A tarefa anterior,Criar Conjuntos de Dados ZFS Criptografados, usa um arquivo de chaves (bruto) localmente definido que deve ser armazenado diretamente em um sistema de arquivos. Outra técnica de armazenamento de chaves aproveita um keystore PKCS#11 protegido por frase secreta denominado Sun Software PKCS#11 Softtoken. Para usar esse método, execute esta tarefa.
O keystore PKCS#11 deve ser desbloqueado manualmente antes de a chave ser disponibilizada para ZFS. Por fim, isso significa que a intervenção administrativa manual é necessária para montar o conjunto de dados ZFS criptografado (e iniciar a zona não global se a zona também estiver usando um conjunto de dados ZFS criptografado). Para obter mais informações sobre outras estratégias de armazenamento de chaves, consulte a página manual zfs_encrypt(1M).
Consulte Fazer Login em um Servidor de Computação e Alterar a Senha Padrão
O PIN padrão associado a um novo keystore PKCS#11 é changeme. Use essa frase secreta no primeiro prompt neste exemplo.
# pktool setpin keystore=pkcs11 Enter token passphrase: Create new passphrase: Re-enter new passphrase:
O material de chave usado pelo PKCS#11 Softtoken é armazenado por padrão no diretório /var/user/ ${USERNAME}/pkcs11_softtoken. A variável de ambiente ${SOFTTOKEN} pode ser definida para armazenar o material de chave em outro local. Você pode usar essa capacidade para ativar o armazenamento específico do SuperCluster para esse material de chave protegido por frase secreta.
# export SOFTTOKEN=/<zfs_pool_name>/zfskeystore # pktool setpin keystore=pkcs11 Enter token passphrase: Create new passphrase: Re-enter new passphrase:
# pktool genkey keystore=pkcs11 keytype=aes keylen=256 label=zone_name_rpool Enter PIN for Sun Software PKCS#11 softtoken:
# zfs create -o encryption=aes-256-ccm -o keysource=raw,pkcs11:object=<zone_name>_rpool zfs_pool_name/zone_name Enter PKCS#11 token PIN for 'zfs_pool_name/zone_name’: