以前のタスク暗号化された ZFS データセットの作成では、ローカルで定義されている (raw) 鍵ファイルが使用されます。このファイルは、ファイルシステム上に直接格納されている必要があります。鍵を格納する別の方法では、Sun Software PKCS #11 ソフトトークンと呼ばれる、パスフレーズで保護された PKCS #11 キーストアが使用されます。この方法を使用するには、次のタスクを実行します。
鍵が ZFS で使用可能になる前に、PKCS #11 キーストアのロックを手動で解除する必要があります。最後に、これは、暗号化された ZFS データセットをマウントする (ゾーンでも暗号化された ZFS データセットが使用されている場合は、非大域ゾーンを起動する) には、管理者が手動で介入する必要があることを意味します。その他の鍵の格納方針の詳細は、zfs_encrypt(1M) のマニュアルページを参照してください。
計算サーバーへのログインとデフォルトパスワードの変更を参照してください。
新しい PKCS #11 キーストアに関連付けられたデフォルトの PIN は changeme です。この例では、このパスフレーズが 1 番目のプロンプトで使用されています。
# pktool setpin keystore=pkcs11 Enter token passphrase: Create new passphrase: Re-enter new passphrase:
デフォルトでは、PKCS #11 Softtoken で使用される鍵マテリアルが /var/user/ ${USERNAME}/pkcs11_softtoken ディレクトリに格納されます。${SOFTTOKEN} 環境変数を定義すると、鍵マテリアルを別の場所に格納できます。この機能を使用すると、このパスフレーズで保護されている鍵マテリアルで SuperCluster 固有の格納を有効にすることができます。
# export SOFTTOKEN=/<zfs_pool_name>/zfskeystore # pktool setpin keystore=pkcs11 Enter token passphrase: Create new passphrase: Re-enter new passphrase:
# pktool genkey keystore=pkcs11 keytype=aes keylen=256 label=zone_name_rpool Enter PIN for Sun Software PKCS#11 softtoken:
# zfs create -o encryption=aes-256-ccm -o keysource=raw,pkcs11:object=<zone_name>_rpool zfs_pool_name/zone_name Enter PKCS#11 token PIN for 'zfs_pool_name/zone_name’: