión de claves para el cual se generó el archivo de copia de seguridad.

Created Date (Fecha de creación)

Muestra la fecha de creación de la copia de seguridad.

Destroyed Date (Fecha de destrucción)

Muestra la fecha de destrucción manual del archivo de copia de seguridad.

Destruction Status (Estado de destrucción)

Indica el estado de la copia de seguridad con respecto a su destrucción. Los posibles valores son:

NONE (NINGUNO)

El archivo de copia de seguridad no se destruyó y no contiene claves de unidades de datos destruidas.

PENDING (PENDIENTE)

El archivo de copia de seguridad aún no se destruyó manualmente y contiene copias de claves de unidades de datos destruidas.

DESTROYED (DESTRUIDO)

El archivo de copia de seguridad se destruyó manualmente.

Destruction Comment (Comentario de destrucción)

Muestra información suministrada por el usuario sobre la destrucción del archivo de copia de seguridad.

Details (Detalles):

Haga clic en este botón para ver información más detallada sobre una copia de seguridad.

Create Backup (Crear copia de seguridad):

Haga clic en este botón para crear una copia de seguridad. Este botón no está activado si usted es un responsable de la seguridad.

Restore: (Restaurar):

Haga clic en este botón para restaurar una copia de seguridad.

Confirm Destruction: (Confirmar destrucción):

Haga clic en este botón para confirmar la destrucción de una copia de seguridad. Este botón no está activado si usted es un responsable de la seguridad.

Si desea obtener información más detallada sobre una copia de seguridad, resalte la copia de seguridad y haga clic en el botón Details (Detalles). Para obtener más información, consulte "Visualización de detalles de una copia de seguridad".

Haga clic en el botón Restore (Restaurar) para restaurar la copia de seguridad seleccionada. Para obtener más información, consulte "Restauración de una copia de seguridad".

Visualización de detalles de una copia de seguridad

El cuadro de diálogo Backup Details (Detalles de la copia de seguridad) se utiliza para visualizar los detalles de un archivo de copia de seguridad.

Nota:

Los archivos de copia de seguridad se crean y se restauran en el dispositivo de gestión de claves.

Para visualizar los detalles de un archivo de copia de seguridad:

1. En la pantalla Backups List (Lista de copias de seguridad), haga doble clic en la entrada de una copia de seguridad para la cual desea ver más información o resalte la entrada de una copia de seguridad y haga clic en el botón Details (Detalles). Se muestra el cuadro de diálogo Backup Details (Detalles de la copia de seguridad) y todos los campos son de sólo lectura.

   
   

2. A continuación, se presentan los campos junto con sus descripciones:

   Backup ID (ID de copia de seguridad)

   Muestra un identificador único generado por el sistema que distingue los archivos de copia de seguridad.

   KMA ID (ID de dispositivo de gestión de claves)

   Muestra el dispositivo de gestión de claves en el cual se genera el archivo de copia de seguridad.

   Created Date (Fecha de creación)

   Muestra la fecha y la hora de creación del archivo de copia de seguridad.

   Completed Date (Fecha de finalización)

   Muestra la fecha y la hora de finalización del archivo de copia de seguridad.

   Downloaded Date (Fecha de descarga)

   Muestra la fecha y la hora de descarga del archivo de copia de seguridad.

   Destroyed Date (Fecha de destrucción)

   Muestra la fecha de destrucción del archivo de copia de seguridad.

   Destruction Status (Estado de destrucción)

   Indica el estado de la copia de seguridad con respecto a su destrucción.

   Destruction Comment (Comentario de destrucción)

   Muestra información suministrada por el usuario sobre la destrucción del archivo de copia de seguridad.

3. Haga clic en el botón Close (Cerrar) para cerrar este cuadro de diálogo.

Restauración de una copia de seguridad

Esta función le permite cargar y restaurar en el dispositivo de gestión de claves una copia de seguridad que consta de un archivo de copia de seguridad y un archivo de clave de copia de seguridad. Antes de restaurar un archivo de copia de seguridad en un dispositivo de gestión de claves, asegúrese de tener el quórum para autenticación.

Importante: Antes de iniciar este procedimiento, debe realizar el procedimiento "Restauración de un cluster desde una copia de seguridad".

Para restaurar una copia de seguridad:

1. En la pantalla Backup List (Lista de copias de seguridad), resalte la copia de seguridad que desea restaurar y haga clic en el botón Restore (Restaurar). Se muestra el cuadro de diálogo Restore Backup (Restaurar copia de seguridad).

2. Seleccione la copia de seguridad básica, el archivo de clave de copia de seguridad y el archivo de copia de seguridad que desee. El archivo de clave de copia de seguridad y la copia de seguridad deben coincidir, es decir, deben haberse creado en el mismo momento. La copia de seguridad básica puede ser anterior o posterior al archivo de clave de copia de seguridad y el archivo de copia de seguridad. Cualquier archivo de copia de seguridad básica se puede utilizar con cualquier archivo de clave de copia de seguridad y archivo de copia de seguridad.

3. Haga clic en el botón Start (Iniciar).

   
   

4. Una vez que se completa el proceso de carga, esto se indica en el cuadro de diálogo Restore Backup (Restaurar copia de seguridad) y se muestra el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves). Los miembros del quórum deben escribir sus nombres de usuario y frases de contraseña para autenticar la operación.

   
   

   Nota:

   El responsable de la seguridad debe proporcionar suficiente quórum de credenciales de división de claves. Inicialmente usted configuró el valor del umbral de división de claves, que determina el tamaño del quórum, mediante el proceso descrito en "Introducción de credenciales de división de claves". El valor del quórum se puede cambiar, como se describe en "Modificación de la configuración de división de claves".

   Si proporciona suficiente quórum de credenciales de división de claves en el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves), la información se actualiza en el cluster de OKM una vez que proporciona un quórum, no al hacer clic en el botón Save (Guardar).

   Si no proporciona suficiente quórum en el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves), pueden ocurrir dos resultados diferentes según la versión de replicación:

   Versión de Replication:	Resultado:
   10 o anterior	La operación falla y no se actualiza la información en el cluster de OKM.
   11 o posterior	La operación queda pendiente. Es decir, el sistema agrega la operación a una lista de operaciones de quórum pendientes (consulte "Menú Pending Quorum Operation List (Lista de operaciones de quórum pendientes)"). Aparece un mensaje emergente cuando la operación se agrega a la lista. No se actualiza la información en el cluster de OKM hasta que los usuarios con el rol de miembro del quórum inicien sesión y proporcionen suficiente quórum.

   
   

5. Se muestra el cuadro de diálogo Restore Backup (Restaurar copia de seguridad), que indica el estado del proceso de restauración.

6. A continuación, se presentan los campos junto con sus descripciones:

   Backup File Name (Nombre del archivo de copia de seguridad)

   Nombre del archivo de copia de seguridad.

   Backup Wrapping Key File Name (Nombre del archivo de clave de encapsulado de copia de seguridad)

   Muestra el nombre del archivo de clave de copia de seguridad.

   Core Security Backup File Name (Nombre del archivo de copia de seguridad básica)

   Nombre del archivo de copia de seguridad que contiene el material de claves de seguridad básicas.

7. Una vez que se completa la restauración, se muestra un mensaje. Haga clic en el botón Close (Cerrar) para cerrar este cuadro de diálogo. La base de datos y el almacén de claves seguras se restauran en el dispositivo de gestión de claves.

Nota:

Después de restaurar correctamente una copia de seguridad, debe actualizar la configuración de la dirección IP para el dispositivo de gestión de claves. No se realiza una copia de seguridad de la configuración de red y, por lo tanto, no se restaura. Consulte "Configuración de la dirección IP de gestión del dispositivo de gestión de claves" y "Configuración de las direcciones IP de servicio del dispositivo de gestión de claves".

Menú System Dump (Volcado del sistema)

El menú System Dump (Volcado del sistema) crea un volcado del sistema para resolución de problemas y lo descarga a un archivo comprimido en el sistema donde se ejecuta OKM Manager. El archivo descargado tiene un formato que puede abrirse con utilidades de compresión.

Nota:

El volcado no incluye información ni material de claves que permitan inferir las claves.

Creación de un volcado del sistema

1. Para crear un volcado del sistema, en el menú System Management (Gestión del sistema), seleccione System Dump (Volcado del sistema). Aparece la pantalla, que muestra un archivo *.tar.Z generado automáticamente. Si lo desea, puede hacer clic en Browse (Examinar) para seleccionar una ruta de destino.

2. Haga clic en el botón Start (Iniciar) para iniciar la descarga. El sistema muestra mensajes que indican la cantidad de información de volcado del sistema que se está descargando en tiempo real y le informa cuando finaliza el proceso.

3. Vaya a la ruta de destino y abra el archivo *.tar.Z para visualizar la información de volcado del sistema.

A continuación, se presentan los campos junto con sus descripciones:

File Name (Nombre del archivo):

Muestra un archivo *.tar.gz generado automáticamente.

Browse (Examinar):

Haga clic en este botón para especificar una ubicación para este archivo.

Start (Iniciar):

Haga clic en este botón para iniciar el proceso de descarga.

Menú Security Parameters (Parámetros de seguridad)

El menú Security (Seguridad) permite que el responsable de la seguridad visualice y modifique los parámetros de seguridad del dispositivo de gestión de claves.

Recuperación de los parámetros de seguridad

Nota:

El botón Master Key Provider (Proveedor de claves maestras) se utiliza únicamente si desea que el cluster de OKM obtenga la claves maestras de un mainframe de IBM. El botón está activado solamente cuando la versión del cluster de OKM está configurada en 11 o posterior y el valor de FIPS Mode Only (Modo FIPS únicamente) es "Off" (Desactivado).

Consulte la Guía de integración de OKM-ICSF para obtener detalles.

Para recuperar los parámetros de seguridad:

En el menú Security (Seguridad), seleccione Security Parameters (Parámetros de seguridad). Se muestra la pantalla Security Parameters (Parámetros de seguridad) en modo de sólo lectura.

A continuación, se presentan los campos junto con sus descripciones:

Nota:

Para los siguientes seis campos relacionados con la retención, existe un solo log de auditoría, que reside en el sistema de archivos más grande en el dispositivo de gestión de claves.

El principal motivo para ajustar estos parámetros es controlar la cantidad de entradas del log de auditoría que se devuelven en las consultas que realiza desde el menú Audit Event List (Lista de eventos de auditoría) (consulte "Visualización de logs de auditoría").

Las entradas del log de auditoría pueden mostrar una retención a corto, medio o largo plazo. El dispositivo de gestión de claves trunca (elimina) las entradas antiguas del log de auditoría según el límite y la duración del plazo de retención.

Por ejemplo, las entradas del log de auditoría a corto plazo generalmente son truncadas con mayor frecuencia que las entradas del log de auditoría a medio plazo; las entradas del log de auditoría a medio plazo son truncadas con mayor frecuencia que las entradas del log de auditoría a largo plazo.

El responsable de la seguridad puede definir estos límites y duraciones de los plazos de retención para controlar la frecuencia con la que se eliminan las entradas antiguas del log de auditoría.

Short Term Retention Audit Log Size Limit (Límite de tamaño del log de auditoría de retención a corto plazo)

Muestra el número de entradas del log de auditoría a corto plazo que se retienen antes de ser truncadas. El valor predeterminado es 10.000. El valor mínimo es 1000 y el valor máximo es 1.000.000.

Short Term Retention Audit Log Lifetime (Duración del log de auditoría de retención a corto plazo)

Muestra la cantidad de tiempo (en días) durante el cual se retienen las entradas del log de auditoría a corto plazo antes de ser truncadas. El valor predeterminado es 7 días. El valor mínimo es 7 días y el valor máximo es 25.185 días (aproximadamente, 69 años).

Medium Term Retention Audit Log Size Limit (Límite de tamaño del log de auditoría de retención a medio plazo)

Muestra el número de entradas del log de auditoría a medio plazo que se retienen antes de ser truncadas. El valor predeterminado es 100.000. El valor mínimo es 1000 y el valor máximo es 1.000.000.

Medium Term Retention Audit Log Lifetime (Duración del log de auditoría de retención a medio plazo)

Muestra la cantidad de tiempo (en días) durante el cual se retienen las entradas del log de auditoría a medio plazo antes de ser truncadas. El valor predeterminado es 90 días. El valor mínimo es 7 días y el valor máximo es 25.185 días.

Long Term Retention Audit Log Size Limit (Límite de tamaño del log de auditoría de retención a largo plazo)

Muestra el número de entradas del log de auditoría a largo plazo que se retienen antes de ser truncadas. El valor predeterminado es 1.000.000. El valor mínimo es 1000 y el valor máximo es 1.000.000.

Long Term Retention Audit Log Lifetime (Duración del log de auditoría de retención a largo plazo)

Muestra la cantidad de tiempo (en días) durante el cual se retienen las entradas del log de auditoría a largo plazo antes de ser truncadas. El valor predeterminado es 730 días. El valor mínimo es 7 días y el valor máximo es 25.185 días.

Login Attempt Limit (Límite de intentos de inicio de sesión)

Indica el número de intentos de inicio de sesión fallidos antes de que se desactive una entidad. El valor predeterminado es 5. El valor mínimo es 1 y el valor máximo es 1000.

Passphrase Minimum Length (Longitud mínima de la frase de contraseña)

Muestra la longitud mínima de la frase de contraseña. El valor predeterminado es 8 caracteres. El valor mínimo es 8 caracteres y el valor máximo es 64 caracteres.

Management Session Inactivity Timeout (Timeout de inactividad de sesión de gestión)

Muestra la duración máxima (en minutos) que se puede dejar inactiva una sesión de inicio de sesión en OKM Manager o en la consola antes de que la sesión se cierre automáticamente. El cambio de este valor no se aplica a las sesiones que ya están en curso. El valor predeterminado es 15 minutos. El valor mínimo es 0, que significa que no se aplica ningún tiempo, y el valor máximo es 60 minutos.

FIPS Mode Only (Modo FIPS únicamente)

Muestra la configuración de la clave de importación y el formato del archivo de transferencia.

El valor "Off" (Desactivado) especifica que los dispositivos de gestión de claves encapsulan las claves cuando se comunican con agentes que admiten el encapsulado de claves de AES. La mayoría de los clientes deben ejecutar un firmware de unidad de cinta que admita el encapsulado de claves de AES con el servicio de agente de OKM.

Todos los proveedores PKCS#11 que admiten OKM incluyen compatibilidad con el encapsulado de claves de AES. Para confirmar esto, consulte el log de auditoría de OKM para observar que los agentes estén utilizando las operaciones de servicio de agente enumeradas a continuación. Especifique un filtro de auditoría para Operation (Operación) y elija cualquiera de las siguientes operaciones específicas en la lista desplegable:

• Create Key v2 (Crear clave v2)

• Retrieve key v2 (Recuperar clave v2)

• Retrieve Keys v2 (Recuperar claves v2)

• Retrieve Protect and Process Key v2 (Recuperar clave v2 de protección y procesamiento)

Los eventos de auditoría que aparecen en la lista resultante confirman que el agente especificado está usando el encapsulado de claves de AES con OKM.

El valor "On" (Activado) especifica que los dispositivos de gestión de claves de este cluster encapsulan claves con una clave de encapsulado de estándar de cifrado avanzado (AES) antes de enviarlas a los agentes (unidades de cinta). El dispositivo de gestión de claves no puede importar claves de 1.0 y permite la importación y exportación de archivos de transferencia de formato v2.1 (FIPS) únicamente.

El valor "On" (Activado) únicamente se puede configurar si la versión de Replication actual es, al menos, 10.

Consulte el parámetro de formato de exportación en "Lista de socios de transferencia" para obtener más información.

Pending Operation Credentials Lifetime (Duración de las credenciales de operación pendiente):

La cantidad de tiempo (en días) que se retienen las credenciales de división de claves que aprobaron una operación de quórum pendiente. Si un número insuficiente de credenciales de división de claves aprueba la operación de quórum pendiente antes de alcanzar el límite de duración, estas credenciales caducan. Después de que caducan, los miembros del quórum deben volver a aprobar la operación de quórum pendiente. El valor predeterminado es 2 días. Este valor se utiliza únicamente cuando la versión de Replication es, al menos, 11.

Si desea cambiar los parámetros de seguridad, haga clic en el botón Modify (Modificar). Para obtener más información, consulte "Modificación de los parámetros de seguridad".

Modificación de los parámetros de seguridad

Para modificar los parámetros de seguridad:

1. En la pantalla Security Parameters (Parámetros de seguridad), haga clic en el botón Modify (Modificar). Se muestra la pantalla Modify Security Parameters (Modificar parámetros de seguridad).

   
   

   Los campos se describen en "Short Term Retention Audit Log Size Limit (Límite de tamaño del log de auditoría de retención a corto plazo)".

2. Modifique los parámetros de seguridad, según sea necesario. Cuando haya terminado, haga clic en el botón Save (Guardar). Los cambios se guardan en la base de datos del dispositivo de gestión de claves.

Seguridad básica

El elemento principal del componente Core Security (Seguridad básica) es el material de claves root. Se trata de material de claves generado cuando se inicializa un cluster. El material de claves root protege la clave maestra. La clave maestra es una clave simétrica que protege las claves de unidades de datos almacenadas en el dispositivo de gestión de claves.

La seguridad básica está protegida con un esquema de división de claves que requiere un quórum de usuarios definidos en las credenciales de división de claves para proporcionar los nombres de usuario y las frases de contraseña para desencapsular el material de claves root.

Este mecanismo de seguridad permite dos estados operativos para el dispositivo de gestión de claves: boqueado y desbloqueado.

Un dispositivo de gestión de claves con el estado bloqueado no puede desencapsular el material de claves root y, por lo tanto, no puede acceder a las claves de unidades de datos. Como resultado, el dispositivo de gestión de claves no puede procesar las solicitudes del agente para registrar nuevas unidades de datos o recuperar claves de unidades de datos para unidades de datos existentes.

Un dispositivo de gestión de claves con el estado desbloqueado puede usar el material de claves root para acceder a las claves de unidades de datos y procesar las solicitudes de claves de unidades de datos del agente de servicio.

Menú de gestión Core Security (Seguridad básica)

El menú Core Security (Seguridad básica) contiene las siguientes opciones de menú:

Permite al responsable de la seguridad:

• Crear una copia de seguridad básica

• Visualizar/modificar credenciales de división de claves

• Activar/desactivar la opción de desbloqueo autónomo

Backup Core Security (Copia de seguridad básica)

La opción Backup Core Security (Copia de seguridad básica) permite que el responsable de la seguridad realice una copia de seguridad del material de claves de seguridad básica y la descargue a un archivo en el sistema local.

Precaución:

Los archivos de copia de seguridad básica deben protegerse cuidadosamente. Dado que cualquier archivo de copia de seguridad básica se puede usar con cualquier par de archivo de copia de seguridad/archivo de clave de copia de seguridad, aun los archivos de copia de seguridad básica antiguos siguen siendo útiles.

Creación de una copia de seguridad básica

Se debe realizar una nueva copia de seguridad básica después de modificar las credenciales de división de claves.

Importante: el responsable de la seguridad debe realizar una copia de seguridad del material de claves de seguridad básica antes de que el responsable de copias de seguridad pueda crear una copia de seguridad. Consulte "Creación de una copia de seguridad".

1. En el menú Core Security (Seguridad básica), seleccione Backup Core Security (Copia de seguridad básica). Se muestra el cuadro de diálogo Backup Core Security (Copia de seguridad básica).

   Nota:

   Los nombres de archivos de copia de seguridad básica se generan automáticamente. Sin embargo, puede editar los nombres y también puede hacer clic en el botón Browse (Examinar) para seleccionar una ruta de destino.
   
   

2. Haga clic en el botón Start (Iniciar) para crear el archivo de copia de seguridad básica y descargarlo al destino especificado por el usuario.

3. Una vez que se completa la copia de seguridad, se muestra un mensaje. Haga clic en el botón Close (Cerrar) para cerrar este cuadro de diálogo.

4. Volverá a la pantalla Backup Core Security (Copia de seguridad básica).

Key Split Configuration (Configuración de división de claves)

La opción de menú Key Split Configuration (Configuración de división de claves) permite que el responsable de la seguridad visualice y modifique las credenciales de división de claves para el dispositivo de gestión de claves.

Visualización de la configuración de división de claves

Para visualizar la configuración de división de claves:

1. En el menú Core Security (Seguridad básica), seleccione Key Split Configuration (Configuración de división de claves). Se muestra el cuadro de diálogo Key Split Configuration (Configuración de división de claves).

   
   

A continuación, se presentan los campos junto con sus descripciones:

Key Split Number (Número de divisiones de claves)

Muestra el número de divisiones de claves. El máximo es 10.

Threshold Number (Número de umbral)

Muestra el número de usuarios necesarios para autenticar un quórum.

Split User (1-10) (Usuario de división [1-10])

Muestra los nombres de usuario de la división existente.

Si desea modificar los nombres de usuario, las frases de contraseña y el número de umbral de división de claves, haga clic en el botón Modify (Modificar). Para obtener más información, consulte "Modificación de la configuración de división de claves".

Modificación de la configuración de división de claves

Para modificar la configuración de división de claves:

1. En la pantalla Key Split Configuration (Configuración de división de claves), haga clic en el botón Modify (Modificar). Se muestra el cuadro de diálogo Modify Key Split Configuration (Modificar configuración de división de claves).

   
   

2. Complete los siguientes parámetros y haga clic en el botón OK (Aceptar):

   Key Split Number (Número de divisiones de claves)

   Escriba un valor para el número de divisiones de claves. El número máximo es 10.

   Threshold Number (Número de umbral)

   Escriba un nuevo valor correspondiente para el número de usuarios que se necesitan para formar un quórum.

   Split User x (Usuario de división x)

   Escriba el nuevo nombre de usuario. Para cada usuario de división, complete los campos asociados Passphrase (Frase de contraseña) y Confirm Passphrase (Confirmar frase de contraseña).

   Nota:

   El número de campos de usuarios de división que están activados depende del valor que introdujo en el campo Key Split Number (Número de divisiones de claves).

3. Haga clic en el botón Save (Guardar) después de introducir el último nombre de usuario y la última frase de contraseña.

4. Se muestra el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves) después de introducir las nuevas credenciales de división de claves. Escriba el nombre de usuario y la frase de contraseña para las credenciales de quórum existentes y haga clic en el botón OK (Aceptar). Esto es necesario para configurar las "nuevas" credenciales establecidas en el Paso 2 y el Paso 3.

   
   

   Si proporciona suficiente quórum de credenciales de división de claves en el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves), la información se actualiza en el cluster de OKM una vez que proporciona un quórum, no al hacer clic en el botón Save (Guardar).

   Si no proporciona suficiente quórum en el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves), pueden ocurrir dos resultados diferentes según la versión de replicación:

   Versión de Replication:	Resultado:
   10 o anterior	La operación falla y no se actualiza la información en el cluster de OKM.
   11 o posterior	La operación queda pendiente. Es decir, el sistema agrega la operación a una lista de operaciones de quórum pendientes (consulte "Menú Pending Quorum Operation List (Lista de operaciones de quórum pendientes)"). Aparece un mensaje emergente cuando la operación se agrega a la lista. No se actualiza la información en el cluster de OKM hasta que los usuarios con el rol de miembro del quórum inicien sesión y proporcionen suficiente quórum.

   
   

5. El sistema actualiza la información de configuración anterior con la nueva configuración en la base de datos. La nueva configuración se muestra en la pantalla Key Split Credentials (Credenciales de división de claves).

   Nota:

   El material de claves de seguridad básica se vuelve a encapsular con las credenciales de división de claves actualizadas.

6. Cree una nueva copia de seguridad básica (consulte "Creación de una copia de seguridad básica").

   Nota:

   Destruya todos los archivos de copia de seguridad básica antiguos para garantizar que las credenciales de división de claves anteriores no se puedan usar para destruir una copia de seguridad.

Autonomous Unlock Option (Opción de desbloqueo autónomo)

La opción de menú Autonomous Unlock Option (Opción de desbloqueo autónomo) permite que el responsable de la seguridad active o desactive la opción de desbloqueo autónomo para el dispositivo de gestión de claves.

Para activar o desactivar la opción de desbloqueo autónomo:

1. En el menú Core Security (Seguridad básica), seleccione Autonomous Unlock Option (Opción de desbloqueo autónomo). Se muestra la pantalla Autonomous Unlock Option (Opción de desbloqueo autónomo), que indica el estado autónomo actual.

   
   

2. Según el estado de inicio autónomo actual, haga clic en Enable Autonomous Unlock (Activar desbloqueo autónomo) para activar esta opción o en Disable Autonomous Unlock (Desactivar desbloqueo autónomo) para desactivar la opción.

   Nota:

   El botón de bloqueo/desbloqueo alterna entre los estados y configura el estado de bloqueo del dispositivo de gestión de claves en un valor opuesto al estado actual.

   Debe proporcionar un quórum para activar o desactivar la opción de desbloqueo autónomo.

3. Se muestra el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves). Los miembros del quórum deben escribir sus nombres de usuario y frases de contraseña para autenticar la operación.

   
   

   Si proporciona suficiente quórum de credenciales de división de claves en el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves), la información se actualiza en el cluster de OKM una vez que proporciona un quórum, no al hacer clic en el botón Save (Guardar).

   Si no proporciona suficiente quórum en el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves), pueden ocurrir dos resultados diferentes según la versión de replicación:

   Versión de Replication:	Resultado:
   10 o anterior	La operación falla y no se actualiza la información en el cluster de OKM.
   11 o posterior	La operación queda pendiente. Es decir, el sistema agrega la operación a una lista de operaciones de quórum pendientes (consulte "Menú Pending Quorum Operation List (Lista de operaciones de quórum pendientes)"). Aparece un mensaje emergente cuando la operación se agrega a la lista. No se actualiza la información en el cluster de OKM hasta que los usuarios con el rol de miembro del quórum inicien sesión y proporcionen suficiente quórum.

   
   

Menú Local Configuration (Configuración local)

El menú Local Configuration (Configuración local) incluye las siguientes opciones:

• Bloquear/desbloquear dispositivo de gestión de claves

• Actualizar el software (consulte "Menú Software Upgrade (Actualización de software)")

• Información de configuración de red

• Auto Service Request

Lock/Unlock KMA (Bloquear/desbloquear dispositivo de gestión de claves)

La opción de menú Lock/Unlock KMA (Bloquear/desbloquear dispositivo de gestión de claves) permite que el responsable de la seguridad bloquee y desbloquee la seguridad básica del dispositivo de gestión de claves. Consulte "Seguridad básica" para obtener detalles sobre la seguridad básica y el comportamiento del dispositivo de gestión de claves cuando se bloquea y se desbloquea la seguridad básica.

Bloqueo del dispositivo de gestión de claves

Para bloquear el dispositivo de gestión de claves:

1. En el menú Local Configuration (Configuración local), seleccione Lock/Unlock KMA (Bloquear/desbloquear dispositivo de gestión de claves). Se muestra la pantalla Lock/Unlock KMA (Bloquear/desbloquear dispositivo de gestión de claves), que indica el estado del dispositivo de gestión de claves. En este ejemplo, es "Unlocked" (Desbloqueado).

   
   

2. Haga clic en el botón Lock KMA (Bloquear dispositivo de gestión de claves) para bloquear el dispositivo de gestión de claves. Una vez que pulsa el botón, este cambia a Unlock KMA (Desbloquear dispositivo de gestión de claves), que indica el nuevo estado de bloqueo y la operación permitida. El dispositivo de gestión de claves está ahora bloqueado.

   Nota:

   El botón de bloqueo/desbloqueo del dispositivo de gestión de claves alterna entre los estados y configura el estado de bloqueo del dispositivo de gestión de claves en un valor opuesto al estado actual. Una vez que pulsa el botón, la etiqueta del texto y la etiqueta del botón cambian para indicar el nuevo estado de bloqueo y la operación permitida.

Desbloqueo del dispositivo de gestión de claves

Para desbloquear el dispositivo de gestión de claves:

1. En la pantalla Lock/Unlock KMA (Bloquea/desbloquear dispositivo de gestión de claves), haga clic en el botón Unlock KMA (Desbloquear dispositivo de gestión de claves).

   
   

2. Se muestra el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves). Los miembros del quórum deben escribir sus nombres de usuario y frases de contraseña para autenticar la operación.

   
   

   Si proporciona suficiente quórum de credenciales de división de claves en el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves), la información se actualiza en el cluster de OKM una vez que proporciona un quórum, no al hacer clic en el botón Save (Guardar).

   Si no proporciona suficiente quórum en el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves), pueden ocurrir dos resultados diferentes según la versión de replicación:

   Versión de Replication:	Resultado:
   10 o anterior	La operación falla y no se actualiza la información en el cluster de OKM.
   11 o posterior	La operación queda pendiente. Es decir, el sistema agrega la operación a una lista de operaciones de quórum pendientes (consulte "Menú Pending Quorum Operation List (Lista de operaciones de quórum pendientes)"). Aparece un mensaje emergente cuando la operación se agrega a la lista. No se actualiza la información en el cluster de OKM hasta que los usuarios con el rol de miembro del quórum inicien sesión y proporcionen suficiente quórum.

   
   

3. Si la autenticación es exitosa, se cierra el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves) y se desbloquea el dispositivo de gestión de claves.

   
   

Software Upgrade (Actualización de software)

La opción de menú Software Upgrade (Actualización de software) permite aplicar actualizaciones de software. Sin embargo, esto requiere dos fases separadas:

• El operador carga un archivo de actualización de software en el dispositivo de gestión de claves e inmediatamente aplica la actualización. Consulte "Carga y aplicación de actualizaciones de software" para obtener información detallada.

• El responsable de la seguridad activa la versión de software inactiva cargada y aplicada por el operador.

Las actualizaciones de software son firmadas por Oracle y verificadas por el dispositivo de gestión de claves antes de ser aplicadas.

Directrices para implementar actualizaciones de software

• Antes de ejecutar esta función, realice una copia de seguridad del sistema. Para conocer los procedimientos, consulte "Creación de una copia de seguridad".

• Use una versión de la GUI de OKM Manager que coincida con la versión de actualización que desea cargar en los dispositivos de gestión de claves.

• Los dispositivos de gestión de claves que ejecutan OKM 3.0 pueden mostrar hasta tres versiones de software en la pantalla Software Upgrade (Actualización de software). Las GUI de OKM 2.x no pueden activar una versión de software en un dispositivo de gestión de claves de OKM 3.0. Instale y utilice una GUI de Oracle Key Manager 3.0 antes de cargar o activar una versión de software en un dispositivo de gestión de claves de OKM 3.0.

• Para dispositivos de gestión de claves de OKM 3.0, la pantalla Software Upgrade (Actualización de software) muestra versiones de software en orden cronológico inverso. Es decir, la versión más reciente aparece en la parte superior de la lista. Consulte la columna Active (Activa) para conocer las versiones activas.

• Los dispositivos de gestión de claves de OKM 2.x no se pueden actualizar a OKM 3.0. No intente cargar y aplicar un paquete de actualización de OKM 3.0 en un dispositivo de gestión de claves de OKM 2.x.

• Los dispositivos de gestión de claves que ejecutan KMS 2.1 o versiones anteriores deben actualizarse a KMS 2.2 antes de poder actualizarse a OKM 2.3 y versiones posteriores.

• El proceso de carga y aplicación puede ser largo si OKM Manager está conectado al dispositivo de gestión de claves de forma remota o si la conexión entre OKM Manager y el dispositivo de gestión de claves es lenta. Para mitigar este problema, el archivo de actualización de software se puede descargar a un equipo portátil o una estación de trabajo que tengan instalado OKM Manager, y el equipo portátil y la estación de trabajo deben estar conectados a la misma subred que el dispositivo de gestión de claves. La presencia de un enrutador entre OKM Manager y el dispositivo de gestión de claves puede ralentizar el proceso de actualización.

• Con una buena conexión entre OKM Manager y el dispositivo de gestión de claves, los procesos de carga y aplicación tardan óptimamente alrededor de 30 minutos. El proceso de activación tarda óptimamente alrededor de 5 a 15 minutos. Si el proceso de carga es muy lento, intente conectarse a la misma subred que el dispositivo de gestión de claves.

• Cargue y aplique el archivo de actualización de software en cada dispositivo de gestión de claves, de a uno por vez (para ayudar a distribuir la carga de red) y, luego, active la actualización de software en cada dispositivo de gestión de claves, de a uno por vez (para minimizar el número de dispositivos de gestión de claves desconectados simultáneamente).

• Si falla alguno de los procesos de actualización (carga, verificación, aplicación, activación, cambio de versión de replicación), OKM Manager genera mensajes de auditoría que describen el motivo del error y una solución sugerida.

• La cuenta de asistencia técnica está desactivada en los dispositivos de gestión de claves actualizados y las cuentas deben volver a activarse, si es necesario.

Activación de una versión de software

Después de que el operador carga y aplica la actualización de software, el responsable de la seguridad activa la versión de software inactiva que el operador cargó y aplicó.

1. En el menú Local Configuration (Configuración local), seleccione Software Upgrade (Actualización de software). Se muestra la pantalla Software Upgrade (Actualización de software).

   La versión de software activa está resaltada y la columna Active (Activa) está configurada en True (Verdadero). También se muestran las versiones inactivas. Para los dispositivos de gestión de claves de OKM 3.0, la cadena de versión tiene el siguiente formato: <versión de OKM>-5.11-<compilación de OKM>. Por ejemplo, 3.0.0-5.11-2012.

   
   

   Los botones que aparecen en esta pantalla incluyen:

   Activate (Activar)

   Seleccione una versión de software inactiva y haga clic en este botón para activar la versión de software seleccionada. Se muestran mensajes que indican que la versión de software está activada y se reinicia el dispositivo de gestión de claves.

   Switch Replication Version (Cambiar versión de Replication)

   Seleccione una versión de software activa y haga clic en este botón para cambiar la versión de replicación actual.

   Software Upgrade File Name (Nombre del archivo de actualización de software)

   El operador puede escribir el nombre del archivo de actualización de software.

   Browse (Examinar)

   El operador puede hacer clic en este botón para buscar el archivo de actualización de software en el sistema local.

2. Asegúrese de que haya una copia de seguridad actual del cluster de OKM.

   Para activar el archivo de actualización, seleccione la nueva versión de la lista de versiones disponibles en la parte superior de la pantalla y haga clic en el botón Activate (Activar). Hasta que se activa, la nueva versión permanece inactiva en el sistema.

   Nota:

   El dispositivo de gestión de claves se reinicia como parte del proceso de activación. Dado que el dispositivo de gestión de claves está desconectado mientras se reinicia, no es aconsejable que active dispositivos de gestión de claves simultáneamente en un cluster.

   Los usuarios permanecen conectados hasta que reinicia el dispositivo de gestión de claves. Cuando accede a la pantalla Software Upgrade (Actualización de software) nuevamente, la nueva versión de software cargada se muestra como la versión activa.

3. Se muestra el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves). Los usuarios que tienen el rol de quórum deben escribir sus nombres de usuario y frases de contraseña para autenticar la operación.

   
   

   Si proporciona suficiente quórum de credenciales de división de claves en el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves), la información se actualiza en el cluster de OKM una vez que proporciona un quórum, no al hacer clic en el botón Save (Guardar).

   Si no proporciona suficiente quórum en el cuadro de diálogo Key Split Quorum Authentication (Autenticación de quórum de división de claves), pueden ocurrir dos resultados diferentes según la versión de replicación:

   • La nueva versión de software puede incluir nuevas funciones disponibles únicamente cuando la versión de replicación del cluster de OKM se cambia a una posterior.

   • El cluster de OKM debe cambiarse a la nueva versión de replicación para activar todas las nuevas funciones en la nueva versión de software.

   Versión de Replication:	Resultado:
   10 o anterior	La operación falla y no se actualiza la información en el cluster de OKM.
   11 o posterior	La operación queda pendiente. Es decir, el sistema agrega la operación a una lista de operaciones de quórum pendientes (consulte "Menú Pending Quorum Operation List (Lista de operaciones de quórum pendientes)"). Aparece un mensaje emergente cuando la operación se agrega a la lista. No se actualiza la información en el cluster de OKM hasta que los usuarios con el rol de miembro del quórum inicien sesión y proporcionen suficiente quórum.

   
   

Cambio de la versión de Replication

Algunas funciones de la versión de software actual están disponibles únicamente cuando la versión de replicación del cluster de OKM se configura en el valor más alto admitido por la versión de software.

El responsable de la seguridad configura manualmente la versión de Replication. Esta versión nunca se cambia automáticamente.

1. Inicie sesión en un dispositivo de gestión de claves que se haya activado y navegue hasta la pantalla Software Upgrade (Actualización de software). Si la columna Supported Replication Versions (Versiones de Replication admitidas) incluye una versión posterior que la columna Current Replication Version (Versión de Replication actual), haga clic en el botón Switch Replication Version (Cambiar versión de Replication).

   
   

2. Seleccione una nueva versión de replicación y haga clic en el botón OK (Aceptar).

   Current Replication Version (Versión de Replication actual) ahora muestra la versión posterior y el cambio de replicación exitoso se envía a todos los otros dispositivos de gestión de claves del cluster de OKM.

   Nota:

   Todos los dispositivos de gestión de claves del cluster deben responder y todos los dispositivos de gestión de claves deben ejecutar una versión de KMS u OKM que admita la versión de replicación que el responsable de la seguridad desea configurar.

La Tabla 5-2 resume las funciones que requieren una versión de replicación determinada (o posterior) en las versiones de KMS y OKM.

Tabla 5-2 Versiones/funciones de Replication

Versión de Replication	Versión de KMS/OKM	Funciones activadas
8	2.0	Todo lo relacionado con la versión inicial
9	2.0.2	Claves en la copia de seguridad (las claves listas aparecen en las copias de seguridad)
10	2.1	Direcciones IPv6 Encapsulado de claves de AES (modo FIPS)
11	2.2	Integración ICSF Quórum distribuido Versión 2c del protocolo SNMP
12	2.3	Acelerar actualizaciones iniciales
13	2.4	Movilidad del agente
14	2.5.2	Permitir que los agentes revoquen las claves
15	3.0	Tiempos de procesamiento disponibles en los informes de rendimiento

Información de configuración de red

La opción de menú Network Configuration (Configuración de red) muestra los valores de configuración de red para el dispositivo de gestión de claves al que está conectado actualmente. Estos valores se establecen en las pantallas de configuración descritas en "Uso de la consola de OKM".

Visualización de la configuración de red

Para visualizar la configuración de red, en el menú Local Configuration (Configuración local), seleccione Network Configuration (Configuración de red). Se muestra la pantalla Network Configuration (Configuración de red).

Los campos se describen a continuación:

Description (Descripción)

Muestra si la información relacionada se aplica a la dirección de red de gestión o de servicio.

Interface Name (Nombre de interfaz)

El nombre de host de la red de gestión o de servicio establecido en el programa QuickStart.

IP Address (Dirección IP)

La dirección IP de la red de gestión o de servicio.

Netmask (Máscara de red)

La dirección de la máscara de subred de la red de gestión o de servicio.

DNS Server(s) (Servidores DNS)

Uno o más servidores de nombres DNS (si existen) utilizados por este dispositivo de gestión de claves.

DNS Domain Name (Nombre de dominio DNS)

El dominio DNS (si existe) utilizado por este dispositivo de gestión de claves.

DNS Configured by DHCP (DNS configurado mediante DHCP)

Indica si esta configuración de DNS se definió implícitamente mediante DHCP.

Nota:

Cuando la GUI de Oracle Key Manager está conectada a un dispositivo de gestión de claves de OKM 3.0, el panel Network Configuration (Configuración de red) no muestra la casilla de verificación DNS Configured by DHCP (DNS configurado mediante DHCP). QuickStart muestra la información de DNS obtenida mediante DHCP, pero el usuario debe introducir información de DNS estática o desactivarla por completo, como se describe en "Especificación de la configuración de DNS". Por lo tanto, la casilla de verificación DNS Configured by DHCP (DNS configurado mediante DHCP) no aparece.

Using DHCP (Usa DHCP)

Indica si la red de gestión o de servicio usa DHCP.

Destination (Destino)

La subred a la que se dirige el tráfico de red desde este dispositivo de gestión de claves.

Gateway (Puerta de enlace)

La dirección IP de la puerta de enlace a la que se enruta el tráfico de red para la red de gestión o de servicio.

Modifiable (Modificable)

Indica si la configuración de la puerta de enlace se puede modificar. Las puertas de enlace configuradas automáticamente no se pueden modificar.

Menú Current Load (Carga actual)

Este menú permite consultar información de carga sobre el dispositivo de gestión de claves al que está conectada la GUI. Todos los roles de usuario pueden acceder a esta información.

Visualización de la carga actual

Para visualizar la carga actual, haga clic en Current Load (Carga actual) en el menú Local Configuration (Configuración local).

Menú System Time (Hora del sistema)

La opción de menú System Time (Hora del sistema) le permite configurar el reloj del sistema al que está conectado. Para garantizar un correcto funcionamiento de la solución OKM, es muy importante mantener las horas informadas por cada dispositivo de gestión de claves de un cluster separadas por cinco minutos como máximo. Puede proporcionar una dirección IPv6 para un servidor NTP externo.

Recuperación de la información del reloj local

Para recuperar la información del reloj local:

En el menú System Management (Gestión del sistema), seleccione System Time (Hora del sistema). Se muestra la pantalla System Time (Hora del sistema).

A continuación, se presentan los campos junto con sus descripciones:

Current System Time (Hora actual del sistema)

Muestra la hora actual del sistema.

System Time Retrieved At (Hora del sistema recuperada el)

Muestra la hora del cliente local cuando se recuperó la hora del sistema del dispositivo de gestión de claves.

Adjust Time (Ajustar hora)

Haga clic en este botón para modificar la hora del sistema.

Si desea modificar el reloj del dispositivo de gestión de claves, haga clic en el botón Adjust Time (Ajustar hora). Para obtener más información, consulte "Ajuste del reloj local del dispositivo de gestión de claves" a continuación.

NTP Server (Servidor NTP)

Muestra el servidor NTP utilizado por este dispositivo de gestión de claves (si existe uno). El responsable de la seguridad puede proporcionar una dirección IPv6 para un servidor NTP externo. Esta dirección IPv6 no debe incluir corchetes ni una longitud de prefijo.

Specify NTP Server (Especificar servidor NTP)

Haga clic en este botón para especificar el servidor NTP que utilizará este dispositivo de gestión de claves.

Ajuste del reloj local del dispositivo de gestión de claves

Únicamente puede ajustar el reloj de un dispositivo de gestión de claves una vez al día, con una variación máxima de 5 minutos. Un ajuste positivo (+) mueve lentamente el reloj hacia adelante, mientras que un ajuste negativo (-) mueve el reloj lentamente hacia atrás.

Para ajustar la hora local del dispositivo de gestión de claves:

1. En el menú System Time (Hora del sistema), haga clic en el botón Adjust Time (Ajustar hora). Se muestra el cuadro de diálogo Adjust System Time (Ajustar hora del sistema).

   
   

2. Seleccione el botón de radio "Move System Time Forward (+)" (Mover hora del sistema hacia adelante [+]) si desea aplicar un ajuste positivo al reloj. De lo contrario, seleccione el botón de radio "Move System Time Backward (-)" (Mover hora del sistema hacia atrás [-]) si desea aplicar un ajuste negativo al reloj.

3. En el cuadro de texto Offset Minutes (Minutos de desplazamiento), seleccione un valor numérico.

4. En el cuadro de texto Offset Seconds (Segundos de desplazamiento), seleccione un valor numérico.

   Nota:

   Si el desplazamiento especificado es demasiado grande, se muestra un mensaje de error que le solicitará que escriba un valor más pequeño. Haga clic en el botón OK (Aceptar) para cerrar este cuadro de diálogo y escribir un nuevo valor.

5. Haga clic en el botón Save (Guardar) para aceptar los cambios. Se ajusta el reloj del sistema.