7 操作员操作

本章介绍了被授予“操作员”角色的用户可以执行的操作。如果分配给您多个角色，请参阅相应的章节了解有关执行特定角色的说明。

操作员角色

作为操作员，您负责管理系统的日常运行。

"Key Groups" 菜单

通过 "Key Groups" 菜单，您可以执行以下操作：

查看密钥组的列表
查看到密钥组的代理分配
查看到密钥组的传输伙伴分配。

Key Group List

通过 "Key Group List" 菜单选项，您可以管理密钥组。有关过程，请参阅""Key Group List" 菜单"。

Agent Assignment to Key Groups

通过 "Agent Assignment to Key Groups" 菜单选项，您可以查看到密钥组的代理分配。有关过程，请参阅""Agent Assignment to Key Groups" 菜单"。

Transfer Partner Assignment to Key Groups

通过 "Transfer Partner Assignment to Key Groups" 选项，您可以查看允许访问某个特定密钥组的某个密钥传输伙伴或一组密钥传输伙伴。有关过程，请参阅""Transfer Partner Assignment to Key Groups" 菜单"。

"Agent List" 菜单

通过 "Agent List" 菜单选项，您可以执行以下操作：

查看代理
创建代理
查看/修改代理
删除现有代理。

查看 代理列表

通过 "Agent List" 菜单选项，您可以查看与特定的密钥组关联的所有代理。

要查看此屏幕：

从 "Agents" 菜单中，选择 Agent List。此时将显示 "Agent List" 屏幕。
单击 "Key Group" 字段旁的向下箭头并选择一个密钥组。此时将显示与该密钥组关联的代理。

您也可以在列表中滚动以及按以下任一项过滤代理列表：

Agent ID
Description
Site
Default Key Group
Enabled
Failed Login Attempts
Enrolled
One Time Passphrase。

Use 按钮将过滤器应用于所显示的代理列表。

字段及其描述如下所示：

Filter：

显示可用于过滤对 KMA 所执行查询的结果的字段。可能的值是：

Agent ID
Description
Site
Default Key Group
Enabled
Failed Login Attempts
Enrolled。

"Filter Operator" 框：

单击向下箭头并选择需要的过滤操作。可能的值是：

Equals =
Not equal <>
Greater than >
Less than <
Greater than or equals >=
Less than or equals <=
Starts with ~
Empty
Not empty。

"Filter Value" 文本框：

键入过滤选定属性所依据的值。不对所有过滤器属性显示此过滤器选项。

"Filter Value" 组合框：

单击向下箭头并选择过滤选定属性所依据的值。不对所有过滤器属性显示此过滤器选项。

单击加号按钮可以添加其他过滤器。

单击减号按钮可以删除过滤器。仅当显示多个过滤器时才显示此按钮。

Use：

单击此按钮可以将选定过滤器应用于显示的列表并转至第一页。

Refresh：

单击此按钮可以刷新列表。

Reset：

单击此按钮可以删除所有过滤器并将显示的列表重置到第一页。

单击此按钮可以转至列表的第一页。

单击此按钮可以转至上一页。

单击此按钮可以转至下一页。

Results in Page：

显示在 "Options" 对话框的 "Query Page Size" 字段中配置的每页记录数。

Agent ID

显示用户指定的可区分每个代理的唯一标识符。

Description

对代理进行描述。

Site

显示一个唯一标识符，指示代理所属的站点。

Default Key Group

如果代理没有显式指定不同的密钥组，则是与此代理创建的所有密钥关联的密钥组。

Enabled

指示代理的状态。可能值为 True 或 False。如果此字段为 False，则代理无法与 KMA 建立会话。

Failed Login Attempts

显示尝试的登录已失败的次数

Enrolled

指示代理是否已成功在 OKM 群集中进行了注册。可能值为 True 或 False。如果代理是先创建的或者如果更改了代理的口令短语，则此字段为 False。

创建 代理

要创建代理：

从 "Agents List" 屏幕中，单击 Create 按钮。此时将显示 "Create Agent" 对话框并打开 "General" 选项卡。
完成以下参数：

Agent ID

键入一个唯一地标识代理的值。此值可以在 1 到 64（包含）个字符之间。

Description

键入一个对代理进行描述的值。此值可以在 1 到 64（包含）个字符之间。

Site ID

单击向下箭头并突出显示代理所属的站点。此字段是可选字段。

Flags

选择 One Time Passphrase，使代理在不重置其口令短语并使用其代理 ID 和新口令短语重新注册的情况下无法检索其 X.509 证书。此项为默认设置。

如果您没有选择 One Time Passphrase，则代理可以随时检索其 X.509 证书，使用 CA 和证书服务，并通过其代理 ID 和口令短语成功验证。

磁带机代理应当指定默认值。PKCS#11 型代理将发现此设置更加方便，特别是在用户可能从多个节点向 OKM 进行验证的群集配置中。

Default Key Group ID

如果您还具有“合规官”特权，请单击向下箭头并突出显示默认密钥组。
打开 "Passphrase" 选项卡。
完成以下参数：

Passphrase

键入此用户的口令短语。最小值为 8 个字符，最大值为 64 个字符。默认值为 8。

口令短语要求：
- 口令短语不能包含用户的代理 ID。
- 口令短语必须包含四种字符中的三种：大写、小写、数字或特殊字符。
- 允许使用以下特殊字符：
  
  ~ ! @ # $ % ˆ & * ( ) - _ = + [ ] { } \ | ; : ’ ” < > , . / ?
- 不允许使用控制字符（包括制表符和换行符）。
注:
要修改口令短语的最小长度要求，请参见"修改安全参数"。

Confirm Passphrase

键入与 "Enter Passphrase" 字段相同的值。

下面显示了一个已完成的 "Create Agent" 对话框示例。
单击 Save 按钮。代理记录将添加到数据库中并显示在 "Agent List" 屏幕上。
使用特定于代理的界面完成特定于代理的注册过程。例如，对于 StorageTek 磁带机，必须使用 VOP（Virtual Operator Panel，虚拟操作面板）来完成注册过程。

查看/修改 代理

要修改代理的详细信息：

从 "Agents List" 屏幕上，双击您需要更多信息的代理条目，或突出显示代理条目并单击 Details 按钮。此时将显示 "Agents Details" 对话框。
打开 "General" 选项卡并根据需要修改以下字段：
- Description
- Site ID
- Flags
  - Enabled－如果要允许此代理与群集进行通信，请选中此复选框。
  - Enrolled－指示代理是否已成功在群集中进行了注册。该字段为只读字段。
  - One Time Passphrase－选中此复选框，使代理在不重置其口令短语并使用其代理 ID 和新口令短语重新注册的情况下无法检索其 X.509 证书。此项为默认设置。
- 如果您没有选择 One Time Passphrase，则代理可以随时检索其 X.509 证书，使用 CA 和证书服务，并通过其代理 ID 和口令短语成功验证。
- 磁带机代理应当指定默认值。PKCS#11 型代理将发现此设置更加方便，特别是在用户可能从多个节点向 OKM 进行验证的群集配置中。
- Default Key Group ID－如果您还具有“合规官”特权，请单击向下箭头并突出显示默认密钥组。
完成后，单击 Save 按钮。将对 OKM Manager 数据库进行更改，并且您将返回到 "Agents List" 屏幕。

注:
只有您认为代理的口令短语已泄密时才应当更改该口令短语。有关过程，请参阅 "设置代理的口令短语"。

设置代理的口令短语

在设置代理的口令短语时，您实际上是在撤消代理能够用来向 KMA 证明自己身份的代理证书。作为操作员，如果您认为代理证书和/或口令短语已泄密，则您可能希望设置代理的口令短语证书。

要设置代理的口令短语：

从 "Agents List" 屏幕上，双击您想要设置其口令短语的代理条目，或者突出显示代理条目并单击 Details 按钮。此时将显示 "Agent Details" 对话框。打开 "Passphrase" 选项卡。
修改以下字段并单击 "Save" 按钮：
- Enter Passphrase
- Confirm Passphrase。
将对数据库进行更改，并且您将返回到 "Agents List" 屏幕。
使用特定于代理的过程重新注册代理。例如，对于 StorageTek 磁带机，必须使用 VOP（Virtual Operator Panel，虚拟操作面板）来完成在 OKM 群集中重新注册代理的过程。在更改代理的口令短语后，代理将无法对 OKM 群集发出请求，直到重新注册该代理。

删除 代理

要删除代理：

从 "Agents List" 屏幕，突出显示您要删除的代理。此时将显示以下对话框，提示您确认要删除选定的代理。
单击 Yes 按钮以删除代理。代理将从数据库中删除并且您将返回到 "Agents List" 屏幕，其中将不再列出已删除的代理。

"Key Group Assignment to Agents" 菜单

通过 "Key Group Assignment to Agents" 菜单选项，您可以查看分配给代理的密钥组。有关过程，请参阅""Key Group Assignment to Agents" 菜单"。

周围文本对 key_group_assgn_to_agents.jpg 进行了说明。

"Agent Performance List" 菜单

此菜单选项允许您查询代理性能信息。

此面板显示每个代理已发出的“创建密钥”、“检索密钥”和“注册密钥包装密钥”请求的相关信息。此信息包括比率或计数值以及处理时间。这些值中不包括“导入密钥”请求。

注:

HP 和 IBM LTO 磁带机不发出“创建密钥”请求。它们发出“检索密钥”请求。

比率值表示此代理在选定时间段内发出这些请求的比率。它们表示为基于选定比率显示间隔时间单位推算出的这些请求的平均比率（例如，推算出的每天的“创建密钥”请求平均数）。如果将比率显示间隔设置为 "entire time period"，则此面板将改为显示此代理在选定时间段内发出的请求数。

处理时间表示处理此代理在选定时间段内发出的请求所花费的平均时间（以毫秒为单位）。这些处理时间是从 KMA 的角度计算的，描述内部处理请求所需的时间量。它们不包括在网络上传输的时间（或建议 SSL 连接所需的时间量）。

OKM 群集必须使用复制版本 15 或更高版本才能使用请求处理时间。

要查询代理性能：

从 "Agents" 菜单中，选择 "Agent Performance List"。
要显示关于某个代理的更多信息，请选择该代理并单击 "Details" 按钮（或者双击该代理）。此时将显示 "Agent Performance Details" 对话框。

"Import Keys" 菜单

此菜单选项将密钥和数据单元导入到 OKM 群集中。密钥和数据单元信息包含在接收自密钥传输伙伴的密钥传输文件中。

注:

可以使用此屏幕将密钥上载并导入到 OKM 群集中。这些密钥是从其他 OKM 群集导出的。

要导入密钥：

从 "Transfer Partners" 菜单中，选择 Import Keys。此时将显示 "Import Keys" 屏幕。
完成以下参数：

Destination Key Group：

选择要向其中导入这些密钥的目标密钥组。

必须选中此密钥组的密钥策略的 "Allow Imports" 标志。此密钥组必须是选定的发送传输伙伴允许的密钥组。

Sending Transfer Partner：

选择导出了这些密钥的发送传输伙伴。

Key Transfer File：

键入密钥传输文件的名称。您还可以单击 Browse 来选择目标路径。
单击 Start 按钮开始上载和密钥导入过程。此时将显示消息，指出文件是何时上载并应用的。

数据单元

数据单元是逻辑存储设备，例如磁盘、磁带、对象。数据单元由与其密钥组关联的有效密钥策略提供安全保护。代理对选定的数据单元必须具有访问权限。

注:

除了修改数据单元的密钥组之外，操作员可以执行所有功能。只有合规官可以修改数据单元的密钥组。

"Data Unit List" 菜单

使用 "Data Unit List" 菜单可执行以下操作：

查看数据单元
查看/修改数据单元详细信息
查看数据单元的活动历史记录
销毁数据单元的操作后密钥
查看密钥数。

查看 数据单元

要查看数据单元，请从 "Data Units" 菜单中选择 "Data Unit List"。此时将显示 "Data Unit List" 屏幕。

您也可以在数据库中滚动以及按以下任一项过滤数据单元列表：

Data Unit ID
External Unique ID
Description
External Tag
Created Date
Exported
Imported
State。

Use 按钮将过滤器应用于所显示的数据单元列表。

字段及其描述如下所示：

Filter：

显示可用于过滤对 KMA 所执行查询的结果的字段。可能的值是：

Data Unit ID
External Unique ID
Description
External Tag
Created Date
Imported
Exported
State。

"Filter Operator" 框：

单击向下箭头并选择需要的过滤操作。可能的值是：

Equals =
Not equal <>
Greater than >
Less than <
Greater than or equals >=
Less than or equals <=
Starts with ~
Empty
Not empty。

显示任何密钥组中的数据单元。Use：

单击此按钮可将过滤器应用于显示的列表。

Refresh：

单击此按钮可以刷新列表。

Reset：

单击此按钮可以删除所有过滤器并将显示的列表重置到第一页。

单击此按钮可以转至列表的第一页。

单击此按钮可以转至上一页。

单击此按钮可以转至下一页。

Results in Page：

显示在 "Options" 对话框的 "Query Page Size" 字段中配置的每页记录数。

Data Unit ID

显示系统生成的可区分每个数据单元的唯一标识符。

External Unique ID

显示数据单元的唯一外部标识符。

此值由代理发送到 OKM，并且最终用户在外部可能无法看见它。对于 LTO 第 4 和第 5 代磁带，这是在制造时烧制到磁带上的磁带序列号。不要将此值与光纤条形码上或 ANSI 磁带标签中的卷序列号相混淆。此值不用于 StorageTek 磁带机。

Description

对数据单元进行描述。

External Tag

描述数据单元的唯一外部标记。

对于 StorageTek 磁带库中的磁带或者具有 ANSI 标准标签的磁带，此字段是卷序列号。如果磁带在某个磁带库中并且具有 ANSI 标签，如果磁带库卷序列号（即光纤条形码）不同于 ANSI 标签中包含的卷序列号，则将使用磁带库卷序列号。对于在独立磁带机中写入的没有 ANSI 标签的磁带，此字段为空。

注:

对于由 LTO 第 4 代和第 5 代磁带机写入的数据单元，此字段在右侧以空格填充 32 个字符。对于您来说，使用 "Starts With ~" 过滤器运算符而非 "Equals =" 过滤器运算符可能更为方便，因为您不需要添加空格来填充外部标记。例如，如果您使用 "Starts With" 过滤器，则可以输入："External Tag" ~ "ABCDEF"。如果您为同一示例使用 "Equals" 过滤器，则需要输入："External Tag" = "ABCDEF "（填充以填满 32 个字符）

Created Date

指示创建/注册数据单元的日期和时间。

Exported

指示是否已导出了与此数据单元关联的密钥。

Imported

指示是否已导入了与此数据单元关联的密钥。

State

指示数据单元的状态。可能的值是：

No Key：当数据单元已创建但尚未创建任何密钥时设置。
Readable：当数据单元具有至少允许对数据单元的某些部分进行解密（读取）的密钥时设置。
Normal：当数据单元具有至少允许对数据单元的某些部分进行解密（读取）的密钥时设置。此外，数据单元还具有至少一个可以用来对数据进行加密的“保护并处理”状态密钥。因此，数据单元是可写的。
Needs Re-key：当数据单元没有至少一个“保护并处理”状态密钥时设置。在为此数据单元更新密钥并向其分配新的活动密钥之前，不应当对数据进行加密并将其写入到此数据单元。避免使用未处于“保护并处理”状态的密钥进行加密是代理的责任。数据单元可能具有处于仅处理、已取消激活或已泄密状态的密钥。可以使用处于这三种状态之一的密钥进行加密。
Shredded：当此数据单元的所有密钥都已销毁时设置。无法读取或写入数据单元。不过，可以为此数据单元创建新密钥，将其状态恢复为“正常”。

查看/修改 数据单元详细信息

注:

如果您不是操作员，则当您查看数据单元的详细信息时，所有字段（包括 Save 按钮）都处于禁用状态。如果您是合规官，则 "Key Group" 字段处于启用状态。在 "Key List" 选项卡下，如果您是合规官，则 Compromise 按钮处于启用状态；否则，它处于禁用状态。

要修改数据单元的信息：

在 "Data Unit List" 屏幕中选择要修改的数据单元，然后单击 Details 按钮。此时将显示 "Data Unit Details" 对话框。
您可以修改以下参数：

Description

键入一个新值。原始信息是在注册期间由软件加密驱动程序提供的。此值可能介于 1 到 64（包含）个字符之间，也可能为空。

重要提示－如果 "Description" 字段包含字符串 ”PKCS#11v2.20,”，则这表示为 Oracle 数据库透明数据加密 (Transparent Data Encryption, TDE) 使用了一个特殊密钥。不要更改此字段。这样做会更改 OKM 与 TDE 进行交互的方式。

External Tag

键入数据单元的唯一外部标识符。此值可能介于 1 到 64（包含）个字符之间，也可能为空。此字段通常包含盒式磁带的标签或条形码。
单击 Save 按钮保存所做的更改。

下面是不可编辑的字段：

"General" 选项卡

Data Unit ID

External Unique ID

Created Date

State

Flags Imported/Exported

"Key List" 选项卡

周围文本对 data_unit_key_list_revoked.jpg 进行了说明。

Data Unit ID

唯一地标识数据单元。

Data Unit Description

对数据单元进行描述。

Key ID

显示数据单元的密钥信息。

Key Type

指示此密钥使用的加密算法的类型。唯一的可能值是 AES-256。

Created Date

显示创建密钥的日期和时间。

Activation Date

显示激活密钥的日期和时间。这是首次为代理分配密钥的日期和时间。它是密钥的加密期间和密码有效期的开始日期和时间。

Destroyed Date

显示销毁密钥的日期。如果此字段为空，则不会销毁密钥。

Destruction Comment

显示用户提供的关于密钥销毁的任何信息。如果此字段为空，则不会销毁密钥。

Exported

指示数据单元是否已导出。

Imported

指示数据单元是否已导入。

Derived

指示密钥是否已从主密钥提供程序生成的主密钥派生。有关详细信息，请参阅《OKM-ICSF Integration Guide》。

Revoked

指示与数据单元关联的密钥是否已被代理撤消。请参见"查看/修改密钥策略"。

如果 OKM GUI 连接到的 KMA 运行的是 OKM 2.5.2 或更高版本，但 OKM 群集当前使用的是 Replication Version 13 或更低版本，则此属性显示为 "(Unknown)"。

Key Group

显示与数据单元关联的密钥组。

Encryption End Date

显示密钥不再可用于或停止用于对数据进行加密的日期和时间。

Deactivation Date

显示将取消激活或已取消激活密钥的日期和时间。

Compromised Date

显示密钥的泄密日期。如果此字段为空，则密钥未泄密。

Compromised Comment

显示用户提供的关于密钥泄密的任何信息。如果此字段为空，则密钥未泄密。

Key State

指示数据单元的密钥状态。可能的值是：

Generated

当在 OKM 群集中的某个 KMA 中创建了密钥时设置。密钥保持已生成状态，直到其复制到多 OKM 群集中至少一个其他 KMA。在只有一个 KMA 的群集中，密钥将保持已生成状态，直至已在至少一个备份中记录了它。

Ready

当已通过复制或备份对密钥采取了防丢失措施时设置。就绪的密钥可用于分配。

Protect and Process

当加密代理请求创建新密钥时已分配了密钥时设置。处于此状态的密钥可用于加密和解密。

Process Only

当已分配了密钥但其加密期间已过期时设置。处于此状态的密钥可用于解密，但不可用于加密。

Deactivated

当密钥已过了其密码有效期但处理（解密）信息时仍然需要它时设置。

Compromised

当密钥已发放到未经授权的实体或者由未经授权的实体搜索到时设置。处于此状态的密钥可用于解密，但不可用于加密。

Incompletely Destroyed

当密钥已销毁但仍然出现在至少一个备份中时设置。

Completely Destroyed

当被销毁密钥所在的所有备份都已销毁时设置。

Compromised and Incompletely Destroyed

当已泄密的密钥仍然出现在至少一个备份中时设置。

Compromised and Completely Destroyed

当已泄密的密钥所在的所有备份都已销毁时设置。

Recovery Activated

指示密钥是否已由某个恢复操作链接到数据单元。当密钥由 OKM 群集中的一个 KMA 用于某个数据单元，但是之后由于某个故障，另一个不同的 KMA 为该数据单元请求密钥，此时会发生这种情况。如果故障（例如网络中断）阻止了将密钥到数据的分配传播到第二个 KMA，则第二个 KMA 会创建数据单元的链接。这样的密钥是“由恢复激活的”，并且管理员可能希望针对 KMA 或网络中断对系统进行评估。可能值为 True 和 False。

数据单元密钥详细信息

从 "Data Unit Details" 屏幕中，选择要显示其详细信息的密钥并单击 Details 按钮。此时将出现以下屏幕。

In Use By Data Unit

如果复制版本至少为 14，则操作员可以更改指示此密钥与其关联数据单元之间的关系的 In Use By Data Unit 复选框。当磁带机代理使用的密钥策略被无意中更新以启用其 Allow Agents To Revoke Keys 属性时，选中此复选框可能比较有用。有关此属性的说明，请参见"查看密钥策略"。

"Backups with Destroyed Keys List" 选项卡

周围文本对 dataunit_dets_bkup_destrky.jpg 进行了说明。

除非包含数据单元密钥的所有备份都已被销毁，否则不能将数据单元视为“已完全销毁”。

"Data Unit Details" 对话框的 "Backups with Destroyed Keys List" 选项卡可以帮助您识别包含选定数据单元的数据单元密钥的那些备份以及那些备份的销毁状态。

用于确定某个备份是否包含特定数据单元密钥的逻辑如下所示：

如果备份是在数据单元密钥创建之后创建的并且数据单元密钥未销毁，或者如果它已销毁并且销毁发生在备份创建之后，则备份包含数据单元密钥。

不过，日期时间比较需要考虑群集中各个 KMA 的时钟可能不自动同步并因此可能报告不同时间的情况。为了说明各个 KMA 中可能存在时间差异的情况，比较中使用了备份时间窗口。备份时间窗口固定为五分钟。使用备份时间窗口，比较检查的行为如下所示：

如果数据单元密钥是在创建备份的五分钟之内或之后创建的并且数据单元密钥在创建备份的五分钟内或之后被销毁，则备份包含一个数据单元密钥。

备份时间窗口用来最大程度地减少误报特定的备份中不存在某个数据单元但实际上存在的可能性。这样的情况称为“假阴性”并且会严重危害对数据销毁的合规要求。不过，使用备份时间窗口会增加误报数据单元密钥属于某个备份但实际上不属于的可能性。与“假阴性”不同的是，“假阳性”不会危害对数据销毁的合规要求。

Data Unit ID

唯一地标识数据单元。

Data Unit Description

对数据单元进行描述。

Data Unit Destruction Status

指示数据单元的销毁状态。

Backup ID

对备份进行标识。

Created Date

显示创建备份文件的日期和时间（也就是说，启动备份的时间）。

Destroyed Date

显示销毁备份文件的日期和时间。

Pending：

指示备份是否仍处于暂挂状态。可能值为 True 或 False。

Completed Date：

显示完成备份文件的日期和时间。

Downloaded Date：

显示下载备份文件的日期和时间。

单击 Save 按钮保存所做的更改。

销毁 操作后密钥

要销毁与数据单元关联的操作后密钥：

从 "Data Unit List" 屏幕中，突出显示要销毁的数据单元并单击 Destroy Keys 按钮。
此时将显示以下对话框，提示您指定要销毁的密钥。

Deactivated keys

如果您希望销毁已过了其密码有效期但处理（解密）信息时仍然需要的密钥，请选中此复选框。

Compromised keys

如果您希望销毁已发放到未经授权的实体或者由未经授权的实体搜索到的密钥，请选中此复选框。

键入关于这些密钥的销毁的注释。

Destruction Comment
如果您单击 Destroy 按钮，则会显示另一个对话框，确认这些密钥的销毁。
单击 Yes 按钮。另一个对话框将显示已销毁的密钥数。

查看密钥数

您可以列出具有关联密钥的数据单元以及与每个数据单元关联的密钥数。要查看密钥数：

从 "Data Unit List" 屏幕上，单击 "Key Counts" 按钮。
此时将显示下面的对话框。

"Software Upgrade" 菜单

"Software Upgrade" 菜单选项允许操作员执行软件升级过程的第一阶段：

将软件升级文件上载到 KMA
立即应用升级。

注:
过程的第二阶段（激活软件版本）必须由安全官来执行。有关详细信息，请参见"Software Upgrade"。

软件更新在应用之前由 Oracle 签署并经过 KMA 验证。

周围文本对 software_upgrd_men_top_lvl.jpg 进行了说明。

软件升级实施准则

在执行此功能之前，应备份您的系统。有关过程，请参阅"创建备份"。
使用与要在 KMA 上装入的升级版本匹配的 OKM Manager GUI 发行版。
运行 KMS 2.1 或更早版本的 KMA 必须升级到 KMS 2.2 后才能升级到 OKM 2.3 及更高版本。
如果 OKM Manager 以远程方式连接到 KMA，或者 OKM Manager 与 KMA 之间的连接速度慢，上载并应用的过程可能会花费很长时间。要缓解这种情况，可以将软件升级文件下载到安装了 OKM Manager 的膝上型电脑或工作站上（膝上型电脑或工作站连接的子网与 KMA 相同）。OKM Manager 和 KMA 之间存在路由器可能会降低升级过程的速度。
在 OKM Manager 与 KMA 之间连接良好的情况下，上载并应用的过程至少需要大约 30 分钟。激活过程至少需要大约 5 至 15 分钟。如果上载过程速度很慢，请尝试连接到与 KMA 相同的子网。
请在每个 KMA 上每次上载并应用一个软件升级文件（以帮助分散网络负载），然后在每个 KMA 上每次激活一个软件升级（以最大程度地减少同时脱机的 KMA 数量）。
如果任何一个升级过程（上载、验证、应用、激活、切换复制版本）失败，OKM Manager 都会生成审计消息，指示失败的原因和建议的解决方法。
升级后的 KMA 上的技术支持帐户被禁用；如果需要，必须重新启用该帐户。

上载 并应用软件升级

软件升级过程的第一阶段是上载并应用软件升级文件。

从交付位置将软件升级文件下载到您的 PC 或工作站。版本在文件名中可见。

注:
将文件保存到您可以从 OKM Manager GUI 导航到的某个位置。
在 "Local Configuration" 菜单中选择 Software Upgrade。此时将显示 "Software Upgrade" 屏幕。

软件的活动版本将突出显示，"Active" 列被设置为 "True" 并且将显示一个非活动版本。

此屏幕上显示的按钮包括：

Activate

安全官可以选择一个非活动软件版本，然后单击此按钮来激活选定的软件版本。系统将显示消息，指示此软件版本激活的时间；KMA 将重新引导。

Switch Replication Version

安全官可以选择活动软件版本，然后单击此按钮来切换当前的复制版本。

Software Upgrade File Name

键入软件升级文件的名称。

Browse

单击此按钮可查找您的本地系统上的软件升级文件。

Upload and Apply

单击此按钮可开始“上载并应用”过程。此时将显示消息，指出软件升级文件是何时上载并应用的。
在 "Software Upgrade File Name" 字段中，键入软件升级文件的名称。您还可以选择 Browse 按钮来查找文件。单击 Upload and Apply 按钮。

OKM 将启动上载、验证和应用过程并显示一个进度指示器来显示过程所处的步骤。

注:
因为上载过程给网络添加了一些流量，因此您可能不希望在繁忙的群集中同时上载 KMA。

激活软件版本

软件升级过程的第二阶段是激活您已上载并应用的非活动软件版本。此阶段必须由安全官来实施，有关详细信息，请参阅"Software Upgrade"。

其他功能

操作员还可以访问以下菜单：

有关查看备份文件详细信息的过程，请参阅""Backup List" 菜单"。
有关查看审计事件列表的过程，请参阅""Audit Event List" 菜单"。
有关查看 KMA 列表的过程，请参阅""KMA List" 菜单"。
有关查看站点列表的过程，请参阅""Site List" 菜单"。
有关查看 SNMP 管理器列表的过程，请参阅""SNMP Manager List" 菜单"。
有关查看 KMA 锁定状态的过程，请参阅"Lock/Unlock KMA"。
访问 "KMA List" 菜单，请参阅""KMA List" 菜单"。
查询关于此 OKM 群集中的 KMA 的 KMA 性能信息，请参阅""KMA Performance List" 菜单"。
查询关于 GUI 连接到的 KMA 的负载信息，请参阅""Current Load" 菜单"。
不查询数据单元直接查询密钥，请参阅""Key List" 菜单"。