La tâche précédente, Création de jeux de données ZFS chiffrés, utilise un fichier de clés (brut) défini localement, qui doit être stocké directement sur un système de fichiers. Une autre technique de stockage de clé exploite un keystore PKCS#11 protégé par une phrase de passe : le Softtoken Sun Software PKCS#11. Pour utiliser cette méthode, exécutez cette tâche.
Le keystore PKCS#11 doit être déverrouillé manuellement au préalable pour que la clé soit mise à disposition dans ZFS. Cela signifie donc qu'une intervention administrative manuelle est requise pour monter le jeu de données ZFS chiffré (et démarrer la zone non globale si la zone utilise également un jeu de données ZFS chiffré). Pour plus d'informations sur d'autres stratégies de stockage de clés, reportez-vous à la page de manuel zfs_encrypt(1M).
Voir Connexion à un serveur de calcul et modification du mot de passe par défaut.
Le code PIN par défaut associé à un nouveau keystore PKCS#11 est changeme. Utilisez cette phrase de passe à la première invite dans cet exemple.
# pktool setpin keystore=pkcs11 Enter token passphrase: Create new passphrase: Re-enter new passphrase:
Les composants de clé utilisés par le Softtoken PKCS#11 sont stockés par défaut dans le répertoire /var/user/ ${USERNAME}/pkcs11_softtoken. La variable d'environnement ${SOFTTOKEN} peut être définie pour stocker les composants de clé à un autre emplacement. Vous pouvez utiliser cette fonction pour autoriser un stockage spécifique à SuperCluster pour ces composants de clé protégés par une phrase de passe.
# export SOFTTOKEN=/<zfs_pool_name>/zfskeystore # pktool setpin keystore=pkcs11 Enter token passphrase: Create new passphrase: Re-enter new passphrase:
# pktool genkey keystore=pkcs11 keytype=aes keylen=256 label=zone_name_rpool Enter PIN for Sun Software PKCS#11 softtoken:
# zfs create -o encryption=aes-256-ccm -o keysource=raw,pkcs11:object=<zone_name>_rpool zfs_pool_name/zone_name Enter PKCS#11 token PIN for 'zfs_pool_name/zone_name’: