Инструкция по эксплуатации Dell PowerVault ML6000

Keytool — это утилита для управления ключами, сертификатами и псевдонимами. С
его помощью можно создавать, импортировать и экспортировать ключи
шифрования и сохранять их в хранилище ключей.

Доступ к каждому ключу шифрования данных в хранилище ключей можно получить
с помощью уникального псевдонима. Псевдоним - это строка символов, например,
123456tape. При работе с хранилищами ключей формата JCEKS строка 123456Tape
эквивалентна строке 123456tape и позволяет получить доступ к той же записи в
хранилище ключей. При использовании команды keytool -genseckey для создания
ключа шифрования данных в этой же команде указывается соответствующий
псевдоним. Псевдоним помогает найти правильный ключ в правильной группе
ключей и хранилище ключей, который будет использоваться во время считывания
зашифрованных данных с ленты LTO 4 и LTO 5 и записи на нее.

Примечание: Индивидуальные псевдонимы и диапазоны псевдонимов должны быть

уникальными. Это обеспечивается при создании ключей в заданном
экземпляре хранилища ключей или Encryption Key Manager. Тем не
менее, при использовании нескольких приложений Encryption Key
Manager или хранилищ ключей необходимо придерживаться
соглашения об именах. Это поможет обеспечить уникальность имен в
нескольких экземплярах в случае, если потребуется копировать ключи
из одного экземпляра в другой, сохраняя уникальность ссылок.

После создания ключей и псевдонимов необходимо обновить значение свойства
symmetricKeySet в файле KeyManagerConfig.properties, чтобы задать новый псевдоним,
диапазон псевдонимов, идентификатор группы ключей, имя файла, в котором
хранятся симметричные ключи, и имя файла, в котором определены группы ключей.
(Дополнительные сведения см. в разделе “Создание групп ключей и управление ими”
на стр. 3-16.) Действительными будут признаны только те ключи, которые
определены в свойстве symmetricKeySet. (Они будут проверены на предмет
действительности псевдонима и допустимости размера и алгоритма симметричного
ключа). Если в этом свойстве будет указан недействительный ключ, диспетчер
ключей не запустится и будет создан протокол аудита.

Средство Keytool можно также использовать для экспорта ключей шифрования
данных в другие хранилища ключей и импорта из них. Ниже приведены общие
сведения о данных операциях. Чтобы вывести на экран все параметры, связанные с
диспетчером ключей и упомянутые ниже, используйте команду keytool -ekmhelp.

Редактирование файлов свойств конфигурации

Чтобы изменить файл KeyManagerConfig.properties или
ClientKeyManagerConfig.properties, выполните следующие действия:

1. Остановите сервер Encryption Key Manager.

2. При помощи текстового редактора по вашему выбору откройте файл

KeyManagerConfig.properties, чтобы изменить конфигурацию сервера, или файл
ClientKeyManagerConfig.properties для изменения конфигурации клиента. Нельзя
редактировать файл для компьютера с ОС Linux средствами Windows из-за
добавляемого конечного символа строки ^M. При использовании Windows
редактируйте файл с помощью текстового редактора gvim/vim.

3. Измените значения свойств в соответствии с указаниями, приведенными в данном

документе.

4. Сохраните файл.

5. Повторно запустите сервер Encryption Key Manager.

Глава 3. Установка диспетчера ключей шифрования и хранилищ ключей

3-11