Nella procedura precedente, Creare set di dati ZFS cifrati, viene usato un file chiave (raw) definito localmente che deve essere memorizzato direttamente in un file system. Un'altra tecnica di memorizzazione della chiave sfrutta un keystore PKCS#11 protetto da passphrase e si chiama token Sun Software PKCS#11. Per usare questo metodo, attenersi alla procedura descritta di seguito.
È necessario sbloccare manualmente il keystore PKCS#11 affinché la chiave sia resa disponibile per ZFS. In altre parole, ciò significa che occorre l'intervento dell'amministratore per eseguire il mount del set di dati ZFS cifrato, nonché avviare la zona non globale se anche questa utilizza un set di dati ZFS cifrato. Per ulteriori informazioni su altre strategie di memorizzazione della chiave, vedere la pagina man zfs_encrypt(1M).
Vedere Eseguire il login al server di calcolo e modificare la password predefinita.
Il PIN predefinito associato a un nuovo keystore PKCS#11 è changeme. Usare questa passphrase al primo prompt dell'esempio riportato di seguito.
# pktool setpin keystore=pkcs11 Enter token passphrase: Create new passphrase: Re-enter new passphrase:
La chiave usata dal token Sun Software PKCS#11 viene memorizzata per impostazione predefinita nella directory /var/user/ ${USERNAME}/pkcs11_softtoken. È possibile definire la variabile di ambiente ${SOFTTOKEN} per memorizzare la chiave in un'altra posizione. È possibile usare questa funzionalità per abilitare uno storage specifico di SuperCluster per questa chiave protetta da passphase.
# export SOFTTOKEN=/<zfs_pool_name>/zfskeystore # pktool setpin keystore=pkcs11 Enter token passphrase: Create new passphrase: Re-enter new passphrase:
# pktool genkey keystore=pkcs11 keytype=aes keylen=256 label=zone_name_rpool Enter PIN for Sun Software PKCS#11 softtoken:
# zfs create -o encryption=aes-256-ccm -o keysource=raw,pkcs11:object=<zone_name>_rpool zfs_pool_name/zone_name Enter PKCS#11 token PIN for 'zfs_pool_name/zone_name’: