이전 작업인 암호화된 ZFS 데이터 세트 만들기에서는 파일 시스템에 직접 저장해야 하는 로컬로 정의된(원시) 키 파일을 사용합니다. 또 다른 키 저장소 기법에서는 Sun Software PKCS#11 Softtoken이라는 문장암호로 보호되는 PKCS#11 키 저장소를 사용합니다. 이 방법을 사용하려면 다음 작업을 수행합니다.
ZFS에 키를 제공하려면 먼저 PKCS#11 키 저장소가 수동으로 잠금 해제되어 있어야 합니다. 결국, 암호화된 ZFS 데이터 세트를 마운트하기 위해(그리고 영역에서도 암호화된 ZFS 데이터 세트를 사용할 경우 비전역 영역을 시작하기 위해)서는 수동 관리 개입이 필요함을 의미합니다. 다른 키 저장소 전략에 대한 자세한 내용은 zfs_encrypt(1M) 매뉴얼 페이지를 참조하십시오.
연산 서버에 로그인 및 기본 암호 변경을 참조하십시오.
새로운 PKCS#11 키 저장소와 연관된 기본 PIN은 changeme입니다. 이 예의 첫번째 프롬프트에서 이 문장암호를 사용합니다.
# pktool setpin keystore=pkcs11 Enter token passphrase: Create new passphrase: Re-enter new passphrase:
PKCS#11 Softtoken에서 사용되는 키 자료는 기본적으로 /var/user/ ${USERNAME}/pkcs11_softtoken 디렉토리에 저장됩니다. 키 자료를 다른 위치에 저장하기 위해서는 ${SOFTTOKEN} 환경 변수를 정의할 수 있습니다. 이 기능을 사용하면 이 문장암호로 보호되는 키 자료에 대해 SuperCluster 특정 저장소를 사용으로 설정할 수 있습니다.
# export SOFTTOKEN=/<zfs_pool_name>/zfskeystore # pktool setpin keystore=pkcs11 Enter token passphrase: Create new passphrase: Re-enter new passphrase:
# pktool genkey keystore=pkcs11 keytype=aes keylen=256 label=zone_name_rpool Enter PIN for Sun Software PKCS#11 softtoken:
# zfs create -o encryption=aes-256-ccm -o keysource=raw,pkcs11:object=<zone_name>_rpool zfs_pool_name/zone_name Enter PKCS#11 token PIN for 'zfs_pool_name/zone_name’: