5 安全官操作
安全官管理安全设置、用户、站点和传输伙伴。本章介绍以下内容:
-
具有安全官角色的用户可以执行的操作。如果分配给您多个角色,请参阅相应的章节了解有关执行特定角色的说明。
-
启用和禁用技术支持帐户的过程。
"KMA List" 菜单
使用 "KMA List" 菜单选项可以执行以下操作:
-
查看 KMA
-
创建 KMA
-
修改 KMA 的信息
-
删除 KMA
-
修改密钥池大小(请参阅"修改密钥池大小")。这是一项备份操作员功能。
注:
全部六个角色现在都能访问 "KMA List" 面板以及查看密钥池大小。
查看 KMA
要查看 KMA:
在 "System Management" 菜单中选择 KMA List。此时将显示 "KMA List" 屏幕。
您也可以在数据库中滚动以及按以下任一项过滤 KMA 列表:
-
KMA Name
-
Description
-
Site ID
-
Management Network Address
-
Service Network Address
-
Management Network Address (IPv6)
-
Service Network Address (IPv6)
-
Version
-
Failed Login Attempts
-
Enrolled
Use 按钮将过滤器应用于显示的 KMA 列表。
各字段及其描述如下:
Filter:
显示可用于过滤对 KMA 所执行查询的结果的字段。可能的值是:
-
KMA Name
-
Description
-
Site ID
-
Management Network Address
-
Service Network Address
-
Management Network Address (IPv6)
-
Service Network Address (IPv6)
-
Version
-
Failed Login Attempts
-
Enrolled
"Filter Operator" 框:
单击向下箭头并选择需要的过滤操作。可能的值是:
-
Equals =
-
Not equal <>
-
Greater than >
-
Less than <
-
Greater than or equals >=
-
Less than or equals <=
-
Starts with ~
-
Empty
-
Not empty
"Filter Value 1" 框:
如果选择了某个日期过滤器,单击 Set Date 可指定开始日期和时间。该值显示为过滤项范围的开始值。如果选择了其他任何过滤器,请在此字段中键入一个值。
"Filter Value 2" 框:
如果选择了某个日期过滤器,单击 Set Date 可指定结束日期和时间。该值显示为过滤项范围的结束值。
Use:
单击此按钮可将过滤器应用于显示的列表。
Refresh:
单击此按钮可以刷新列表。
Reset:
单击此按钮可以删除所有过滤器并将显示的列表重置到第一页。
单击此按钮可以转至列表的第一页。
单击此按钮可以转至上一页。
单击此按钮可以转至下一页。
单击此按钮可以转至下一页。
Results in Page:
显示在 "Options" 对话框的 "Query Page Size" 字段中配置的每页记录数。
KMA Name
显示用户提供的可区分群集中每个 KMA 的标识符。
KMA ID
显示系统生成的可标识 KMA 的唯一标识符。
Description
描述 KMA。
Site ID
描述 KMA 所属的站点。
Management Network Address
显示 KMA 在管理网络上的 IP 地址。
Service Network Address
显示 KMA 在服务网络上的 IP 地址。
Management Network Address (IPv6)
显示 KMA 在管理网络上的 IPv6 地址(如果有)。
Service Network Address (IPv6)
显示 KMA 在服务网络上的 IPv6 地址(如果有)。
Version
显示 KMA 软件的版本号。对于 OKM 3.0 KMA,版本字符串显示为以下格式:<OKM release>-5.11-<OKM build>。例如,3.0.0-5.11-2012。
Failed Login Attempts
显示尝试登录失败的次数。
Responding
指示 KMA 是否正在运行。可能值为 True 或 False。
-
True 表示 KMA 正在响应来自此 OKM 连接到的 KMA(即本地 KMA)的请求。虽然此状态适用于群集中的每对 KMA 之间,但显示的值表示列出的每个 KMA(即远程 KMA)是否正在响应来自本地 KMA 的请求。
-
False 表示远程 KMA 没有响应请求,可能是因为远程 KMA 发生故障,或者是远程 KMA 的通信链路发生故障。
Responding on Service Network
指示 KMA 是否在服务网络上响应。可能值为 "Responding"、"Not Responding" 或 "Not Accessible"。
-
Responding 表示 KMA 正在响应来自此 OKM 连接到的 KMA(即本地 KMA)的请求。虽然此状态适用于群集中的每对 KMA 之间,但显示的值表示列出的每个 KMA(即远程 KMA)是否正在响应来自本地 KMA 的请求。
-
Not Responding 表示远程 KMA 没有响应请求,可能是因为远程 KMA 发生故障,或者是远程 KMA 的通信链路发生故障。
-
Not Accessible 表示本地 KMA 无法访问远程 KMA,可能是因为服务网络配置没有提供到该 KMA 的默认路由或静态路由。
注:
如果本地 KMA 配置了默认路由,则将其视为具有到远程 KMA 的路由。如果其他 KMA 在服务网络上无响应,则将显示为 "Not Responding"。如果未定义默认路由或静态路由,则其他 KMA 可能显示为 "Not Accessible"。较旧的 KMA(OKM 2.3.x 或更早版本)显示为 "Responding"。
Response Time
显示 KMA 在其管理网络响应请求所需的时间(以毫秒为单位)。此值通常为几百毫秒。如果在本地 KMA 与远程 KMA 之间存在 WAN 连接,此值可能会较大。如果 KMA 之间的通信链路忙,此值也可能会较大。
Replication Lag Size
显示复制发生之前的更新次数。此数值应为零或很小的值。较大的值指示复制未及时完成,KMA 之间的通信链路发生故障或忙,或者远程 KMA 发生故障。刚在群集中加入新的 KMA 时,此值也会很大。
Key Pool Ready
显示已准备就绪但未分配的密钥百分比。
Key Pool Backed Up
显示已备份的密钥池的百分比。
注:
N/A 表示 KMA 无法确定此值,因为 KMA 运行低级别软件,或者当前使用的是较低的复制版本。Locked
指示 KMA 是否已锁定。
注:
N/A 表示 KMA 无法确定此值,因为 KMA 运行低级别软件,或者当前使用的是较低的复制版本。Enrolled
指示 KMA 是否已成功添加或登录到群集中。可能值为 True 或 False。
True 指示 KMA 已成功添加或登录到群集中。
第一次创建 KMA 时,此值为 False;KMA 登录到群集后,此值将变成 True。KMA 的口令短语更改时,此值也会变成 False。KMA 登录后,就无法再使用登录时所用的口令短语。必须更改该口令短语后,KMA 才能再次登录到群集中。
HSM Status
指示硬件安全模块 (Hardware Security Module, HSM) 的状态。可能值包括 "Unknown"、"Inactive"、"Software"、"Hardware"、"SW Error"、"HW Error" 或 "Not Present"。
Unknown
KMA 运行的软件发行版低于 KMS 2.2。
Inactive
KMA 当前不需要使用 HSM,一般是因为 KMA 已锁定。
Software
HSM 工作不正常,KMA 正在使用软件提供程序来生成密钥。
Hardware
HSM 工作正常,KMA 正在使用 HSM 来生成密钥。
SW Error/HW Error
KMA 在尝试查询软件提供程序 (SW Error) 或 HSM (HW Error) 的状态时遇到错误。
注:
正常情况下,HSM 工作正常 (Hardware)。但是,如果 HSM 变得工作不正常 (Software) 并且 "FIPS Mode Only" 安全参数设置为 "Off"(请参见"检索安全参数"),则 KMA 将切换为使用软件提供程序来生成密钥。如果 HSM 变得工作不正常,并且 "FIPS Mode Only" 安全参数设置为 "On",则 KMA 将无法生成密钥,或者将 AES 包装的密钥材料发送到代理。
如果该值为 "Software"、"SW Error" 或 "HW Error",请检查此 KMA 上的 Sun Crypto Accelerator (SCA) 6000 卡(请参见"检查 SCA 6000 卡")。
Not Present
HSM 不存在,KMA 正在使用软件提供程序生成密钥。
检查 SCA 6000 卡
群集中某个现有的 KMA 可能包含发生故障的 SCA 6000 卡。要确定发生故障的卡,请检查 KMA 服务器背面,检查卡上的 LED 指示灯。
已经通过 QuickStart 程序初始化的 KMS 2.1、2.2 或 OKM 2.3 及更高版本的 KMA 上的工作正常的 SCA 6000 卡会显示闪烁的绿色状态 LED 指示灯(带 S 标识)以及稳定的绿色 FIPS (F) 和已初始化 (I) LED 指示灯。
如果状态 LED 指示灯不是闪烁的绿色,并且 FIPS 和已初始化 LED 指示灯不是稳定的绿色,则表明 KMA 有一个发生故障的 SCA 6000 卡;如果需要 FIPS 模式,必须更换 KMA。
有关 SCA 6000 卡上的 LED 指示灯的说明,请参见 SCA 6000 用户指南。
如果要创建 KMA,请单击 "Create" 按钮。有关更多信息,请参阅下文中的"创建 KMA"。
如果要查看/修改某个 KMA 的详细信息,请突出显示该 KMA,然后单击 "Details" 按钮。有关更多信息,请参阅"查看/修改 KMA 的详细信息"。
如果要删除 KMA,请单击 "Delete" 按钮。有关更多信息,请参阅"删除 KMA"。
创建 KMA
要创建 KMA:
-
在 "KMA List" 屏幕中单击 Create 按钮。此时将显示 "Create KMA" 对话框,其中的 "General" 选项卡处于活动状态。
-
完成以下参数:
在 "General" 选项卡上,根据需要提供以下信息:
KMA Name
键入在群集中唯一标识 KMA 的值。此值可以在 1 到 64(包含)个字符之间。
Description
键入唯一描述 KMA 的值。此值可以在 1 到 64(包含)个字符之间。
Site ID
单击向下箭头,并选择 KMA 所属的站点。此字段是可选字段。
-
打开 "Passphrase" 选项卡。
-
完成以下参数,然后单击 Save 按钮。
Enter Passphrase
键入此用户的口令短语。最小值为 8 个字符,最大值为 64 个字符。默认值为 8。
口令短语要求:
-
口令短语不得包含用户的 KMA 名称。
-
口令短语必须包含四种字符中的三种:大写、小写、数字或特殊字符。
-
允许使用以下特殊字符:
~ ! @ # $ % ˆ & * ( ) - _ = + [ ] { } \ | ; : ’ ” < > , . / ?
-
不允许使用控制字符(包括制表符和换行符)。
Confirm Passphrase
键入与 Enter Passphrase 字段相同的值。
-
-
KMA 记录会添加到数据库中,并且该条目会在 "KMA List" 屏幕中显示。
-
此时将显示 "Key Split Quorum Authentication" 对话框。法定用户必须键入其用户名和口令短语以验证操作。
如果您在 "Key Split Quorum Authentication" 对话框中提供足够法定数目的密钥拆分凭证,则将在您提供法定后(而不是您单击 "Save" 按钮时)更新 OKM 群集中的信息。
如果您没有在 "Key Split Quorum Authentication" 对话框中提供足够法定数目,根据复制版本不同会产生两个不同的结果:
复制版本: 结果: 10 或更低 操作失败,不更新 OKM 群集中的任何信息。 11 或更高 操作变为暂挂。即,系统将该操作添加到暂挂法定操作列表(请参见""Pending Quorum Operation List" 菜单")。操作添加到此列表时会弹出一条消息。 不更新 OKM 群集中的任何信息,直到具有法定成员角色的用户(法定成员用户)登录并提供足够法定数目。
-
现在,您必须在所创建的 KMA 上运行 QuickStart 程序,使其能够加入群集。有关加入群集的过程,请参阅"加入现有群集"。
查看/修改 KMA 的详细信息
注:
如果您不是安全官,则在查看 KMA 的详细信息时,将禁用包括 "Save" 按钮在内的所有字段。要修改 KMA 的详细信息:
-
在 "KMA List" 屏幕中双击需要查看其更详细信息的 KMA 条目,或者突出显示某个 KMA 条目并单击 Details 按钮。此时将显示 "KMA Details" 对话框。
-
在 "General" 选项卡上,更改以下字段:
-
Description
-
Site ID。
-
-
在 "Network Configuration" 选项卡上,更改以下字段:
-
Management Network Address
-
Service Network Address。
-
-
在 "Key Pool Info" 选项卡上,将出现以下仅显示字段:
Ready Keys
显示在此 KMA 上已经生成并且已经备份(针对单节点群集)或者复制到其他 KMA(针对多节点群集),但尚未提供给代理用于加密的密钥数量。
Backup-Up Ready Keys
显示密钥池中已经备份的已准备就绪的密钥数量。N/A 表示 KMA 无法确定此值,因为 KMA 运行低级别软件,或者当前使用的是较低的复制版本。
Generated Keys
显示在此 KMA 上已经生成但是尚未备份(针对单节点群集)或者复制到其他 KMA(针对多节点群集)的密钥数量。
Key Pool Ready
显示密钥池中已经准备好使用的密钥百分比。
Key Pool Backed Up
显示密钥池中已经备份的已准备就绪的密钥百分比。N/A 表示 KMA 无法确定此值,因为 KMA 运行低级别软件,或者当前使用的是较低的复制版本。
-
打开 "Passphrase" 选项卡并修改以下参数:
-
Passphrase
-
Confirm Passphrase(重复键入相同的口令短语)。
-
-
完成后,单击 Save 按钮。数据库中的 KMA 记录已修改。
-
此时将显示 "Key Split Quorum Authentication" 对话框。法定用户必须键入其用户名和口令短语以验证操作。
如果您在 "Key Split Quorum Authentication" 对话框中提供足够法定数目的密钥拆分凭证,则在您提供法定后(而不是您单击 Save 按钮时)将更新 OKM 群集中的信息。
如果您没有在 "Key Split Quorum Authentication" 对话框中提供足够法定数目,根据复制版本不同会产生两个不同的结果:
复制版本: 结果 10 或更低 操作失败,不更新 OKM 群集中的任何信息。 11 或更高 操作变为暂挂。即,系统将该操作添加到暂挂法定操作列表(请参见""Pending Quorum Operation List" 菜单")。操作添加到此列表时会弹出一条消息。 不更新 OKM 群集中的任何信息,直到具有法定成员角色的用户(法定成员用户)登录并提供足够法定数目。
设置 KMA 口令短语
注:
您可以更改 KMA 的口令短语,前提是未与该 KMA 连接。在创建新的群集时,会向用于创建新群集的 KMA 自动分配一个随机口令短语。如果 KMA 由于其证书已过期而需要从群集中的另一个 KMA 检索某个实体的证书,则必须使用此功能将口令短语设置为某个已知值。
要设置 KMA 的口令短语:
-
在 "KMA List" 屏幕中双击 KMA 条目,或者突出显示某个 KMA 条目并单击 Details 按钮。此时将显示 "KMA Details" 对话框,其中的 "General" 选项卡处于活动状态。
-
打开 "Passphrase" 选项卡并修改以下参数:
-
Passphrase
-
Confirm Passphrase(重复键入相同的口令短语)。
-
-
单击 Save 按钮以保存更改。KMA 的数据库条目已更改。
-
此时将显示 "Key Split Quorum Authentication" 对话框。法定用户必须键入其用户名和口令短语以验证操作。
如果您在 "Key Split Quorum Authentication" 对话框中提供足够法定数目的密钥拆分凭证,则将在您提供法定后(而不是您单击 "Save" 按钮时)更新 OKM 群集中的信息。
如果您没有在 "Key Split Quorum Authentication" 对话框中提供足够法定数目,根据复制版本不同会产生两个不同的结果:
复制版本: 结果: 10 或更低 操作失败,不更新 OKM 群集中的任何信息。 11 或更高 操作变为暂挂。即,系统将该操作添加到暂挂法定操作列表(请参见""Pending Quorum Operation List" 菜单")。操作添加到此列表时会弹出一条消息。 不更新 OKM 群集中的任何信息,直到具有法定成员角色的用户(法定成员用户)登录并提供足够法定数目。
在更改了口令短语的 KMA 上使用控制台,选择将 KMA 登录到群集中的功能。KMA 在重新登录回来之前,无法与群集通信。
注:
如果 KMA 已经从群集注销至少几个小时,则在将该 KMA 重新登录到群集之前锁定该 KMA。当前更新传播到了此 KMA 后(如 "KMA List" 面板中的 "Replication Lag Size" 所示),则解锁该 KMA。有关详细信息,请参阅以下主题:
删除 KMA
重要提示-在删除某个 KMA 之前,应使用控制台上的 "Shutdown KMA" 功能将其脱机。如果未能执行此操作,KMA 将继续在群集外部工作,并向代理和用户发送“陈旧信息”。
正常情况下,此命令仅用于从群集中删除发生故障的 KMA。但是,也可将其用于删除要退役的 KMA。
如果需要将某个删除的 KMA 重新加入群集,则必须将该 KMA 重置为出厂默认设置,然后从 QuickStart 程序中选择第 2 个选项。
此选项允许安全官删除不再使用的 KMA。
要删除 KMA:
-
在 "KMA List" 屏幕中突出显示要删除的 KMA,然后单击 Delete 按钮。此时将显示以下对话框,提示您确认要删除选定的 KMA。
-
单击 Yes 按钮删除 KMA。此时将删除当前选定的 KMA,并返回到 "KMA List" 屏幕。系统还会删除与该 KMA 关联并且不被其他任何实体使用的所有条目。
"KMA Performance List" 菜单
通过 "KMA Performance List" 菜单,具有任何角色的用户都可以查询有关此 OKM 群集中的 KMA 的 KMA 性能信息。
此面板显示有关每个 KMA 已发出的密钥请求、复制请求、用户请求和服务器忙条件的性能信息。此信息包括比率或计数值以及处理时间。
比率值表示此 KMA 在选定时间段内处理这些请求的比率。这些比率表示为这些请求根据选定的比率显示间隔单位时间推测的平均比率(例如,推测的每天密钥请求的平均数量)。如果将比率显示间隔设置为 "entire time period",则面板将显示在选定时间段内此 KMA 处理的请求数。
处理时间表示此 KMA 用于处理在选定时间段内发出的请求的平均时间(以毫秒为单位)。这些处理时间是从 KMA 的角度计算的,描述内部处理请求所需的时间量。它们不包括在网络上传输的时间(或建议 SSL 连接所需的时间量)。
此面板显示有关在选定时间段内本地 KMA 遇到的“服务器忙”条件的信息。此条件表示其他 OKM 线程当前正在处理某个本地数据库中的 OKM 信息;在长时间运行 OKM 操作(例如,OKM 备份)过程中,可能会出现这种条件。
OKM 群集必须使用复制版本 15 或更高版本才能使用请求处理时间。
"User List" 菜单
使用 "User List" 菜单选项可以执行以下操作:
-
查看用户
-
创建用户
-
修改现有用户信息
-
删除现有用户。
查看用户
要查看用户:
在 "System Management" 菜单中选择 User List。此时将显示 "User List" 屏幕。
您也可以在数据库中滚动以及按以下任一项过滤用户列表:
-
User ID
-
Description
-
Roles
-
Enabled
-
Failed Login Attempts。
Use 按钮将过滤器应用于显示的用户列表。
字段及其描述如下所示:
Filter:
显示可用于过滤对 KMA 所执行查询的结果的字段。可能的值是:
-
User ID
-
Description
-
Enabled
-
Failed Login Attempts
"Filter Operator" 框:
单击向下箭头并选择需要的过滤操作。可能的值是:
-
Equals =
-
Not equal <>
-
Greater than >
-
Less than <
-
Greater than or equals >=
-
Less than or equals <=
-
Starts with ~
-
Empty
-
Not Empty
"Filter Value 1" 框:
在此字段中键入一个值。
Use:
单击此按钮可将过滤器应用于显示的列表。
Refresh:
单击此按钮可以刷新列表。
Reset:
单击此按钮可以删除所有过滤器并将显示的列表重置到第一页。
单击此按钮可以转至列表的第一页。
单击此按钮可以转至上一页。
单击此按钮可以转至下一页。
Results in Page:
显示在 "Options" 对话框的 "Query Page Size" 字段中配置的每页记录数。
User ID
显示一个唯一标识符,通常是指区分群集中每个用户的“用户名”。
Description
描述用户。
Roles
显示用户的安全角色列表。用户可通过这些角色来执行各种操作。
Enabled
指示用户的状态。可能值为 True 或 False。
Failed Login Attempts
指示失败的登录尝试次数。
如果要创建用户,请单击 "Create" 按钮。有关更多信息,请参阅"创建用户"。
如果要修改某个用户的详细信息,请突出显示该用户,然后单击 "Details" 按钮。有关更多信息,请参阅"查看/修改用户的详细信息"。
如果要删除用户,请单击 "Delete" 按钮。有关更多信息,请参阅"删除用户"。
如果用户的口令短语和/或证书已泄密,安全官可以设置用户的口令短语。有关设置用户口令短语的过程,请参阅"设置用户的口令短语"。
用户也可以更改自己的口令短语。有关过程,请参阅"更改口令短语"。
创建用户
要创建用户:
-
在 "User List" 屏幕中单击 Create 按钮。此时将显示 "Create User" 对话框,其中的 "General" 选项卡处于打开状态。
-
完成以下参数:
中 "General" 选项卡上:
User ID
键入唯一标识用户的值。此值可以在 1 到 64(包含)个字符之间。
Description
键入描述用户的值。此值可以在 1 到 64(包含)个字符之间。
Roles
选中希望用户执行的角色旁边的复选框。
注:
如果 KMA 当前运行的 KMS 软件版本为 2.1 或更低版本,或者 OKM 群集的复制版本当前设置为 10 或更低,则将禁用 "Quorum Member" 复选框(显示为灰色)。在 "Passphrase" 选项卡上:
-
打开 "Passphrase" 选项卡。
-
完成以下参数:
Passphrase
键入此用户的口令短语。最小值为 8 个字符,最大值为 64 个字符。默认值为 8。
口令短语要求:
-
口令短语不得包含用户的用户 ID。
-
口令短语必须包含四种字符中的三种:大写、小写、数字或特殊字符。
-
允许使用以下特殊字符:
~ ! @ # $ % ˆ & * ( ) - _ = + [ ] { } \ | ; : ’ ” < > , . / ?
-
不允许使用控制字符(包括制表符和换行符)。
Confirm Passphrase
键入与 "Enter Passphrase" 字段相同的值。
-
-
单击 Save 按钮。用户记录添加到数据库中。新用户显示在 "User List" 中。
-
此时将显示 "Key Split Quorum Authentication" 对话框。法定用户必须键入其用户名和口令短语以验证操作。
如果您在 "Key Split Quorum Authentication" 对话框中提供足够法定数目的密钥拆分凭证,则将在您提供法定后(而不是您单击 "Save" 按钮时)更新 OKM 群集中的信息。
如果您没有在 "Key Split Quorum Authentication" 对话框中提供足够法定数目,根据复制版本不同会产生两个不同的结果:
复制版本: 结果: 10 或更低 操作失败,不更新 OKM 群集中的任何信息。 11 或更高 操作变为暂挂。即,系统将该操作添加到暂挂法定操作列表(请参见""Pending Quorum Operation List" 菜单")。操作添加到此列表时会弹出一条消息。 不更新 OKM 群集中的任何信息,直到具有法定成员角色的用户(法定成员用户)登录并提供足够法定数目。
查看/修改用户的详细信息
注:
当前登录的安全官不能修改其记录。要修改用户信息:
-
在 "User List" 屏幕中双击需要查看其更多信息的用户,或者突出显示某个用户记录并单击 Details 按钮。此时将显示 "User Details" 对话框,其中的所有字段(包括 Save 按钮)都处于禁用状态。
-
在 "General" 选项卡上,修改以下参数:
-
Description
-
Roles
-
Flags - Enabled。
"Failed Login Attempts" 字段显示已失败的登录尝试次数。
-
-
在 "Passphrase" 选项卡上,如果要设置用户的口令短语,请参见"设置用户的口令短语"。
-
完成后,单击 Save 按钮。
-
如果添加了用户角色,则将显示 "Key Split Quorum Authentication" 对话框。法定用户必须键入其用户名和口令短语以验证操作。
注:
如果未添加用户角色,则在您单击 Save 按钮后会在 OKM 群集中更新用户信息,不会显示 "Key Split Quorum Authentication" 对话框。
如果您在 "Key Split Quorum Authentication" 对话框中提供足够法定数目的密钥拆分凭证,则将在您提供法定后(而不是您单击 "Save" 按钮时)更新 OKM 群集中的信息。
如果您没有在 "Key Split Quorum Authentication" 对话框中提供足够法定数目,根据复制版本不同会产生两个不同的结果:
复制版本: 结果: 10 或更低 操作失败,不更新 OKM 群集中的任何信息。 11 或更高 操作变为暂挂。即,系统将该操作添加到暂挂法定操作列表(请参见""Pending Quorum Operation List" 菜单")。操作添加到此列表时会弹出一条消息。 不更新 OKM 群集中的任何信息,直到具有法定成员角色的用户(法定成员用户)登录并提供足够法定数目。
设置用户的口令短语
作为安全官,如果您认为用户的口令短语和/或证书已泄密,则可设置用户的口令短语。用户使用新的口令短语登录到 KMA 时,会生成一个新的证书。
要设置用户的口令短语:
-
在 "User List" 屏幕中双击需要选择其口令短语的用户,或者突出显示某个用户并单击 Details 按钮。
-
此时将显示 "User Details" 对话框。打开 "Passphrase" 选项卡。
-
在 Enter Passphrase 字段中,键入安全官在创建用户帐户时分配的口令短语。
-
在 Confirm Passphrase 字段中,键入与上一步输入的值相同的值。用户记录的新口令短语被保存。
-
此时将显示 "Key Split Quorum Authentication" 对话框。法定用户必须键入其用户名和口令短语以验证操作。
如果您在 "Key Split Quorum Authentication" 对话框中提供足够法定数目的密钥拆分凭证,则在您提供法定后(而不是您单击 Save 按钮时)将更新 OKM 群集中的信息。
如果您没有在 "Key Split Quorum Authentication" 对话框中提供足够法定数目,根据复制版本不同会产生两个不同的结果:
复制版本: 结果: 10 或更低 操作失败,不更新 OKM 群集中的任何信息。 11 或更高 操作变为暂挂。即,系统将该操作添加到暂挂法定操作列表(请参见""Pending Quorum Operation List" 菜单")。操作添加到此列表时会弹出一条消息。 不更新 OKM 群集中的任何信息,直到具有法定成员角色的用户(法定成员用户)登录并提供足够法定数目。
"Role List" 菜单
"Role List" 菜单选项可用于查看用户角色。角色是用户可以执行的各种系统操作的固定逻辑分组。一个用户可以拥有多个角色。
查看角色
要查看角色:
在 "System Management" 菜单中选择 Role List。此时将显示 "Role List" 屏幕。
您也可以在数据库中滚动以及按以下任一过滤项过滤角色列表:
-
Role ID
-
Description。
"Use" 按钮将过滤器应用于显示的列表。
字段及其描述如下所示:
Filter:
显示可用于过滤对 KMA 所执行查询的结果的字段。可能的值是:
-
Role ID
-
Description
"Filter Operator" 框:
单击向下箭头并选择需要的过滤操作。可能的值是:
-
Equals =
-
Not equal <>
-
Empty
-
Not Empty
"Filter Value 1" 框:
在此字段中键入一个值。
Refresh:
单击此按钮可以刷新列表。
Reset:
单击此按钮可以删除所有过滤器并将显示的列表重置到第一页。
单击此按钮可以转至列表的第一页。
单击此按钮可以转至上一页。
单击此按钮可以转至下一页。
Results in Page:
显示在 "Options" 对话框的 "Query Page Size" 字段中配置的每页记录数。
Role ID
显示可区分每个安全角色的唯一标识符。
Description
描述角色。
如果需要有关角色的更详细的信息,请突出显示角色条目并单击 Details 按钮。有关更多信息,请参阅"查看角色的操作"。
"Site List" 菜单
站点是至少有一个 KMA 的物理位置,多个代理(主机和 OKM 群集)与其连接。代理可以通过站点响应 KMA 故障,或者通过连接到本地站点(而不是远程站点)中的其他 KMA 来更有效地进行负载平衡。
使用 "Site List" 菜单选项可以执行以下操作:
-
查看站点
-
创建站点
-
修改站点的信息
-
删除站点。
注:
操作员只能查看站点。安全官可以管理站点。
查看站点
要查看站点:
在 "System Management" 菜单中选择 Site List。此时将显示 "Site List" 屏幕。
您也可以在数据库中滚动以及按以下任一项过滤站点列表:
-
Site ID
-
Description。
Use 按钮将过滤器应用于显示的站点列表。
字段及其描述如下所示:
Filter:
显示可用于过滤对 KMA 所执行查询的结果的字段。可能的值是:
-
Site ID
-
Description
"Filter Operator" 框:
单击向下箭头并选择需要的过滤操作。可能的值是:
-
Equals =
-
Not equal <>
-
Greater than >
-
Less than <
-
Greater than or equals >=
-
Less than or equals <=
-
Starts with ~
"Filter Value 1" 框:
在此字段中键入一个值。
Use:
单击此按钮可将过滤器应用于显示的列表。
Refresh:
单击此按钮可以刷新列表。
Reset:
单击此按钮可以删除所有过滤器并将显示的列表重置到第一页。
单击此按钮可以转至列表的第一页。
单击此按钮可以转至上一页。
单击此按钮可以转至下一页。
Results in Page:
显示在 "Options" 对话框的 "Query Page Size" 字段中配置的每页记录数。
Site ID
唯一标识站点。
Description
描述站点。
单击 "Create" 按钮可创建站点。有关更多信息,请参阅"创建站点"。
如果要查看/修改某个站点的详细信息,请突出显示该站点,然后单击 "Details" 按钮。有关更多信息,请参阅"查看/修改站点的详细信息"。
单击 "Delete" 按钮可删除选定站点。有关更多信息,请参阅"删除站点"。
创建站点
要创建站点:
-
在 "Site List" 屏幕中单击 Create 按钮。此时将显示 "Create Site" 对话框。
-
完成以下参数:
Site ID
键入唯一标识站点的值。此值可以在 1 到 64(包含)个字符之间。
Description
键入唯一描述站点的值。此值可以在 1 到 64(包含)个字符之间。
下面显示了一个完成的对话框示例。
-
单击 Save 按钮。新站点保存并存储在数据库中,并显示在 "Site List" 中。
查看/修改站点的详细信息
注:
如果您不是安全官,则在查看站点的详细信息时,将禁用包括 "Save" 按钮在内的所有字段。要修改站点的详细信息:
-
在 "Site List" 屏幕中单击 Details 按钮。此时将显示 "Site Details" 对话框。
-
更改 "Description" 字段,然后单击 Save 按钮。站点详细信息已更改并存储在数据库中。
"SNMP Manager List" 菜单
以下菜单讨论查看、创建和修改 SNMP 管理器。
此外,还将为在其网络中配置了 SNMP 代理并且在 OKM Manager GUI 中定义了 SNMP 管理器的用户生成 SNMP 信息。如果在 OKM Manager GUI 中至少定义了一个 SNMP 管理器,KMA 就会向 SNMP 管理器的 IP 地址发送 SNMP Inform。
在创建或修改 SNMP 管理器时,可以提供 IPv6 地址。
有关 KMA 在其 SNMP Inform 包中发送的信息的更多详细信息,请参阅附录 A, "SNMP 管理信息库 (Management Information Base, MIB) 数据"。
查看 KMA 的 SNMP 管理器
要查看 SNMP 管理器:
在 "System Management" 菜单中选择 SNMP Manager List。此时将显示 "SNMP Manager List" 屏幕。
您也可以在数据库中滚动以及按以下任一项过滤 SNMP 管理器列表:
-
SNMP Manager ID
-
Description
-
Network Address
-
Enabled
-
User Name。
Use 按钮将过滤器应用于显示的 SNMP 管理器列表。
字段及其描述如下所示:
Filter:
显示可用于过滤对 KMA 所执行查询的结果的字段。可能的值是:
-
SNMP Manager ID
-
Description
-
Network Address
-
Enabled
-
User Name。
"Filter Operator" 框:
单击向下箭头并选择需要的过滤操作。可能的值是:
-
Equals =
-
Not equal <>
-
Greater than >
-
Less than <
-
Greater than or equals >=
-
Less than or equals <=
-
Starts with ~
-
Empty
-
Not empty
"Filter Value 1" 框:
在此字段中键入一个值。
Use:
单击此按钮可将过滤器应用于显示的列表。
Refresh:
单击此按钮可以刷新列表。
Reset:
单击此按钮可以删除所有过滤器并将显示的列表重置到第一页。
单击此按钮可以转至列表的第一页。
单击此按钮可以转至上一页。
单击此按钮可以转至下一页。
Results in Page:
显示在 "Options" 对话框的 "Query Page Size" 字段中配置的每页记录数。
SNMP Manager ID
显示用户定义的 SNMP 管理器唯一标识符。
Description
显示对 SNMP 管理器的描述。此字段是可选字段。
Network Address
显示发送 SNMP 陷阱时使用的网络地址。
Enabled
指示是否启用此 SNMP 管理器。
User Name
显示用于建立到此 SNMP 管理器的安全可信 SNMPv3 连接的用户名。
Protocol Version
指示 SNMP 协议版本:SNMPv3(版本 3)或 SNMPv2(版本 2)。
SNMP 协议版本 3 (SNMP protocol Version 3, SNMPv3) 支持使用用户名和口令短语进行验证。SNMP 协议版本 2 (SNMP protocol Version 2, SNMPv2) 不支持验证,并且不使用用户名和口令短语。可以将 SNMP 管理器配置为使用 SNMPv3 或 SNMPv2。如果 OKM 群集的复制版本当前设置为 10 或更低版本,则 KMA 不向配置为使用 SNMPv2 的 SNMP 管理器发送 SNMP Inform。
单击 Create 按钮可创建新的 SNMP 管理器。有关更多信息,请参阅下文中的"创建新的 SNMP 管理器"。
如果要查看/修改某个 SNMP 管理器的详细信息,请突出显示相应条目,然后单击 Details 按钮。有关更多信息,请参阅"查看/修改 SNMP 管理器的详细信息"。
单击 Delete 按钮可删除选定的 SNMP 管理器。有关更多信息,请参阅"删除 SNMP 管理器"。
创建新的 SNMP 管理器
如果您的 SNMP 代理配置为使用 SNMP 协议版本 3,则在 OKM 群集中创建 SNMP 管理器之前,请确保已经创建了 SNMP 协议版本 3 用户。此 SNMP 用户应使用 SHA(而不是 MD5)作为验证协议,使用 DES 作为隐私协议。有关创建 SNMP 版本 3 用户的更多信息,请参阅 SNMP 代理文档。
此外,如果 SNMP 用户有口令短语,则 KMA 将使用此口令短语作为该 SNMP 用户的验证口令短语和加密口令短语。因此,在 SNMP 代理中,此 SNMP 用户的这些口令短语必须有相同的值。如果 SNMP 用户没有口令短语,KMA 在向 SNMP 代理发送 SNMP Inform 时,将使用安全级别 "noAuthNoPriv"。
如果您的 SNMP 代理配置为使用 SNMP 协议版本 2,则无需配置验证协议或创建 SNMP 用户。当前,OKM 仅支持版本 2 的 "public" 社区。
有关创建 SNMP 用户的更多信息,请参见 SNMP 代理文档。例如,有关在 Solaris 系统上配置系统管理代理的更多信息,可参阅《Solaris System Management Agent Administration Guide》(http://docs.oracle.com/cd/E19253-01/817-3000/index.html)。此外,还可参阅 http://www.net-snmp.org/FAQ.html 了解有关 Net-SNMP 的常规信息。
-
在 "SNMP Managers List" 屏幕中单击 Create 按钮。
此时将显示 "Create SNMP Managers" 对话框。
-
完成以下参数:
SNMP Manager ID
键入唯一标识 SNMP 管理器的值。此值可以在 1 到 64(包含)个字符之间。
Description
键入描述 SNMP 管理器的值。此值可以在 1 到 64(包含)个字符之间。
Network Address
键入 SNMP 管理器的网络地址。
Flags - Enabled
选中此复选框可指示是否启用了 SNMP。
User Name
键入用于验证此 SNMP 管理器的用户名。
Passphrase
键入用于验证此 SNMP 管理器的口令短语。
Confirm Passphrase
键入与 "Passphrase" 字段相同的口令短语。
Protocol Version
选择此 SNMP 管理器应使用的 SNMP 协议版本。值 SNMPV3 表示将使用 SNMP 协议版本 3。值 SNMPV2 表示将使用 SNMP 协议版本 2。
SNMP 协议版本 3 (SNMP protocol Version 3, SNMPv3) 支持使用用户名和口令短语进行验证。SNMP 协议版本 2 (SNMP protocol Version 2, SNMPv2) 不支持验证,并且不使用用户名和口令短语。可以将 SNMP 管理器配置为使用 SNMPv3 或 SNMPv2。如果 OKM 群集的复制版本当前设置为 10 或更低版本,则 KMA 不向配置为使用 SNMPv2 的 SNMP 管理器发送 SNMP Inform。
-
完成后,单击 Save 按钮保存信息。新的 SNMP 管理器条目及其关联的配置文件存储在数据库中。
查看/修改 SNMP 管理器的详细信息
要查看/修改 SNMP 管理器的详细信息:
-
在 "SNMP Managers List" 屏幕中双击需要其更多信息的 SNMP 管理器条目,然后单击 Details 按钮。此时将显示 "SNMP Manager Details" 对话框。
-
根据需要更改参数。
-
完成后,单击 Save 按钮保存更改。
注:
每次修改 SNMP 管理器的详细信息时,都必须重新指定口令短语。
密钥传输
通过密钥传输(也称为密钥共享),可以在伙伴之间安全地交换密钥及关联数据单元;交换加密的介质时需要使用密钥传输。此过程要求传输中的各方建立公钥/私钥对,然后将公钥提供给对方。
各方将对方的公钥输入到自己的 OKM 群集中。当此初始配置完成后,发送方使用“导出密钥”功能生成要从发送方发送给接收方的传输文件。然后,接收方使用“导入密钥”功能将密钥及其关联数据单元导入到其 OKM 群集中。
传输文件使用发送方的私钥签名,并使用接收方的公钥加密。这使得只有接收方可以使用自己的私钥对传输文件解密。接收方可以使用发送方的公钥验证文件是否真的由预期的发送方生成。
密钥传输过程
在 OKM 中,必须按特定顺序执行多项任务。因为这些任务涉及多个用户角色,实际过程在本文档的不同章节中介绍。
配置密钥传输伙伴
要移动密钥,必须为参与密钥移动的两个 OKM 群集都配置一个密钥传输伙伴。
在以下过程中,"C1" 指第一个 OKM 群集,"C2" 指第二个 OKM 群集。
管理员(安全官角色):
C1 管理员(安全官角色):
-
获取 C1(您的群集)的公钥信息。为此,请转到 "Key Transfer Public Key List" 菜单。请参见"查看密钥传输公钥列表"和"查看密钥传输公钥详细信息"。
-
剪切公钥 ID 和公钥并将其粘贴到电子邮件或其他议定的通信形式中。将此信息发送给 C2 管理员。
注:
具体的通信方法应该足够安全,C2 接收该信息时可以信任其真的来自 C1。有一种机制(指纹)可以防止在传输途中修改此信息。
C2 管理员(安全官角色):
-
C2 管理员:通过访问 "Transfer Partner List" 菜单,将来自 C1 的公钥信息输入到 OKM 群集中。请参见""Key Transfer Public Key List" 菜单"。
-
单击 Create... 按钮。填写传输伙伴的名称、描述以及联系信息。确定要对此伙伴执行的操作。请参见"创建传输伙伴"。
-
选择 "Public Keys" 选项卡。填写 C1 提供的信息中的 "Public Key ID" 和公钥。
输入公钥时,系统会计算指纹。C1 和 C2 管理员用于通信的机制应该不同于用于传输密钥本身的机制。
两个管理员都应观察其 OKM 并验证指纹匹配情况。不匹配表示密钥在传输过程中受损或者经过修改。
-
如果指纹正确,请单击 Save。系统将提示键入法定数目。这是因为此步骤启用的密钥导出操作可用于从 OKM 群集提取有效的密钥。C1 现在在 C2 OKM 群集中被配置为传输伙伴。
C2 管理员(安全官角色):
C1 管理员(安全官角色):
C1 管理员(合规官角色):
-
C1 必须配置可以发送给 C2 的密钥组。请参见"查看密钥组分配"。
C2 管理员(合规官角色):
-
C2 必须配置可以从 C1 接收密钥的密钥组。请参见"查看密钥组分配"。
-
选择所需的传输伙伴。
-
选择一个或多个不允许的密钥组,单击 "Move to" 向后箭头按钮将其添加到密钥组列表。请参见"将密钥组添加到传输伙伴"。
导出/导入密钥
在导出密钥之前,密钥必须满足以下所有条件。操作员发出导出密钥请求时,不满足条件的密钥不会导出。
-
密钥必须属于与
Allow Export From标记设置为 "True" 的密钥策略关联的密钥组。请参见"查看/修改数据单元详细信息"和"查看密钥组"。
要设置标记,请参阅"查看/修改密钥策略"。
-
目标密钥传输伙伴必须将其
Enabled and Allow Export To标记设置为 "True"。请参见"查看/修改传输伙伴详细信息"。
要设置标记,请参阅"查看/修改密钥策略"。
-
目标密钥传输伙伴必须与所选密钥的密钥组关联。请参见"将密钥组添加到传输伙伴"。
-
密钥必须处于 "Protect and Process"、"Process Only"、"Deactivated" 或 "Compromised" 状态。请参见"查看/修改数据单元详细信息"。
此外,目标传输伙伴的 Export Format 设置(请参见"Transfer Partner List")必须匹配:
-
要导入密钥的 KMA 上的软件版本(请参见"上载并应用软件升级")以及
-
要导出和导入密钥的 OKM 群集上的
FIPS Mode Only安全参数值(请参见"检索安全参数")。
表 5-1 汇总了这些设置之间的关系。
| 软件版本-导入 KMA | FIPS Mode Only-导出 OKM 群集 | FIPS Mode Only-导入 OKM 群集 | 导出格式 |
|---|---|---|---|
|
2.0.2 或更低 |
禁用 |
N/A |
v2.0 或 Default |
|
2.0.2 或更低 |
启用 |
N/A |
v2.0 |
|
2.1 或更高 |
禁用 |
禁用 |
v2.0 或 Default |
|
2.1 或更高 |
启用 |
禁用 |
v2.0 |
|
2.1 或更高 |
禁用 |
启用 |
v2.1 (FIPS) |
|
2.1 或更高 |
启用 |
启用 |
v2.1 (FIPS) 或 Default |
以下过程用于从一个 OKM 群集导出密钥然后将其导入到另一个 OKM 群集。可以多次执行此操作。
在此过程中,"C1" 指第一个 OKM 群集,"C2" 指第二个 OKM 群集。按以下说明操作可从 C2 导出密钥,再将导出的密钥导入到 C1 中。
C2 管理员(操作员角色):
-
要交换密钥,请转到 "Data Unit List" 屏幕。请参见"查看数据单元"。
-
选择一个或多个要从 C2 发送到 C1 的数据单元(磁带)。"External Tag" 是磁带上的条形码。
与所选数据单元关联的密钥必须属性与其
Allow Export From标记设置为 "True" 的密钥策略关联的密钥组。这些密钥还必须处于激活状态(其 "Activation Date" 不为空),并且未被销毁(其 "Destroyed Date" 为空)。请参见"查看/修改数据单元详细信息"。 -
单击 Export Keys 按钮可显示对话框。
-
选择目标传输伙伴,选择导出密钥文件名(如有必要),然后单击 Start。将创建传输文件。
仅导出属于允许导出到 C1 的密钥组的密钥。
必须将所选目标传输伙伴分配到这些密钥所属的密钥组。请参见""Transfer Partner Assignment to Key Groups" 菜单"。
-
通过电子邮件或者其他议定的通信形式或文件移动机制,将传输文件发送给 C1 管理员。
C1 管理员(操作员角色):
-
选择 "Import Keys" 屏幕。请参见""Import Keys" 菜单"。
-
提供密钥要导入到的目标密钥组、导出这些密钥的发送传输伙伴(本例中为 C2)以及密钥传输文件名。所选密钥组必须是已配置为从 C2 接收密钥的密钥组。
即,与所选密钥组关联的密钥策略必须将其
Allow Import To标记设置为 "True"。此外,所选传输伙伴必须将其Enabled和Allow Import From标记设置为 "True",并按上文的描述设置其 "Export Format" 值。必须将所选传输伙伴分配到选定的密钥组。请参见""Transfer Partner Assignment to Key Groups" 菜单"。 -
单击 "Start"。
"Transfer Partners" 菜单
利用密钥传输伙伴功能,可以在 OKM 群集之间移动密钥。
Transfer Partner List
在 "Secure Information Management" 菜单中选择 Transfer Partner List。
您也可以在数据库中滚动以及按以下任一项过滤传输伙伴列表:
-
Transfer Partner ID
-
Description
-
Contact Information
-
Enabled
-
Allow Export To
-
Allow Import From
Use 按钮将过滤器应用于显示的传输伙伴列表。
字段及其描述如下所示:
Filter:
选择过滤器选项以过滤显示的传输伙伴列表。只有满足所有过滤条件的传输伙伴才会显示。
"Filter Attribute" 组合框:
单击向下箭头并选择一个用于过滤的属性。可能的值是:
-
Transfer Partner ID
-
Description
-
Contact Information
-
Enabled
-
Allow Export To
-
Allow Import From
"Filter Operator" 组合框:
单击向下箭头并选择要应用于所选属性的过滤运算。不对所有过滤器属性显示此过滤器选项。可能的值是:
-
Equals =
-
Not equal <>
-
Greater than >
-
Less than <
-
Greater than or equals >=
-
Less than or equals <=
-
Starts with ~
-
Empty
-
Not empty
"Filter Value" 文本框:
键入过滤选定属性所依据的值。不对所有过滤器属性显示此过滤器选项。
"Filter Value" 组合框:
单击向下箭头并选择过滤选定属性所依据的值。不对所有过滤器属性显示此过滤器选项。
单击加号按钮可以添加其他过滤器。
单击减号按钮可以删除过滤器。仅当显示多个过滤器时才显示此按钮。
Use:
单击此按钮可以将选定过滤器应用于显示的列表并转至第一页。
Refresh:
单击此按钮可刷新显示的列表。这不会应用自从上次使用或重置以来选定的过滤器,也不会更改列表的页面。
Reset:
单击此按钮可以删除所有过滤器并将显示的列表重置到第一页。
单击此按钮可以转至列表的第一页。
单击此按钮可以转至上一页。
单击此按钮可以转至下一页。
Results in Page:
显示可在当前页面上显示的项目数量。如果在列表末尾,则在项目数后附加 "(last page)"。页面上显示的最大项目数量通过 "Options" 对话框上的 "Query Page Size" 值定义。
Transfer Partner ID:
显示可区分每个传输伙伴的唯一标识符。此值可以在 1 到 64(包含)个字符之间。单击此列名可按此属性排序。
Description:
描述传输伙伴。此值可以在 1 到 64(包含)个字符之间。单击此列名可按此属性排序。
Contact Information:
显示有关传输伙伴的联系信息。单击此列名可按此属性排序。
Enabled:
指示是否允许传输伙伴共享密钥。可能值为 True 或 False。如果此字段值为 "False",则传输伙伴不能共享密钥。单击此列名可按此属性排序。
Allow Export To:
指示是否允许传输伙伴导出密钥。可能值为 True 或 False。如果此字段值为 "False",则传输伙伴不能导出密钥。单击此列名可按此属性排序。
Allow Import From:
指示是否可从此传输伙伴导入密钥。可能值为 True 或 False。如果此字段值为 "False",则不能从此传输伙伴导入密钥。单击此列名可按此属性排序。
Export Format:
指示密钥是否可包装(包装密钥可对 LAN 上的介质密钥以及令牌加密)。
在 "Export Format" 列中,值 "v2.0" 表示此传输伙伴在导出密钥时不包装密钥。
值 "v2.1 (FIPS)" 表示此传输伙伴在导出密钥时将包装密钥。
值 "N/A" 表示连接的 KMA 运行 2.0.x OKM 软件,因此不允许用户选择此设置。
注:
要与运行 KMS 2.0 的群集交换密钥,安全官应创建一个 "Export Format" 值为 "v2.0" 的传输伙伴。有关更多信息,请参阅"检索安全参数"中的 FIPS Mode Only 参数。
Public Key ID
显示可区分每个公钥的唯一标识符。此值可以在 1 到 64(包含)个字符之间。单击此列名可按此属性排序。
Public Key Fingerprint
显示公钥的指纹(即散列值)。
Entry Date
显示将公钥输入到 OKM 群集的日期。
创建传输伙伴
要创建传输伙伴:
-
在 "Transfer Partner List" 屏幕中单击 Create 按钮。此时将显示 "Create Transfer Partner" 对话框,其中的 "General" 选项卡处于活动状态。
-
完成以下参数:
中 "General" 选项卡上:
Transfer Partner ID
唯一标识传输伙伴。
Description
键入唯一描述传输伙伴的值。此值可以在 1 到 64(包含)个字符之间。此字段可以留空。
Contact Information
键入标识有关传输伙伴联系信息的值。此字段可以留空。
Export Format
选择 "Default"、"v2.0" 或 "v2.1 (FIPS)" 以确定导出格式。
值 "v2.0" 表示此传输伙伴在导出密钥时不包装密钥。
值 "v2.1 (FIPS)" 表示此传输伙伴在导出密钥时将包装密钥。
值 "Default" 表示在为此传输伙伴导出密钥传输文件时,格式取决于 "FIPS Mode Only" 安全参数的设置(请参见"检索安全参数")。
如果 "FIPS Mode Only" 为 "Off",则格式为 v2.0。如果 "FIPS Mode Only" 为 "On",则格式为 v2.1 (FIPS)。
注:
将传输伙伴的 "Export Format" 设置为 "Default" 的优势在于只需更改 "FIPS Mode Only" 安全参数就可以更改传输伙伴传输文件的格式,不必直接编辑传输伙伴的 "Export Format" 设置,而后者需要法定信息来验证更改。Flags - Enabled
选中此框将允许此传输伙伴共享密钥。如果未选中此字段,则传输伙伴不能共享密钥。
Allow Export To
选中此框将允许将密钥导出到传输伙伴。如果未选中此字段,则无法将传输伙伴用于导出密钥操作。
Allow Import From
选择此框指示是否可从此传输伙伴导入密钥。如果未选中此字段,则不能从此传输伙伴导入密钥。
-
打开 "Public Keys" 选项卡。
在 "Public Keys" 选项卡上,可以输入以下信息:
New Public Key ID
输入由传输伙伴提供的公钥 ID。
New Public Key
输入由传输伙伴提供的公钥。
New Public Key Fingerprint
这个只读字段显示新公钥的指纹(即散列值)。向伙伴验证此指纹以确保公钥在传输过程中未遭意外的或有意的篡改。
-
完成后,单击 Save 按钮。
-
此时将显示 "Key Split Quorum Authentication" 对话框。法定用户必须键入其用户名和口令短语以验证操作。
如果您在 "Key Split Quorum Authentication" 对话框中提供足够法定数目的密钥拆分凭证,则在您提供法定后(而不是您单击 Save 按钮时)将更新 OKM 群集中的信息。
如果您没有在 "Key Split Quorum Authentication" 对话框中提供足够法定数目,根据复制版本不同会产生两个不同的结果:
复制版本: 结果: 10 或更低 操作失败,不更新 OKM 群集中的任何信息。 11 或更高 操作变为暂挂。即,系统将该操作添加到暂挂法定操作列表(请参见""Pending Quorum Operation List" 菜单")。操作添加到此列表时会弹出一条消息。 不更新 OKM 群集中的任何信息,直到具有法定成员角色的用户(法定成员用户)登录并提供足够法定数目。
查看/修改传输伙伴详细信息
"Transfer Partner Details" 对话框可用于查看有关特定传输伙伴的详细信息。
要查看这些详细信息:
-
在 "Transfer Partner List" 屏幕中突出显示某个传输伙伴 ID 并单击 Details 按钮。此时将显示 "Transfer Partner Details" 对话框。
-
在 "General" 选项卡上,可以更改以下字段:
-
Description
-
Contact Information
-
Export Format
-
Flags - Enabled
-
AllowExport To
-
Allow Import From
"Transfer Partner ID" 字段是只读的。
-
-
完成后,单击 Save 按钮。数据库中的传输伙伴记录已修改。
-
打开 "Public Keys" 选项卡。
-
在 "Public Keys" 选项卡上,可以更改以下字段:
New Public Key ID
输入由传输伙伴提供的新公钥 ID。
New Public Key
输入由传输伙伴提供的新公钥。
New Public Key Fingerprint
这个只读字段显示新公钥的指纹(即散列值)。向发送传输伙伴验证此密钥。
Existing Public Keys
此列表显示与此传输伙伴关联的公钥。
-
完成后,单击 Save 按钮。
-
此时将显示 "Key Split Quorum Authentication" 对话框。法定用户必须键入其用户名和口令短语以验证操作。
如果您在 "Key Split Quorum Authentication" 对话框中提供足够法定数目的密钥拆分凭证,则在您提供法定后(而不是您单击 Save 按钮时)将更新 OKM 群集中的信息。
如果您没有在 "Key Split Quorum Authentication" 对话框中提供足够法定数目,根据复制版本不同会产生两个不同的结果:
复制版本: 结果: 10 或更低 操作失败,不更新 OKM 群集中的任何信息。 11 或更高 操作变为暂挂。即,系统将该操作添加到暂挂法定操作列表(请参见""Pending Quorum Operation List" 菜单")。操作添加到此列表时会弹出一条消息。 不更新 OKM 群集中的任何信息,直到具有法定成员角色的用户(法定成员用户)登录并提供足够法定数目。
"Key Transfer Public Key List" 菜单
要在传输伙伴之间共享密钥,安全官必须先访问其 OKM 群集的公钥信息。此菜单提供公钥信息。必须将此命令显示的公钥和公钥 ID 发送给传输伙伴。
查看密钥传输公钥列表
要查看密钥传输公钥列表:
-
在 "System Management" 菜单中选择 Key Transfer Public Key List。
您也可以在数据库中滚动以及按以下任一项过滤密钥传输公钥列表:
-
Public Key ID
-
Created Date
-
Public Key
Use 按钮将过滤器应用于显示的密钥传输公钥列表。
字段及其描述如下所示:
Filter:
选择过滤器选项以过滤显示的公钥列表。只有满足所有过滤条件的公钥才会显示。
"Filter Attribute" 组合框:
单击向下箭头并选择一个用于过滤的属性。可能的值是:
-
Public Key ID
-
Created Date
-
Public Key
"Filter Operator" 组合框:
单击向下箭头并选择要应用于所选属性的过滤运算。不对所有过滤器属性显示此过滤器选项。可能的值是:
-
Equals =
-
Not equal <>
-
Greater than >
-
Less than <
-
Greater than or equals >=
-
Less than or equals <=
-
Starts with ~
-
Empty
-
Not empty
"Filter Value" 文本框:
键入过滤选定属性所依据的值。不对所有过滤器属性显示此过滤器选项。
"Filter Value" 组合框:
单击向下箭头并选择过滤选定属性所依据的值。不对所有过滤器属性显示此过滤器选项。
"Filter Value" 组合框:
单击向下箭头并选择过滤选定属性所依据的值。不对所有过滤器属性显示此过滤器选项。
单击加号按钮可以添加其他过滤器。
单击减号按钮可以删除过滤器。仅当显示多个过滤器时才显示此按钮。
Use:
单击此按钮可以将选定过滤器应用于显示的列表并转至第一页。
Refresh:
单击此按钮可刷新显示的列表。这不会应用自从上次使用或重置以来选定的过滤器,也不会更改列表的页面。
Reset:
单击此按钮可以删除所有过滤器并将显示的列表重置到第一页。
单击此按钮可以转至列表的第一页。
单击此按钮可以转至上一页。
单击此按钮可以转至下一页。
Results in Page:
显示可在当前页面上显示的项目数量。如果在列表末尾,则在项目数后附加 "(last page)"。页面上显示的最大项目数量通过 "Options" 对话框上的 "Query Page Size" 值定义。
Public Key ID:
显示可区分每个公钥的唯一标识符。此值可以在 1 到 64(包含)个字符之间。单击此列名可按此属性排序。
Created Date:
显示创建此公钥的日期和时间。单击此列名可按此属性排序。
对应于最新创建的公钥的私钥用于签署所有导出的密钥传输文件。
Public Key:
显示用于执行传输伙伴间密钥传输的公钥。此值以 base 64 编码显示。单击此列名可按此属性排序。
Public Key Fingerprint:
公钥的散列。此值用于验证公钥是否正确传输,此值以 base 64 编码显示。
"Backup List" 菜单
安全官可使用 "Backup List" 菜单选项执行以下操作:
-
查看备份历史记录
-
查看备份文件详细信息
-
恢复备份。
查看备份文件历史记录
要查看备份文件历史记录:
在 "Secure Information Management" 菜单中选择 Backup List。此时将显示 "Backup List" 屏幕。
您也可以在数据库中滚动以及按以下任一项过滤备份文件:
-
Backup ID
-
KMA ID
-
Created Date
-
Destroyed Date
-
Destruction Status
-
Destruction Comment。
+ 按钮将过滤器应用于显示的备份文件列表。
字段及其描述如下所示:
Filter:
显示可用于过滤对 KMA 所执行查询的结果的字段。可能的值是:
-
Backup ID
-
Created Date
-
Destroyed Date
-
Destruction Status
-
Destruction Comment。
"Filter Operator" 框:
单击向下箭头并选择需要的过滤操作。可能的值是:
-
Equals =
-
Not equal <>
-
Greater than >
-
Less than <
-
Greater than or equals >=
-
Less than or equals <=
-
Starts with ~
"Filter Value 1" 框:
如果选择了日期过滤器,单击 Set Date 可指定开始日期和时间。该值显示为过滤项范围的开始值。如果选择了其他任何过滤器,请在此字段中键入一个值。
"Filter Value 2" 框:
如果选择了日期过滤器,单击 Set Date 可选择结束日期和时间。该值显示为过滤项范围的结束值。
Use:
单击此按钮可将过滤器应用于显示的列表。
Refresh:
单击此按钮可以刷新列表。
Reset:
单击此按钮可以删除所有过滤器并将显示的列表重置到第一页。
单击此按钮可以转至列表的第一页。
单击此按钮可以转至上一页。
单击此按钮可以转至下一页。
Results in Page:
显示在 "Options" 对话框的 "Query Page Size" 字段中配置的每页记录数。
Backup ID
显示系统生成的可区分每个备份文件的唯一标识符。
KMA ID
显示为其生成了备份文件的 KMA。
Created Date
显示备份的创建日期。
Destroyed Date
显示将备份文件标记为已手动销毁的日期。
Destruction Status
指示与备份销毁相关的备份状态。可能的值是:
NONE
备份文件尚未销毁,并且不含已销毁的数据单元密钥。
PENDING
备份文件尚未手动销毁,并且包含已销毁的数据单元密钥的副本。
DESTROYED
备份文件已手动销毁。
Destruction Comment
显示用户提供的有关备份文件销毁情况的信息。
Details:
单击此按钮可查看有关备份的更详细的信息。
Create Backup:
单击此按钮可创建备份。如果您是安全官,则不启用此按钮。
Restore:
单击此按钮可恢复备份。
Confirm Destruction:
单击此按钮可确认销毁备份。如果您是安全官,则不启用此按钮。
如果需要有关备份的更详细的信息,请突出显示备份并单击 Details 按钮。有关更多信息,请参阅"查看备份详细信息"。
单击 Restore 按钮可恢复当前所选的备份。有关更多信息,请参阅"恢复备份"。
查看备份详细信息
"Backup Details" 对话框用于查看备份文件的详细信息。
注:
在 KMA 上创建和恢复备份文件。要查看备份文件详细信息:
-
在 "Backup List" 屏幕中双击需要查看其更多信息的备份条目,或者突出显示备份条目并单击 Details 按钮。此时将显示 "Backup Details" 对话框,其中的所有字段都是只读的。
-
字段及其描述如下所示:
Backup ID
显示系统生成的可区分每个备份文件的唯一标识符。
KMA ID
显示在其上生成此备份文件的 KMA。
Created Date
显示创建备份文件的日期和时间。
Completed Date
显示完成备份文件的日期和时间。
Downloaded Date
显示下载备份文件的日期和时间。
Destroyed Date
显示备份文件的销毁日期。
Destruction Status
指示与备份销毁相关的备份状态。
Destruction Comment
显示用户提供的有关备份文件销毁情况的信息。
-
单击 Close 按钮可关闭此对话框。
恢复备份
利用此功能可以将包含备份文件和备份密钥文件的备份上载和恢复到 KMA。在将备份文件恢复到 KMA 之前,请确保拥有验证的法定数目。
重要提示-在开始此过程之前,必须执行"从备份恢复群集"过程。
要恢复备份:
-
在 "Backup List" 屏幕中突出显示要恢复的备份,然后单击 Restore 按钮。此时将显示 "Restore Backup" 对话框。
-
选择所需的核心安全备份、备份密钥文件和备份文件。备份密钥文件和备份必须匹配,即,它们必须是同时创建的。核心安全备份可以比备份密钥文件和备份文件旧,也可以比它们新。任何核心安全备份文件可与任何备份密钥文件和备份文件一起使用。
-
单击 Start 按钮。
-
上载过程完成时会在 "Restore Backup" 对话框上指示,并将显示 "Key Split Quorum Authentication" 对话框。法定用户必须键入其用户名和口令短语以验证操作。
如果您在 "Key Split Quorum Authentication" 对话框中提供足够法定数目的密钥拆分凭证,则在您提供法定后(而不是您单击 Save 按钮时)将更新 OKM 群集中的信息。
如果您没有在 "Key Split Quorum Authentication" 对话框中提供足够法定数目,根据复制版本不同会产生两个不同的结果:
复制版本: 结果: 10 或更低 操作失败,不更新 OKM 群集中的任何信息。 11 或更高 操作变为暂挂。即,系统将该操作添加到暂挂法定操作列表(请参见""Pending Quorum Operation List" 菜单")。操作添加到此列表时会弹出一条消息。 不更新 OKM 群集中的任何信息,直到具有法定成员角色的用户(法定成员用户)登录并提供足够法定数目。
-
将显示 "Restore Backup" 对话框,指示恢复过程的状态。
-
字段及其描述如下所示:
Backup File Name
备份文件的名称。
Backup Wrapping Key File Name
显示备份密钥文件的名称。
Core Security Backup File Name
包含核心安全密钥材料的备份文件的名称。
-
恢复完成时,将显示一条消息指示恢复已完成。单击 Close 按钮可关闭此对话框。数据库和安全密钥库恢复到 KMA。
"System Dump" 菜单
"System Dump" 菜单可创建系统转储供解决问题,并可将其下载到运行 OKM Manager 的系统上的压缩文件中。下载文件所用的格式可以使用压缩实用程序打开。
注:
转储不包括任何密钥材料或可据以推断出密钥的信息。
"Security Parameters" 菜单
安全官可通过 "Security" 菜单查看和修改 KMA 的安全参数。
检索安全参数
注:
仅当需要 OKM 群集从 IBM 大型机获取主密钥时,才使用 Master Key Provider 按钮。仅当 OKM 群集的复制版本当前设置为 11 或更高,并且 "FIPS Mode Only" 值为 "Off" 时,才会启用该按钮。有关详细信息,请参见 OKM-ICSF 集成指南。
要检索安全参数,
在 "Security" 菜单中选择 Security Parameters。"Security Parameters" 屏幕以只读模式显示。
字段及其描述如下所示:
注:
对于以下六个与保留相关的字段,只有一个审计日志,它位于 KMA 中最大的文件系统中。调整这些参数的主要原因是控制在从 "Audit Event List" 菜单中发出的查询中返回的审计日志条目数量(请参见"查看审计日志")。
审计日志中的条目可以显示短期、中期或长期保留期限。KMA 会根据审计日志条目的保留期限限制和生命周期,截断(删除)旧的审计日志条目。
例如,短期审计日志条目的截断频率通常比中期审计日志条目高;而中期审计日志条目的截断频率又比长期审计日志条目高。
安全官可以定义这些保留期限限制和生命周期来控制旧审计日志条目的删除频率。
Short Term Retention Audit Log Size Limit
显示在被截断之前保留的短期审计日志条目的数量。默认值为 10,000。下限值为 1000,上限值为 1,000,000。
Short Term Retention Audit Log Lifetime
显示在被截断之前短期审计日志条目的保留时间(以天为单位)。默认值是 7 天。下限值为 7 天,上限值为 25,185 天(大约 69 年)。
Medium Term Retention Audit Log Size Limit
显示在被截断之前保留的中期审计日志条目的数量。默认值为 100,000。下限值为 1000,上限值为 1,000,000。
Medium Term Retention Audit Log Lifetime
显示在被截断之前中期审计日志条目的保留时间(以天为单位)。默认值是 90 天。下限值为 7 天,上限值为 25,185 天。
Long Term Retention Audit Log Size Limit
显示在被截断之前保留的长期审计日志条目的数量。默认值为 1,000,000。下限值为 1000,上限值为 1,000,000。
Long Term Retention Audit Log Lifetime
显示在被截断之前长期审计日志条目的保留时间(以天为单位)。默认值是 730 天。下限值为 7 天,上限值为 25,185 天。
Login Attempt Limit
指示在禁用某个实体之前登录尝试失败的次数。默认值为 5。下限值为 1,上限值为 1000。
Passphrase Minimum Length
显示口令短语的最小长度。默认值为 8 个字符。最小值为 8 个字符,最大值为 64 个字符。
Management Session Inactivity Timeout
显示某个 OKM Manager 或控制台登录会话在被自动注销之前可以保持空闲状态的最长时间(以分钟为单位)。更改此值不会影响已经进行的会话。默认值为 15 分钟。下限值为 0(表示没有限制),上限值为 60 分钟。
显示导入密钥和格式传输文件设置。
"Off" 值指定只要与支持 AES 密钥包装的代理通信,KMA 就包装密钥。大多数客户运行的应该是支持 AES 密钥包装与 OKM 代理服务的磁带机固件。
支持 OKM 的所有 PKCS#11 提供程序都包括了对 AES 密钥包装的支持。您可以通过查看 OKM 审计日志并观察代理是否在使用下面列出的代理服务操作来确认这一点。为 "Operation" 指定一个审计过滤器,并从下拉列表中选择以下任何一个特定操作:
-
Create Key v2
-
Retrieve key v2
-
Retrieve Keys v2
-
Retrieve Protect and Process Key v2
结果列表中的任何审计事件都会确认指定的代理正在使用 AES 密钥包装与 OKM。
"On" 值指定此群集中的 KMA 使用高级加密标准 (Advanced Encryption Standard, AES) 包装密钥,然后将密钥发送给代理(磁带机)。KMA 无法导入 1.0 密钥,仅允许导出和导入 v2.1 (FIPS) 格式传输文件。
仅当当前复制版本为 10 或更高版本时,才能设置 "On" 值。
有关更多信息,请参见"Transfer Partner List"中的导出格式参数。
Pending Operation Credentials Lifetime:
密钥拆分凭证在批准了暂挂法定操作时保留的时间量(以天为单位)。如果在到达此生命周期之前,批准暂挂法定操作的密钥拆分凭证数量不足,则这些凭证将失效。在这些凭证失效之后,法定成员必须重新批准暂挂法定操作。默认值是 2 天。此值仅在复制版本为 11 或更高版本时使用。
如果要更改安全参数,请单击 "Modify" 按钮。有关更多信息,请参阅"修改安全参数"。
核心安全
"Core Security" 组件的主要元素是“根密钥材料”。在初始化群集时生成的就是密钥材料。根密钥材料保护主密钥。主密钥是一种对称密钥,用于保护在 KMA 上存储的数据单元密钥。
核心安全采用密钥拆分方案进行保护,要求在密钥拆分凭证中定义的法定数目用户提供其用户名和口令短语对根密钥材料解包。
利用这种安全机制,可以实现 KMA 的两种操作状态:锁定和未锁定。
处于锁定状态的 KMA 无法对根密钥材料解包,从而无法访问数据单元密钥。因此,KMA 无法处理代理请求来注册新数据单元或者检索现有数据单元的数据单元密钥。
处于未锁定状态的 KMA 可以使用根密钥材料来访问数据单元密钥以及处理对数据单元密钥的代理请求。
Backup Core Security
通过 "Backup Core Security" 选项,安全官可以备份核心安全密钥材料并将其下载到本地系统上的文件中。
注意:
应谨慎保护核心安全备份文件。因为任何核心安全备份文件可用于任何备份文件/备份密钥文件对,甚至旧的核心安全备份文件仍然会有用。创建核心安全备份
在修改了密钥拆分凭证之后,需要执行新的核心安全备份。
重要提示-安全官必须首先备份核心安全密钥材料,然后备份官才能创建备份。请参见"创建备份"。
-
在 "Core Security" 菜单中选择 "Backup Core Security"。此时将显示 "Backup Core Security" 对话框。
注:
会自动生成核心安全备份文件名称。但是,您可以编辑该名称,还可以单击 "Browse" 按钮选择目标路径。
-
单击 Start 按钮可创建核心安全备份文件并将其下载到用户指定的目标位置。
-
备份完成时,将显示一条消息。单击 Close 按钮可关闭此对话框
-
您将返回到 "Backup Core Security" 屏幕。
Key Split Configuration
通过 "Key Split Configuration" 菜单选项,安全官可以查看和修改 KMA 的密钥拆分凭证。
查看密钥拆分配置
要查看密钥拆分配置:
-
在 "Core Security" 菜单中选择 Key Split Configuration。此时将显示 "Key Split Configuration" 对话框。
字段及其描述如下所示:
Key Split Number
显示密钥拆分的数量。最大值为 10。
Threshold Number
显示验证法定数目所必需的用户数。
Split User (1-10)
显示现有拆分的用户名。
如果要修改密钥拆分用户名、口令短语和阈值数量,请单击 Modify 按钮。有关更多信息,请参阅"修改密钥拆分配置"。
修改密钥拆分配置
要修改密钥拆分配置:
-
在 "Key Split Configuration" 屏幕中单击 Modify 按钮。此时将显示 "Modify Key Split Configuration" 对话框。
-
完成以下参数,然后单击 OK 按钮:
Key Split Number
键入一个新的密钥拆分数量值。最大数量为 10。
Threshold Number
键入形成法定数目所需的用户数量值。
Split User x
键入新用户的名称。对于每个拆分用户 (Split User),完成与其关联的 "Passphrase" 和 "Confirm Passphrase" 字段。
注:
启用的 "Split User" 字段数量取决于您在 "Key Split Number" 字段中输入的值。 -
在输入了最后一个用户名和口令短语后,单击 Save 按钮。
-
在输入了新的密钥拆分凭证后,将显示 "Key Split Quorum Authentication" 对话框。为现有的法定凭证键入用户名和口令短语,然后单击 OK 按钮。在步骤 2 和步骤 3 中设置了“新”凭证时需要此操作。
如果您在 "Key Split Quorum Authentication" 对话框中提供足够法定数目的密钥拆分凭证,则将在您提供法定后(而不是您单击 Save 按钮时)更新 OKM 群集中的信息。
如果您没有在 "Key Split Quorum Authentication" 对话框中提供足够法定数目,根据复制版本不同会产生两个不同的结果:
复制版本: 结果: 10 或更低 操作失败,不更新 OKM 群集中的任何信息。 11 或更高 操作变为暂挂。即,系统将该操作添加到暂挂法定操作列表(请参见""Pending Quorum Operation List" 菜单")。操作添加到此列表时会弹出一条消息。 不更新 OKM 群集中的任何信息,直到具有法定成员角色的用户(法定成员用户)登录并提供足够法定数目。
-
系统以数据库中的新配置更新旧配置信息。新配置会显示在 "Key Split Credentials" 屏幕中。
注:
将使用更新后的密钥拆分凭证重新包装核心安全密钥材料。 -
创建新的核心安全备份(请参见"创建核心安全备份")。
注:
销毁所有旧的核心安全备份文件以确保以前的密钥拆分凭证无法用于销毁备份。
Autonomous Unlock Option
通过 "Autonomous Unlock Option" 菜单,安全官可以启用或禁用 KMA 的自治选项。
要启用/禁用自治解锁选项:
-
在 "Core Security" 菜单中选择 Autonomous Unlock Option。此时将显示 "Autonomous Unlock Option" 屏幕,指示当前的自治状态。
-
根据当前的自治引导状态,单击 Enable Autonomous Unlock 启用此选项,或者单击 "Disable Autonomous Unlock" 禁用该选项。
注:
Lock/Unlock 按钮可在状态之间切换,设置与当前状态相反的 KMA 锁定状态。必须提供法定数目才能启用或禁用自治解锁选项。
-
此时将显示 "Key Split Quorum Authentication" 对话框。法定用户必须键入其用户名和口令短语以验证操作。
如果您在 "Key Split Quorum Authentication" 对话框中提供足够法定数目的密钥拆分凭证,则将在您提供法定后(而不是您单击 Save 按钮时)更新 OKM 群集中的信息。
如果您没有在 "Key Split Quorum Authentication" 对话框中提供足够法定数目,根据复制版本不同会产生两个不同的结果:
复制版本: 结果: 10 或更低 操作失败,不更新 OKM 群集中的任何信息。 11 或更高 操作变为暂挂。即,系统将该操作添加到暂挂法定操作列表(请参见""Pending Quorum Operation List" 菜单")。操作添加到此列表时会弹出一条消息。 不更新 OKM 群集中的任何信息,直到具有法定成员角色的用户(法定成员用户)登录并提供足够法定数目。
"Local Configuration" 菜单
"Local Configuration" 菜单包括以下选项:
-
锁定/解锁 KMA
-
升级软件(请参见""Software Upgrade" 菜单")
-
网络配置信息
-
自动服务请求。
Lock/Unlock KMA
通过 "Lock/Unlock KMA" 菜单选项,安全官可以锁定和解锁 KMA 的核心安全。有关核心安全以及 KMA 在核心安全锁定或解锁时的行为的详细信息,请参见"核心安全"。
锁定 KMA
要锁定 KMA:
-
在 "Local Configuration" 菜单中选择 Lock/Unlock KMA。此时将显示 "Lock/Unlock KMA" 屏幕,指示 KMA 的状态。在此示例中,KMA 的状态为 "Unlocked"。
-
单击 Lock KMA 按钮可锁定 KMA。按下该按钮后,它就会变成 "Unlock KMA",指示新的锁定状态及允许的操作。KMA 现在已锁定。
注:
Lock KMA/Unlock KMA 按钮可在状态之间切换,设置与当前状态相反的 KMA 锁定状态。按下按钮后,文本标签和按钮标签就会发生变化,指示新的锁定状态及允许的操作。
解锁 KMA
要解锁 KMA:
-
在 "Lock/Unlock KMA" 屏幕中单击 Unlock KMA 按钮。
-
此时将显示 "Key Split Quorum Authentication" 对话框。法定用户必须键入其用户名和口令短语以验证操作。
如果您在 "Key Split Quorum Authentication" 对话框中提供足够法定数目的密钥拆分凭证,则在您提供法定后(而不是您单击 Save 按钮时)将更新 OKM 群集中的信息。
如果您没有在 "Key Split Quorum Authentication" 对话框中提供足够法定数目,根据复制版本不同会产生两个不同的结果:
复制版本: 结果: 10 或更低 操作失败,不更新 OKM 群集中的任何信息。 11 或更高 操作变为暂挂。即,系统将该操作添加到暂挂法定操作列表(请参见""Pending Quorum Operation List" 菜单")。操作添加到此列表时会弹出一条消息。 不更新 OKM 群集中的任何信息,直到具有法定成员角色的用户(法定成员用户)登录并提供足够法定数目。
-
如果验证成功,"Key Split Quorum Authentication" 对话框将关闭,KMA 解锁。
Software Upgrade
使用 "Software Upgrade" 菜单选项可以应用软件升级;但是,此过程需要两个独立的阶段:
-
操作员将软件升级文件上载到 KMA 并立即应用升级。有关详细信息,请参见"上载并应用软件升级"。
-
安全官激活操作员上载并应用的非活动软件版本。
软件更新在应用之前由 Oracle 签署并经过 KMA 验证。
软件升级实施准则
-
在执行此功能之前,应备份您的系统。有关过程,请参阅"创建备份"。
-
使用与要在 KMA 上装入的升级版本匹配的 OKM Manager GUI 发行版。
-
运行 OKM 3.0 的 KMA 最多可在 "Software Upgrade" 屏幕中显示三个软件版本。OKM 2.x GUI 无法激活 OKM 3.0 KMA 上的软件版本。在 OKM 3.0 KMA 上上载或激活软件版本之前,请安装并使用 Oracle Key Manager 3.0 GUI。
-
对于 OKM 3.0 KMA,"Software Upgrade" 屏幕按时间反序显示软件版本。即,最新的版本出现在列表顶部。检查 "Active" 列可了解哪个版本是活动版本。
-
OKM 2.x KMA 无法升级到 OKM 3.0。请不要尝试在 OKM 2.x KMA 上上载并应用 OKM 3.0 升级包。
-
运行 KMS 2.1 或更早版本的 KMA 必须升级到 KMS 2.2 后才能升级到 OKM 2.3 及更高版本。
-
如果 OKM Manager 以远程方式连接到 KMA,或者 OKM Manager 与 KMA 之间的连接速度慢,上载并应用的过程可能会花费很长时间。要缓解这种情况,可以将软件升级文件下载到安装了 OKM Manager 的膝上型电脑或工作站上(膝上型电脑或工作站连接的子网与 KMA 相同)。OKM Manager 和 KMA 之间存在路由器可能会降低升级过程的速度。
-
在 OKM Manager 与 KMA 之间连接良好的情况下,上载并应用的过程至少需要大约 30 分钟。激活过程至少需要大约 5 至 15 分钟。如果上载过程速度很慢,请尝试连接到与 KMA 相同的子网。
-
请在每个 KMA 上每次上载并应用一个软件升级文件(以帮助分散网络负载),然后在每个 KMA 上每次激活一个软件升级(以最大程度地减少同时脱机的 KMA 数量)。
-
如果任何一个升级过程(上载、验证、应用、激活、切换复制版本)失败,OKM Manager 都会生成审计消息,指示失败的原因和建议的解决方法。
-
升级后的 KMA 上的技术支持帐户被禁用;如果需要,必须重新启用该帐户。
激活软件版本
操作员上载并应用了软件升级之后,安全官可激活操作员上载并应用的非活动软件版本。
-
在 "Local Configuration" 菜单中选择 Software Upgrade。此时将显示 "Software Upgrade" 屏幕。
活动的软件版本会突出显示,并且 "Active" 列设置为 "True"。同时还会显示所有非活动版本。对于 OKM 3.0 KMA,版本字符串具有以下格式:<OKM release>-5.11-<OKM build>。例如,3.0.0-5.11-2012。
此屏幕上显示的按钮包括:
Activate
选择一个非活动软件版本,然后单击此按钮以激活所选的软件版本。系统将显示消息,指示此软件版本激活的时间;KMA 将重新引导。
Switch Replication Version
选择一个活动的软件版本,然后单击此按钮以切换当前的复制版本。
Software Upgrade File Name
操作员可以键入软件升级文件的名称。
Browse
操作员可以单击此按钮在本地系统上查找软件升级文件。
-
确保存在 OKM 群集的当前备份。
要激活升级文件,请从屏幕顶部的可用版本列表中选择新版本,然后单击 Activate 按钮。在激活之前,新版本在系统中保持非活动状态。
注:
在激活过程中,KMA 将重新引导。由于 KMA 在重新引导时处于脱机状态,因此您可能不希望在群集中同时激活多个 KMA。在重新引导 KMA 之前,用户保持连接状态。再次访问 "Software Upgrade" 屏幕时,新上载的软件版本会显示为活动版本。
-
此时将显示 "Key Split Quorum Authentication" 对话框。具有法定角色的用户必须键入其用户名和口令短语以验证操作。
如果您在 "Key Split Quorum Authentication" 对话框中提供足够法定数目的密钥拆分凭证,则在您提供法定后(而不是您单击 Save 按钮时)将更新 OKM 群集中的信息。
如果您没有在 "Key Split Quorum Authentication" 对话框中提供足够法定数目,根据复制版本不同会产生两个不同的结果:
-
新软件版本可能包括仅在 OKM 群集复制版本更改为更高值时才能使用的新功能。
-
OKM 群集必须切换到新复制版本才能启用新软件版本中的所有新功能。
复制版本: 结果: 10 或更低 操作失败,不更新 OKM 群集中的任何信息。 11 或更高 操作变为暂挂。即,系统将该操作添加到暂挂法定操作列表(请参见""Pending Quorum Operation List" 菜单")。操作添加到此列表时会弹出一条消息。 不更新 OKM 群集中的任何信息,直到具有法定成员角色的用户(法定成员用户)登录并提供足够法定数目。
-
切换复制版本
当前软件版本中的某些功能仅在 OKM 群集复制版本设置为该软件版本支持的最高值时才可用。
安全官要手动设置复制版本。复制版本不会自动更改。
-
登录到已激活的 KMA 并导航到 "Software Upgrade" 屏幕。如果 "Supported Replication Versions" 列中有比 "Current Replication Version" 列更高的版本,则可单击 Switch Replication Version 按钮。
-
选择一个新的复制版本,然后单击 OK 按钮。
此时,"Current Replication Version" 列会显示较高的版本,并且成功的复制切换会发送到 OKM 群集中的其他所有 KMA。
注:
群集中的所有 KMA 应有响应,并且所有 KMA 必须运行支持安全官要设置的复制版本的 KMS 或 OKM 版本。
表 5-2 汇总了各 KMS 和 OKM 发行版中需要特定复制版本(或更高版本)的功能。
网络配置信息
"Network Configuration" 菜单选项显示您当前连接到的 KMA 的网络配置设置。这些设置是在"使用 OKM 控制台"中所述的配置屏幕中建立的。
显示网络配置
要显示网络配置,请在 "Local Configuration" 菜单中选择 Network Configuration。此时将显示 "Network Configuration" 屏幕。
下面介绍了其中的各个字段:
Description
显示相关信息是适用于管理网络地址,还是服务网络地址。
Interface Name
在 QuickStart 程序中建立的管理网络主机名或服务网络主机名。
IP Address
管理网络或服务网络的 IP 地址。
Netmask
管理网络或服务网络的子网掩码地址。
DNS Server(s)
此 KMA 使用的一个或多个 DNS 名称服务器(如果有)。
DNS Domain Name
此 KMA 使用的 DNS 域(如果有)。
DNS Configured by DHCP
指示这些 DNS 设置是否由 DHCP 隐式配置。
注:
如果 Oracle Key Manager GUI 连接到 OKM 3.0 KMA,则 "Network Configuration" 面板不显示 DNS Configured by DHCP 复选框。QuickStart 显示由 DHCP 获取的 DNS 信息,但用户必须输入静态 DNS 信息或将其完全禁用,如"指定 DNS 设置"所述。因此,DNS Configured by DHCP 复选框不会出现。Using DHCP
指示管理网络或服务网络是否使用 DHCP。
Destination
来自此 KMA 的网络流量要转至的子网。
Gateway
管理网络或服务网络的网络流量路由到的网关 IP 地址。
Modifiable
指示网关配置是否可修改。自动配置的网关不可修改。
"System Time" 菜单
通过 "System Time" 菜单选项,可以设置您连接到的系统时钟。要确保正确操作 OKM 解决方案,将群集中每个 KMA 互相报告的时间保持在五分钟以内非常重要。您可以提供外部 NTP 服务器的 IPv6 地址。
检索本地时钟信息
要检索本地时钟信息:
在 "System Management" 菜单中选择 System Time。此时将显示 "System Time" 屏幕。
字段及其描述如下所示:
Current System Time
显示当前的系统时间。
System Time Retrieved At
显示在检索 KMA 的系统时间时的本地客户机时间。
Adjust Time
单击此按钮可修改系统时间。
如果要修改 KMA 的时钟,请单击 "Adjust Time" 按钮。有关更多信息,请参阅下文中的"调整 KMA 的本地时钟"。
NTP Server
显示此 KMA 使用的 NTP 服务器(如果有)。安全官可以提供外部 NTP 服务器的 IPv6 地址。此 IPv6 地址不能包括方括号或前缀长度。
Specify NTP Server
单击此按钮可指定此 KMA 要使用的 NTP 服务器。
调整 KMA 的本地时钟
每天只能调整一次 KMA 的时钟,最多加/减 5 分钟。正 (+) 调整将时钟缓慢前移,而负 (-) 调整则将时钟缓慢后移。
要调整 KMA 的本地时间:
-
在 "System Time" 菜单中单击 Adjust Time 按钮。此时将显示 "Adjust System Time" 对话框。
-
如果要对时钟应用正调整,请选择 "Move System Time Forward (+)" 单选按钮。否则,如果要对时钟应用负调整,请选择 "Move System Time Backward(-)" 单选按钮。
-
在 "Offset" 的 "Minutes" 文本框中,选择一个数值。
-
在 "Offset" 的 "Seconds" 文本框中,选择一个数值。
注:
如果指定的偏移太大,则将显示一条错误消息,提示您键入一个较小的值。请单击 OK 按钮关闭此对话框,然后键入一个新值。 -
单击 Save 按钮以接受更改。系统时钟已调整。