Die vorherige Aufgabe,Erstellen von verschlüsselten ZFS-Datasets, verwendet eine lokal definierte (Raw-)Datei, die direkt in einem Dateisystem gespeichert werden muss. Eine andere Technik zum Erstellen von Keystores nutzt einen passphrase-geschützten PKCS#11-Keystore, der als Sun Software PKCS#11 Softtoken bezeichnet wird. Zur Verwendung dieser Methode, führen Sie die folgende Aufgabe aus:
Der PKCS#11-Keystore muss manuell entsperrt werden, bevor der Schlüssel für ZFS verfügbar gemacht wird. Am Ende bedeutet dies, dass ein manueller administrativer Eingriff erforderlich ist, um das verschlüsselte ZFS-Dataset einzuhängen (und die nicht-globale Zone zu starten, wenn die Zone auch ein verschlüsseltes ZFS-Dataset enthält). Weitere Informationen über andere Strategien zum Erstellen von Keystores finden Sie in der zfs_encrypt(1M)-Manpage.
Siehe Anmelden bei einem Rechenserver und Ändern des Standardpasswortes.
Die Standard-PIN, die mit einem neuen PKCS#11-Keystore verknüpft ist, ist changeme. Verwenden Sie diese Passphrase beim ersten Prompt in diesem Beispiel.
# pktool setpin keystore=pkcs11 Enter token passphrase: Create new passphrase: Re-enter new passphrase:
Das von dem PKCS#11-Softtoken verwendete Schlüsselmaterial ist standardmäßig im Verzeichnis /var/user/ ${USERNAME}/pkcs11_softtoken gespeichert. Die Umgebungsvariable ${SOFTTOKEN} kann so definiert werden, dass das Schlüsselmaterial in einem anderen Verzeichnis gespeichert wird. Mit dieser Möglichkeit können Sie eine SuperCluster-spezifische Speicherung für dieses durch Passphrase geschützte Schlüsselmaterial aktivieren.
# export SOFTTOKEN=/<zfs_pool_name>/zfskeystore # pktool setpin keystore=pkcs11 Enter token passphrase: Create new passphrase: Re-enter new passphrase:
# pktool genkey keystore=pkcs11 keytype=aes keylen=256 label=zone_name_rpool Enter PIN for Sun Software PKCS#11 softtoken:
# zfs create -o encryption=aes-256-ccm -o keysource=raw,pkcs11:object=<zone_name>_rpool zfs_pool_name/zone_name Enter PKCS#11 token PIN for 'zfs_pool_name/zone_name’: