La tarea anterior,Creación de juegos de datos ZFS, usa un archivo de clave (raw) definido de manera local que se debe almacenar directamente en un sistema de archivos. Otra técnica de almacenamiento de claves aprovecha un almacén de claves PKCS#11 protegido por frase de contraseña, denominado Softtoken de Sun Software PKCS#11. Para usar este método, realice esta tarea.
El almacén de claves PKCS#11 se debe desbloquear manualmente antes de que la clave se ponga a disposición de ZFS. En última instancia, esto significa que la intervención administrativa manual se requiere para montar el juego de datos ZFS cifrado (y para iniciar la zona no global si la zona también usa un juego de datos ZFS cifrado). Para obtener más información sobre otras estrategias de almacenamiento de claves, consulte la página del manual zfs_encrypt(1M).
Consulte Inicio de sesión en un servidor de cálculo y cambio de la contraseña por defecto.
El PIN por defecto asociado con un nuevo almacén de claves PKCS#11 es changeme. Use esta frase de contraseña en la primera petición de datos de este ejemplo.
# pktool setpin keystore=pkcs11 Enter token passphrase: Create new passphrase: Re-enter new passphrase:
El material de clave usado por el softtoken PKCS#11 se almacena por defecto en el directorio /var/user/ ${USERNAME}/pkcs11_softtoken. La variable de entorno ${SOFTTOKEN} se puede definir para almacenar el material de la clave en una ubicación diferente. Puede usar esta capacidad para activar el almacenamiento específico de SuperCluster para este material de clave protegida por contraseña.
# export SOFTTOKEN=/<zfs_pool_name>/zfskeystore # pktool setpin keystore=pkcs11 Enter token passphrase: Create new passphrase: Re-enter new passphrase:
# pktool genkey keystore=pkcs11 keytype=aes keylen=256 label=zone_name_rpool Enter PIN for Sun Software PKCS#11 softtoken:
# zfs create -o encryption=aes-256-ccm -o keysource=raw,pkcs11:object=<zone_name>_rpool zfs_pool_name/zone_name Enter PKCS#11 token PIN for 'zfs_pool_name/zone_name’: