配置磁带库管理的加密

图书馆管理加密(LME)是一项内置功能,可通过购买许可证启用。

可以从工厂订购 LME 功能部件,也可以在现场升级时进行订购。 要订购功能部件,请联系您的 IBM® 销售代表或业务合作伙伴。 请参阅 可选功能部件

两个版本的磁带库管理的加密可用于配置。
Actions 菜单中的 Manage Encryption 选项访问该向导。
注: 在运行 "加密" 向导之前。
  • 确认在 “设置” > “库” > “许可功能” 页面上激活了“库管理加密”许可证。
  • 验证服务器在网络上是否可用,并且配置为与该磁带库一起使用。 有关配置服务器以与该磁带库一起使用的信息,请参阅服务器文档。
    注意: 有关设置和配置的信息,请参阅 IBM Guardium Key Lifecycle Manager
  • 如果已清除并重新配置“磁带库加密”设置,您需要在使用磁带库自签名证书时在服务器上接受新证书。

密钥管理互操作性协议 (KMIP) 加密

  1. 操作菜单中,单击管理 KMIP 加密以启动向导。
  2. 逻辑磁带库选择屏幕显示 KMIP 配置选项,可以将这些选项设置为所有逻辑磁带库的缺省值,也可以设置为每个逻辑磁带库的缺省值。 第二部分提供了选项,可将 KMIP 配置设置复制到所有逻辑磁带库(缺省值)或指定的逻辑磁带库。
  3. Wizard Information 屏幕显示关于向导的信息。 在该屏幕上,还可以重置加密设置。 如果磁带库配置完成,且 KMIP 服务器在网络上可用,请单击 Next
  4. Certificate Option 屏幕显示一些不同的证书选项,这些选项可以用来建立与 KMIP 服务器的安全通信。 可从以下选项中选择:
    • Library Self-Signed Certificate(缺省选项)- 使用由磁带库生成的自签名证书。
    • Uploaded Certificate - 上载一个包含证书和对应密钥的 PCKS #12 文件。
    • Generate Certificate Request (CSR) - 由磁带库生成且必须由 CA 服务器签名的 CSR。 该方法需要必须在执行向导步骤期间提供的 CA 证书。
      1. 证书配置
        • Library Self-Signed Certificate - 跳至下一步。
        • 上载的证书
          1. Certificate Option 屏幕上的证书区域中上载 PKCS #12 文件。
          2. 如果该文件需要密码,必须在 Certificate Password 输入字段中提供。 如果没有密码,该字段可以留空。
          3. 成功上载证书后,单击 Next
        • 生成证书请求 (CSR)
          1. Certificate Authority Information 屏幕显示使用 KMIP 证书的先决条件。 满足先决条件后,单击 Next
          2. Certificate Authority Certificate Entry 屏幕显示获取 KMIP 服务器的 CA 证书的指示信息。 遵循这些指示信息,以从管理控制台复制 CA 证书。 将该 CA 证书粘贴到向导中,然后单击 Next
          3. Library Certificate Information 屏幕显示关于后续向导步骤的信息。 单击下一步
      2. KMIP Client Configuration 屏幕为两种类型的服务器认证提供了选项。
        • 如果 KMIP 服务器使用客户机用户名和密码进行认证,请输入在磁带库的 KMIP 管理控制台上指定的用户名和密码。
        • 如果 KMIP 服务器使用证书验证进行认证,请选择仅启用 KMIP 证书认证。 如果您使用不支持客户机用户名和密码的 KMIP 服务器,请选择此选项。 当 KMIP 与 IBM Security Key Lifecycle Manager 一起使用时,将使用该缺省方法。
          1. KMIP 服务器配置屏幕中,输入最多 10 个 KMIP 服务器的 IP 地址或标准主机名和端口号。 此外,选择为加密密钥提供服务的密钥服务器类型。 可从以下选项中选择:
            • IBM SKLM - IBM Security Lifecycle Manager 2.6.0 或更高版本的 KMIP 服务器。
            • KMIP 兼容 - 支持 OASIS 标准密钥管理互操作性协议 (KMIP) 的密钥服务器。
          2. 要验证对 KMIP 服务器的访问情况,请单击 Connectivity Check
          3. 在 KMIP 服务器端检查服务器是否接受磁带库的证书。
          4. Setup Summary 屏幕显示向导收集的设置。 请验证这些设置是否正确,且 Done 列中没有错误。
            • 如果需要修改任何设置或解决任何问题,请单击 Back 到达所需屏幕,或者单击 Cancel 退出向导,解决问题后再继续操作。
            • 如果设置正确且没有报告错误,请单击 Finish

向导完成后,可以在 > 逻辑库页面上的逻辑库向导(专家模式) 中选择库管理加密 (KMIP) 加密模式。

Security Key Lifecycle Manager (SKLM) for z/OS 加密

  1. 转至 菜单。 然后,进入 Logical Libraries。 选择 Actions,然后选择 Manage SKLM for z/OS Encryption
  2. 输入 SKLM z/OS 服务器的 IP 地址和端口,然后单击 Modify
  3. 退回到 Actions,并选择 Manage Logical Library (Expert Mode)
  4. Expert Logical Library Wizard 屏幕上,单击 General Settings
  5. Encryption Mode 旁边,选择 Library Managed Encryption (SKLM for z/OS) (Licensed)
  6. 单击 下一步,然后单击 完成配置
  7. 当为 SKLM for z/OS 成功启用逻辑磁带库后,将显示一条消息。
  8. 转到设置 > 安全 > 加密Security Encryption StatusLogical Library Encryption Status 显示 Library Managed Encryption (SKLM for z/OS)Enabled

关键路径诊断

密钥路径诊断测试将检查所有通信路径,以确保可以将密钥从加密密钥服务器传输到磁带机以正确加密和解密盒式磁带。

测试由两部分组成。 第一部分(磁带机测试)将验证磁带库与磁带机之间的通信是否正常。 仅在向磁带库管理的加密 (LME) 配置的磁带机上运行此测试。

第二部分将验证磁带库与加密密钥服务器之间的通信。 如果已启用并配置辅助以太网端口,那么将分别在两个端口上运行测试。

该测试包含四个子测试:

  • Ping

    此测试将检查是否可以访问密钥服务器。 如果 ICMP 请求在服务器端被阻止,那么此测试也将失败。 因此,无论 ping 测试的结果如何,都将运行以下测试。

  • SSL/TLS

    此测试将尝试与密钥服务器建立 SSL/TLS 连接。 如果此测试失败,那么将跳过以下测试,因为这些测试也会失败。 如果未启用 SSL/TLS,那么将跳过此测试。

  • 密钥服务器登录

    仅在与 KMIP 加密服务器的组合中运行此测试,因为 SKLM 当前不支持登录。 如果此测试失败,那么将跳过以下密钥检索测试,因为该测试也会失败。

  • 密钥检索

    此测试将请求来自加密服务器的密钥。 对于 SKLM 服务器,将请求来自密钥池的密钥。 在其他服务器上,磁带库将获取特定的诊断密钥。