Dell Encryption Key Manager 3.
註、警示及警告 註: 「註」表示可以幫助您更有效地使用電腦的重要資訊。 警示: 「警示」表示若沒有遵從指示,可能導致硬體損壞或資料遺失。 警告: 「警告」表示有可能導致財產損失、人身傷害甚至死亡。 本出版品中的資訊如有更改,恕不另行通知。 © 2011 Dell Inc. 保留所有權利。美國印製 未經 Dell Inc. 的書面許可,不得以任何形式進行複製這些內容。 本文所用的商標:Dell™、Dell 徽標、Dell Precision™、OptiPlex™、Latitude™、PowerEdge™、PowerVault™、PowerConnect™、 OpenManage™、EqualLogic™、Compellent™、KACE™、FlexAddress™ 與 Vostro™ 為 Dell Inc. 的商標。Intel®、Pentium®、Xeon®、 Core® 與 Celeron® 為 Intel Corporation 在美國及其他國家的註冊商標。AMD®、AMD Opteron™、AMD Phenom™ 與 AMD Sempron™ 為 Advanced Micro Devices, Inc.
目錄 註、警示及警告...........................................................................................................................2 章 1: 概觀........................................................................................................................................5 硬體與軟體需求......................................................................................................................................................5 伺服器硬體需求..................................................................
在 Windows 中啟動與停止 EKM 3.0 伺服器 .......................................................................................................23 在 Linux 中啟動及停止 EKM 3.0 伺服器...............................................................................................................23 章 6: 遷移與合併.........................................................................................................................25 在 EKM 3.0 安裝過程中遷移 Encryption Key Manager (EKM) 2.X 版..................................................
概觀 1 Dell Encryption Key Manager (EKM) 3.0 是加密公用程式,可為 Dell 磁帶自動化解決方案 (包括 ML 與 TL PowerVault 系列) 管理加密金鑰,以保護儲存於 LTO 磁帶卡匣的資料。EKM 3.0 可管理磁帶加密金鑰的生命週 期,包括產生、發佈、管理與刪除。 本指南說明如何安裝、設定及執行 Dell Encryption Key Manager 3.0 (EKM 3.0) 的基本作業。Dell 建議在安裝 EKM 3.0 前先閱讀本文件。 本指南包含下列資訊: • EKM 3.0 的硬體與軟體需求 • 在 Windows 與 Linux 平台上安裝與解除安裝 EKM 3.0 • 設定 EKM 3.0 • EKM 3.0 的基本作業 • 在 EKM 3.0 安裝時遷移 EKM 2.X 以及將 EKM 2.X 合併至已設定的 EKM 3.0 安裝 • 常見問題、故障排除資訊、常見錯誤訊息及支援聯絡資訊 註: EKM 3.
註: 如果您用於安裝 EKM 3.0 的系統擁有 24 個或以上的 CPU,請在完成安裝之後,參閱 EKM 3.0 版本注釋 以瞭解有關如何更新 EKM 3.0 的詳細內容。若要存取 EKM 3.0 版本注釋,請前往 support.dell.com/manuals, 然後瀏覽至 軟體 → 系統管理 → Dell Encryption Key Manager。 瀏覽器需求 EKM 3.0 支援下列瀏覽器: • Microsoft Internet Explorer 7.0 版 • Microsoft Internet Explorer 8.0 版,相容性檢視模式 • Firefox 3.0.x 版 (EKM 3.0 不支援 Firefox 3.5 以上版本) 註: 必須啟用 JavaScript 才能使 EKM 3.0 的所有功能正常運作。有關啟用 JavaScript 的說明,請參閱您的瀏 覽器文件。 作業系統需求 EKM 3.
安裝 EKM 3.0 2 本章說明如何從 Windows 與 Linux 安裝 EKM 3.0。 註: 如果您目前使用 EKM 2.X,除非您遇到了問題,否則 Dell 建議您維持現有的基礎架構 (受到 EKM 2.X 保 護的伺服器、作業系統、磁帶庫等)。 EKM 3.0 不支援使用虛擬機器做為主機。如果您正在使用虛擬機器做為 EKM 2.X 主機,您必須繼續使用 EKM 2.X 或遷移至實體伺服器。 註: 如果您計劃將 EKM 2.X 遷移至 EKM 3.0,在開始安裝 EKM 3.0 之前,請參閱在 EKM 3.0 安裝過程中遷移 Encryption Key Manager (EKM) 2.X 版)。 註: Dell 建議將 EKM 3.0 安裝於未提供任何其他服務的專屬實體伺服器。如此可確保 EKM 3.0 的性能與反應 時間不會受到執行於同一實體伺服器上的其他應用程式的影響。 警示: EKM 3.0 僅支援從 EKM 3.0 媒體進行安裝。請勿將 EKM 3.
1. 將適用於您的作業系統的 EKM 3.0 安裝光碟放入您要安裝 EKM 3.0 的系統。 2. 若您的系統已設定為放入 DVD 時會自動執行,請等待安裝程式出現。若您的系統並未設定自動執行,請 以 root 身份開啟終端機並瀏覽至 EKM 3.0 DVD 所掛載的資料夾,輸入 ./autorun.sh 然後按 Enter 鍵。 註: 若已安裝並啟用 SELinux,開始安裝前請予以停用。請參閱「系統先決條件檢查」。 註: Red Hat 作業系統通常會將 noexec 位元設定為停用掛載檔案系統上任何二進位檔的執行。如果掛載的 DVD ROM 的 noexec 位元設為停用,EKM 3.0 安裝程式將無法從 DVD 啟動。若要從 DVD 啟動 EKM 3.0 安裝 程式,請執行下列步驟: a) 以 root 身份開啟終端機工作階段。 b) 卸載 EKM 3.0 DVD。 c) 將 EKM 3.0 DVD 重新掛載為唯讀,並使用下列+指令停用 noexec: mkdir /media/dellmedia mount /dev/
3. 按一下下一步。 註: EKM 3.0 安裝程式將執行系統先決條件檢查。安裝程式將確認系統是否符合最低需求並針對您的系統設 定 EKM 3.0。 若有顯示任何錯誤訊息,請參閱系統先決條件檢查。 出現重複使用安裝設定檔畫面。 4. 如果您是第一次安裝 EKM 3.0,請不要勾選重複使用安裝設定檔核取方塊。 如果您是重新安裝 EKM 3.0 或在次要伺服器上安裝 EKM 3.0 並且要使用您先前安裝時儲存的安裝設定檔, 請執行下列步驟: a) 選取重複使用 EKM 3.0 安裝設定檔核取方塊。選取此核取方塊以啟用檔案位置欄位。 b) 按一下選擇並瀏覽至您先前設定及安裝 EKM 3.0 時所建立的安裝設定檔 (例如,Windows 中的 E: \EKM_config.txt 或 Linux 中的 /tmp/ekm_config in Linux)。 您可以使用卸除式磁碟機或網路共用,從您先前儲存的位置傳送安裝設定檔。 註: 安裝設定檔會使用您先前安裝時相同的資訊,在安裝 GUI 中填入除了密碼以外的所有輸入欄位。如果 使用安裝設定檔,您必須再次輸入密碼。 註: 如果您是在次要伺服器上安裝 EKM 3.
a. 請瀏覽至::\Windows\System32\drivers\etc\。 b. 開啟 Services 文字檔。 c. 檢閱檔案並確認資料庫連接埠欄位中您要使用的連接埠號碼均可供使用。如果連接埠是可用的,將 不會列出。 若要在 Linux 中檢查連接埠是否已開啟, a. 開啟 /etc/services 檔案。 b. 檢閱檔案並確認資料庫連接埠欄位中您要使用的連接埠號碼均可供使用。如果連接埠是可用的,將 不會列出。 12. 按一下下一步。 出現 EKM 管理員畫面。您可以在此畫面中建立 EKM 3.0 管理員 (superuser) 帳戶。此帳戶用於建立新的使用 者及新的群組,並指派他們的權限。 13. 在管理員使用者名稱欄位中,輸入 EKM 3.0 管理員使用者名稱 (可以是 tklmadmin 以外的任何名稱)。 14. 在密碼欄位中,輸入 EKM 3.0 管理員帳戶的密碼。在確認密碼欄位中再次輸入密碼。 15. 按一下下一步。 出現加密管理員畫面。您在此畫面中建立 EKM 3.
EKM 3.0 會在完成安裝 EKM 3.0 時儲存安裝設定檔。如果您使用主要/次要伺服器設定,在安裝次要 EKM 3.0 伺服器時,您必須使用主要 EKM 3.0 伺服器的安裝設定檔,以便在安裝時自動輸入各個欄位。 如果您在相同的伺服器上重新安裝並希望使用相同的欄位,您可以選擇使用安裝設定檔,以便在安裝時自 動填入各個輸入欄位。 註: Dell 建議您擷取或列印設定摘要畫面以供後續參考。 20. 在設定摘要畫面中按一下下一步。 出現安裝摘要畫面。 21. 檢視安裝摘要畫面中的資訊。 22. 按一下安裝。 註: 軟體安裝時間約需 45 分鐘。在解除安裝程序完成之前,請勿關閉系統的電源。 註: 如果您計劃安裝次要 EKM 3.0 伺服器,在主要伺服器尚未完成安裝 EKM 3.0 之前,請勿安裝次要 EKM 3.0。 23. 完成安裝後,按一下完成。 註: 如果您將 EKM 2.X 版遷移至新安裝的 EKM 3.0,那麼 Dell 強烈建議您建立 EKM 3.0 的備份,以確保新的 金鑰不會遺失。請參閱建立金鑰庫的備份。 註: 如果您重新安裝 EKM 3.
設定主要及次要 EKM 3.0 伺服器 3 本章說明如何在主要及次要 EKM 3.0 伺服器上安裝、使用及解除安裝 EKM 3.0。 警示: 為了避免因 EKM 3.0 伺服器故障而導致資料流失,Dell 建議使用主要及次要 EKM 3.0 伺服器設定。此 種組態可在主要 EKM 3.0 伺服器停機或無法使用時提供備援。 註: 您不能同時使用主要 EKM 3.0 及次要 EKM 2.X 伺服器,反之亦同。 在主要伺服器上安裝 EKM 3.0 在主要伺服器上安裝 EKM 3.0 的過程中,您必須選取選項以儲存安裝設定檔。當主要伺服器的 EKM 3.0 安裝完 成時,將已儲存的安裝設定檔複製至卸除式磁碟機或伺服器共用。請參閱安裝 EKM 3.0。 在主要伺服器上使用 EKM 3.0 主要 EKM 3.0 伺服器是您用於執行所有加密金鑰管理工作的伺服器。依據預設,主要 EKM 3.0 伺服器設定為自 動接受所有新裝置的通訊要求。如需有關如何檢視或設定此設定值的詳細資訊,請參閱設定 EKM 3.0 接受向 EKM 3.0 索取金鑰的裝置。Dell 建議定期備份主要 EKM 3.
註: 當主要 EKM 3.0 伺服器停機或無法使用,而次要 EKM 3.0 伺服器用於支援來自裝置的金鑰要求時,Dell 建議您不要在次要 EKM 3.0 伺服器上執行任何管理或操作工作。 從主要及次要伺服器解除安裝 EKM 3.0 有關從主要及次要伺服器解除安裝 EKM 3.0 的程序,請參閱解除安裝 EKM 3.
執行備份以及從備份還原 4 您可以隨時執行備份。執行備份會建立內含金鑰庫 (包含裝置與金鑰) 的備份檔案。 備份不包含裝置群組、使用者或使用者群組。DB2 資料庫則包含上述內容。 您可以隨時從備份還原。 註: 若未備份金鑰,將無法提供這些金鑰。若無法提供金鑰,加密備份工作將會失敗。 建立金鑰庫的備份 本章說明如何備份金鑰庫。 1. 登入 EKM 3.0 入口網站。請參閱登入 Encryption Key Manager 3.0 入口網站。 隨即顯示歡迎使用 Dell Encryption Key Manager 畫面。 2. 在導覽窗格中瀏覽至 Dell Encryption Key Manager 備份與還原。 出現備份與還原畫面。 3. 按一下備份儲存位置欄位旁的瀏覽並瀏覽至您要用於儲存備份檔案的資料夾 (例如,Windows 中的 C: \EKM_Backup 或 Linux 中的 /root/EKM_Backup)。 註: 資料夾必須在開始備份之前就已存在,否則備份將會失敗。如果您要使用新的資料夾,請在建立備份 之前,先建立資料夾。 4.
警示: 從備份執行還原時,只能使用在同一系統中建立的備份,或在使用相同的安裝設定檔安裝的其他 EKM 3.0 伺服器上建立的備份。您不可以從使用不同的安裝內容的不同系統所建立的備份進行還原。 1. 登入 EKM 3.0 入口網站。請參閱登入 Encryption Key Manager 3.0 入口網站。 隨即顯示歡迎使用 Dell Encryption Key Manager 畫面。 2. 在導覽窗格中瀏覽至 Dell Encryption Key Manager → 備份與還原。 3. 出現備份與還原畫面。 選取要還原的備份。 4. 5. 6. 7. 8. 16 按一下表格最上方的從備份還原。 出現從備份還原子視窗。 輸入備份檔案的密碼。 按一下還原備份。 隨即顯示確認快顯示窗。 警示: 在建立備份之後建立的任何金鑰將會遺失,並且將無法存取以該金鑰加密的任何資料。任何方法都 無法回復已遺失或刪除的金鑰。 在確認快顯視窗中,按一下確定。 從備份還原之後,您必須手動停止再啟動 EKM 3.0 伺服器。請參閱在 Windows 中啟動與停止 EKM 3.
使用 EKM 3.0 5 本章說明部分 EKM 3.0 基本操作。 註: EKM 3.0 以 IBM Tivoli Key Lifecycle Manager (TKLM) V2 FixPack 2 為基礎,但已經過自訂,選用與 TKLM 磁 帶相關的部分功能以支援 Dell 磁帶庫環境。 有關本指南未涵蓋的 EKM 3.0 使用資訊,請參閱 TKLM 文件,包括: • IBM Tivoli Key Manager 2.0 快速入門指南 • IBM Tivoli Key Manager 2.0 安裝及設定指南 • IBM Tivoli Key Manager 2.0 產品概觀/情況指南 有關如何存取 TKLM 文件的資訊,請參閱 EKM 3.0 安裝媒體中 ReadThisFirst.txt 檔案內的「文件與參考資 料」章節。 IBM TKLM 文件中的部分畫面與功能不適用於 Dell EKM 3.0。EKM 3.0 僅包含支援 Dell PowerVault 磁帶庫所 需的部分功能。 登入 Encryption Key Manager 3.
註: 如果您未來需要建立額外的金鑰及/或金鑰群組,請參閱「建立裝置群組的金鑰群組」。 若要建立主要金鑰庫,請執行下列步驟。 1. 在歡迎使用 Dell Encryption Key Manager 畫面中,按一下按一下這裡以建立主要金鑰庫。 出現金鑰庫畫面。 2. 保留金鑰庫類型、金鑰庫路徑及金鑰庫名稱的預設值。 預設值為:金鑰庫類型:JCEKS、金鑰庫名稱:defaultKeyStore。金鑰庫路徑 在 Windows 為::\Dell \EKM\products\tklm\keystore。金鑰庫路徑在 Linux 為:/opt/dell/ekm/products/tklm/keystore。 3. 在密碼欄位中,建立預設金鑰庫的密碼。此密碼不得少於六個字元。 4. 在再次輸入密碼欄位中,再次輸入密碼。 5. 按一下確定。 金鑰庫畫面會確認金鑰庫已成功建立。 6. 建立金鑰庫的備份。請參閱執行備份以及從備份還原。 在 EKM 3.0 伺服器中啟用防火牆 註: 有關如何設定防火牆的說明,請參閱作業系統的文件。 EKM 3.
註: 有關這些設定值的詳細資訊,請參閱 TKLM 文件。有關如何存取 TKLM 文件的資訊,請參閱 EKM 3.0 安 裝媒體中 ReadThisFirst.txt 檔案內的「文件與參考資料」章節。 4. 在表格底部的下拉式選單中,選取下列項目之一: 自動接受所有新裝 置的通訊要求 金鑰將會自動提供給新裝置。這是 EKM 3.0 的預設值。Dell 建議您在主要的 EKM 3.0 伺服器上保留此設定值,但不要用在次要伺服器 (如果您有設定次要伺服器)。 僅接受手動新增的裝 除非手動新增裝置,否則不會提供金鑰。如果您正在設定次要 EKM 3.0 伺服器, 置進行通訊 Dell 建議您使用此設定值,讓 EKM 3.0 伺服器不會自動提供金鑰給新的裝置。 保留新裝置的要求並等待我的核准 向 EKM 3.0 聯絡的裝置將會新增至等待處理清單中。 建立裝置群組 建立裝置群組的程序。若使用預設的裝置群組,可跳過本節。 裝置群組用於管理提供給一或多個裝置的金鑰。Dell 建議您使用裝置群組以便依據組織的需求管理您的裝置子 集。 若要建立新的裝置群組,請執行下列步驟: 1. 登入 EKM 3.
隨即顯示建立金鑰群組子視窗。 6. 在金鑰群組名稱欄位中,輸入金鑰群組的名稱。 7. 在要建立的金鑰數量欄位中,輸入要建立的金鑰數量。 8. 在金鑰名稱的前三個字母欄位中,輸入金鑰名稱的任何三個字母的前置碼。 9. 若您希望此金鑰群組成為預設的金鑰群組,請選取設定此項目為預設的金鑰群組核取方塊。 10. 按一下建立金鑰群組。 隨即顯示警告快顯視窗。 11. 若要建立備份,請按一下警告快顯視窗中的藍色連結以轉至備份與還原畫面。請參閱執行備份以及從備份 還原。建立備份之後,返回金鑰與裝置管理畫面。如果此時不建立備份,請繼續下一步。 註: Dell 建議您在變更金鑰、金鑰群組或裝置群組時,即建立備份。 12. 在警告快顯視窗中按一下確定。 金鑰群組已建立。金鑰與裝置管理畫面將會顯示金鑰群組。 13. 此步驟為選擇性。在金鑰與裝置管理畫面中執行下列步驟以檢查金鑰是否已經建立: a) 在表格最上方的下拉式選單中,選取檢視金鑰、金鑰群組成員與磁帶機。 金鑰將顯示於表格中。 b) 向下捲動以找到新的金鑰。 新增裝置至裝置群組 本章說明如何新增裝置至現有的裝置群組。 註: EKM 3.
註: 有關存取金鑰與裝置管理畫面的說明,請參閱建立裝置群組的金鑰群組。 1. 登入 EKM 3.0 入口網站。請參閱登入 Encryption Key Manager 3.0 入口網站。 隨即顯示歡迎使用 Dell Encryption Key Manager 畫面。 2. 在導覽窗格中瀏覽至 Dell Encryption Key Manager → 金鑰與裝置管理。 隨即顯示金鑰與裝置管理畫面。 3. 在管理金鑰與裝置下拉式選單中,選取您要新增金鑰群組的裝置群組名稱。 4. 請按一下金鑰與裝置管理旁的開始。 在金鑰與裝置管理公用程式中,將會顯示您選取的裝置群組頁面。此頁面會列出屬於該裝置群組的所有金 鑰群組與裝置。 5. 選取要修改的金鑰群組。 6. 按一下表格最上方的修改。 隨即顯示修改金鑰群組子視窗。 7.
隨即顯示確認快顯示窗。 7. 按一下確認快顯示視窗中的確定。 刪除金鑰群組以及與金鑰群組相關的所有金鑰。 驗證伺服器憑證 本章說明如何驗證您要使用的伺服器憑證是否為使用中的憑證。若要這麼做,請執行下列步驟: 1. 登入 EKM 3.0 入口網站。請參閱登入 Encryption Key Manager 3.0 入口網站。 隨即顯示歡迎使用 Dell Encryption Key Manager 畫面。 2. 在導覽窗格中瀏覽至 Dell Encryption Key Manager → 進階設定 → 伺服器憑證。 隨即顯示管理伺服器憑證畫面。 3.
按 Enter 鍵。指令需執行一小段時間後才會顯示 wsadmin 命令提示。 註: 指令有區分大小寫。括號或角括號旁沒有空格。請勿在變數旁加上小於及大於的符號 (< >)。 註: 若要登出 WebSphere 伺服器,請輸入 Exit (離開) 後按 Enter 鍵。 在 Windows 中啟動與停止 EKM 3.0 伺服器 本章描述如何在 Windows 中啟動與停止 EKM 3.0 伺服器。 1. 在命令提示字元中,瀏覽至 :\Dell\EKM\bin。 2. 若要啟動伺服器,請輸入下列指令: startserver server1 若要停止伺服器,請輸入下列指令: stopserver server1 3. 按 Enter 鍵。 指令將會執行,命令提示字元將會顯示確認訊息: Server server1 open for e-business 或 Server server1 stop completed 在 Linux 中啟動及停止 EKM 3.0 伺服器 本章說明如何在 Linux 中啟動及停止 EKM 3.
遷移與合併 6 在安裝 EKM 3.0 時,您可以將 EKM 2.X 遷移至 EKM 3.0。 在安裝 EKM 3.0 之後,您可以將 EKM 2.X 合併至 EKM 3.0。 本章說明合併與遷移的程序。 註: 您只能遷移或合併曾用於建立金鑰的 EKM 2.
在 EKM 3.0 安裝過程中遷移 Encryption Key Manager (EKM) 2.X 版 只有在 EKM 3.0 安裝過程中,您要設定遷移畫面時才需要執行此程序。遷移畫面用於將 Encryption Key Manager (EKM) 2.X 版遷移至 EKM 3.0。 註: 如果您目前使用 EKM 2.X,除非您遇到了問題,否則 Dell 建議您維持現有的基礎架構 (受到 EKM 2.X 保 護的伺服器、作業系統、磁帶庫等)。 如果您必須從 EKM 2.X 版遷移至 EKM 3.0,Dell 建議您立即遷移。 註: 如果您使用 EKM 2.X 並以虛擬機器做為 EKM 2.X 主機,您必須繼續使用 EKM 2.X 或遷移至實體伺服器。 EKM 3.0 不支援以虛擬機器當做主機。 註: 在 EKM 3.0 安裝過程中,您只能遷移一個 EKM 2.X 版。如果您有一個以上的 EKM 2.X 版要移植到 EKM 3.0,請使用此程序遷移第一個版本,然後在完成安裝後,參閱將額外的 EKM 2.X 版合併至 EKM 3.0 以合併 額外的版本。 雖然您可在完成 EKM 3.
在安裝 EKM 3.0 之後將 Encryption Key Manager (EKM) 2.X 合併 至 EKM 3.0 本章說明 Windows 與 Linux 在安裝 EKM 3.0 之後,將 EKM 2.X 合併至 EKM 3.0 的程序。此程序使用 EKM 2.X 至 EKM 3.0 合併工具。 如果在已安裝並設定 EKM 3.0 之後,您希望將 EKM 2.X 合併至 EKM 3.0,請使用此程序。 註: 如果您使用主要/次要 EKM 3.0 伺服器組態,您只需在主要 EKM 3.0 伺服器上執行合併程序。主要 EKM 3.0 伺服器完成合併程序後,執行備份程序,然後使用此備份檔案還原次要 EKM 3.0 伺服器。請參閱執行 備份以及從備份還原。 註: 若尚未安裝 EKM 3.0,Dell 建議您在 EKM 3.0 安裝過程中,將 EKM 2.X 遷移至 EKM 3.0。請參閱「執行 EKM 3.0 安裝程序」。 本文件的範例使用標準 Windows 路徑 (例如,C:\)。請依照您的系統變更為正確的根磁碟機代號或 Linux 路徑。 29
合併工具先決條件 執行合併工具前,請確認是否符合下列需求: • 必須已安裝 EKM 3.0 並已建立主要金鑰庫,否則合併程序將會失敗。請參閱「建立主要金鑰庫」。 • 從 EKM 2.X 合併至 EKM 3.0 時,EKM 2.X 與 EKM 3.0 必須安裝於相同的作業系統版本。 • 如果您先前曾將 EKM 2.X 合併或遷移至 EKM 3.0,先前合併或遷移的 ekmcert 憑證將仍存在於 EKM 3.0 伺 服器,即使從先前的備份還原亦可能存在。執行合併程序前,必須從 EKM 3.0 伺服器移除 ekmcert 憑 證。請參閱刪除 ekmcert 憑證、金鑰及金鑰群組以及重新命名裝置。 • 您必須重新命名 EKM 2.X 中重複的金鑰、金鑰群組與裝置後,再將它們合併至 EKM 3.0。請參閱 EKM 2.X 使用手冊。 – 來源 EKM 2.X 中不可有與目標 EKM 3.0 重複的金鑰別名/名稱。加入的每個金鑰都必須有唯一的 別名/名稱,否則合併程序將會失敗。 – 來源 EKM 2.X 中不可有與目標 EKM 3.
– config.drivetable.file.url 刪除其他內容。如需範例,請參閱此程序中的程式碼範例。 9. 將下列 DB2 選項新增至新的 KeyManagerConfig.properties 檔案: – jdbcURL = jdbc:db2://localhost:/ 或 jdbcURL = jdbc:db2://:/ – jdbcUID = – jdbcPW = – dbType = DB2 如需範例,請參閱此程序中的程式碼範例。 註: 變數為您安裝 EKM 3.0 時設定的參數。請勿在變數旁邊加上小於及大於符號 (< >)。變數、使用者名稱 及密碼有區分大小寫。 10.
c. 按 Enter 鍵。指令將會執行,系統將會在最後一行顯示下列文字: goto :EOF 在 Linux 中: a. 在終端機工作階段中,瀏覽至 /opt/dell/ekm/bin。 b. 輸入下列指令: . setupCmdLine.sh c. 指令將會執行。在 Linux 中成功完成指令之後,會顯示空白的提示字元。不會有任何指示會顯示指令 已完成。 註: setupCmdLine.sh 指令碼必須有執行權限。 13. 建立命令列批次 (.bat) 檔案 (在 Linux 則為 .sh) 以 soure 至合併工具所需要的 .jar 檔案,並設定 CLASSPATH 的其他參數: a) 將下列暫存的 CLASSPATH 設定複製至文字檔並命名為 .bat,或在 Linux 中命名為 .sh (例如,Windows 中的 setupclasspath.bat 或 Linux 中的 setupclasspath.sh)。 b) 將 .bat/.sh 檔案儲存於您先前在此程序中建立的資料夾,例如 C:\EKM_Files 或 /opt/EKM_Files。 警示: 在
14. 執行您剛建立的批次檔。在 EKM 3.0 伺服器上相同的命令提示字元或終端機工作階段中,瀏覽至您先前在 此程序中建立的資料夾 (例如 Windows 中的 C:\EKM_Files 或 Linxu 中的 /opt/EKM_Files),然後執行上一個步 驟建立的批次檔。在 Linux 中 source 您先前建立的檔案,例如 setupclasspath.sh。 15. 在 EKM 3.0 伺服器上相同的命令提示字元或終端機工作階段中,執行下列 Java 指令: javacom.ibm.tklm.ekm2tklm.MergeEKM2KLMKeyManagerConfig.propert ies 註: 指令有區分大小寫。請勿在變數旁邊加上小於及大於的符號 (< >)。 KeyManagerConfig.properties 檔案是您先前在此程序中更新過的檔案。 此指令會將 EKM 2.X 合併至 EKM 3.0。 成功完成之後,將顯示下列訊息: TKLM version: 2.0.0.
3. 隨即顯示金鑰與裝置管理畫面。 在管理金鑰與裝置下拉式選單中,選取 LTO,然後按一下開始。 金鑰與裝置管理畫面會顯示遷移後的 EKM 金鑰群組與各群組中的金鑰數量。 4. 5. 6. 7. 在表格最上方的下拉式選單中,選取檢視金鑰、金鑰群組成員與磁帶機。如果金鑰顯示於表格的左側,即 表示已成功合併。 遷移不會匯入 EKM 2.X 設定的裝置。您必須設定 EKM 2.X 裝置。請參閱新增裝置至裝置群組。 在 EKM 3.0 入口網站中,確定 EKM 3.0 已設定為自動接受裝置要求。金鑰與裝置管理畫面中的設定應為自 動接受所有新裝置的通訊要求。 確認您磁帶庫中的裝置: a) 確認您的磁帶庫已正確設定 SSL 連接埠與 TCP 連接埠。 b) 從您的磁帶庫執行金鑰路徑診斷以確認您的磁帶庫設定。 註: 詳細資訊請參閱磁帶庫使用手冊。有關如何找到磁帶庫使用手冊的資訊,請參閱 EKM 3.0 安裝媒體中 ReadThisFirst.txt 檔案內的「文件與參考資料」章節。 合併失敗 若合併程序失敗,請執行下列步驟: 1. 確認 EKM 3.
刪除 ekmcert 憑證、金鑰及金鑰群組以及重新命名裝置 執行 EKM 2.X 合併至 EKM 3.0 時,EKM 2.X 及 EKM 3.0 伺服器中不得有重複的 ekmcert 憑證、金鑰別名、金鑰群 組別名或裝置。 註: 如有重複的金鑰或金鑰群組,Dell 建議您重新命名 EKM 2.X 中重複的金鑰與金鑰群組,然後再將它們 合併至 EKM 3.0。詳細資訊請參閱 EKM 2.X 使用手冊。如果重複的金鑰或金鑰群組已過時,您可以將它們 從 EKM 2.X 中刪除。但是,刪除金鑰等同於刪除該金鑰所保護的所有資料,因為刪除金鑰之後將無法再存 取這些資料。為了保護安全,已刪除的金鑰無法以任何方式回復。 如果您有重複的裝置,您必須刪除 EKM 2.X 中的裝置。 如果您在執行合併程序時收到下列錯誤,請依據錯誤訊息刪除適當的項目。 Duplicate - =
- Migration failed. Please refer to the debug file for more information.
ekmcert 憑證刪除 每個 EKM 2.X 安裝都有一個 ekmcert 憑證。如果您將一個以上的 EKM 2.X 合併或遷移至 EKM 3.0,您必須在嘗試 合併新的 EKM 2.X 之前,先刪除 EKM 3.0 的 ekmcert 憑證。 因為 ekmcert 是憑證而非金鑰,不屬於 EKM 3.0 伺服器上的任何金鑰群組。因此,如果您將 EKM 2.X 版合併至 EKM 3.0,然後從 EKM 3.0 移除 EKM 2.X 金鑰群組,合併後的 ekmcert 憑證仍會存在於 EKM 3.0 伺服器,即使從先 前的備份還原亦可能存在。因為合併工具會再次嘗試新增 ekmcert 憑證,合併將會失敗。 如有存在下列情形,您必須將 ekmcert 憑證從 EKM 3.0 伺服器中移除: • 您已在 EKM 3.0 安裝程序中,將 EKM 2.X 遷移至 EKM 3.0 • 這不是您第一次將 EKM 2.X 合併至 EKM 3.0 • 您必須刪除先前合併或遷移的 EKM 2.X 版 • 當您嘗試合併時,收到下列錯誤。此錯誤指出 ekmcert 憑證已存在於 EKM 3.
3. 4. 5. 6. 7. 在管理金鑰與裝置下拉式選單中,選取 LTO,然後按一下開始。 隨即顯示金鑰與裝置管理畫面。 在表格最上方的下拉式選單中,選取檢視金鑰、金鑰群組成員與磁帶機。 金鑰將顯示於表格中。 按一下您要刪除的金鑰使其反白顯示。 按一下表格最上方的刪除。 隨即顯示確認快顯示窗。 如果您確定要刪除金鑰,請按一下確定。 金鑰即遭刪除。 刪除裝置 本章說明如何刪除裝置。裝置是安裝在磁帶庫中個別的磁帶機。序號會顯示於磁帶機的右側。 註: 當您執行從 EKM 2.X 合併至 EKM 3.0 時,收到錯誤訊息表示您有重複的裝置,Dell 建議您刪除 EKM 2.X 中的裝置。詳細資訊請參閱 EKM 2.X 使用手冊。 若要從 EKM 3.0 刪除裝置,請執行下列步驟: 1. 登入 EKM 3.0 入口網站。請參閱登入 Encryption Key Manager 3.0 入口網站。 隨即顯示歡迎使用 Dell Encryption Key Manager 畫面。 2. 在導覽窗格中瀏覽至 Dell Encryption Key Manager → 金鑰與裝置管理。 3.
5. 使用 startserver 指令啟動 EKM 3.0 伺服器。請參閱在 Windows 中啟動與停止 EKM 3.0 伺服器或在 Linux 中啟 動與停止 EKM 3.0 伺服器。 6. 在 Windows 命令提示字元中,瀏覽至 :\Dell\EKM\bin。在 Linux 中,瀏覽至 /opt/dell/ekm/bin。 7. 使用 wsadmin 指令登入至 WebSphere 伺服器。請參閱 Logging onto the WebSphere Server (登入 WebSphere 伺服器)。 8. 在 wsadmin 提示字元中,使用先前取得的金鑰別名,執行下列指令之一以列出 EKM 3.0 伺服器上的特定金 鑰或憑證: 金鑰: print AdminTask.tklmKeyList('[-alias ]') ekmcert 憑證: print AdminTask.
解除安裝 EKM 3.0 7 本章說明如何從 Windows 與 Linux 解除安裝 EKM 3.0。 警示: 解除安裝 EKM 3.0 將造成透過磁帶庫管理加密 (LME) 寫入至 Dell PowerVault 磁帶庫的加密資料變成無 法讀取。請確定在解除安裝 EKM 3.0 之前已還原所有重要的資料。如有可能在未來重新安裝 EKM 3.0,請 在解除安裝 EKM 3.0 之前建立備份。在解除安裝 EKM 3.0 之前,請將 EKM 3.0 的備份與安裝設定檔 (如果您 有儲存安裝設定檔) 複製至外部磁帶機。當您重新安裝 EKM 3.0 時,請使用此備份檔案執行還原作業。請 參閱執行備份以及從備份還原。 註: 解除安裝的程序約需 35 分鐘。在解除安裝程序完成之前,請勿關閉系統的電源。 註: 解除安裝 EKM 3.0 也會一併解除安裝 WebSphere 與 DB2。如有其他應用程式會使用到 DB2,Dell 建議您 不要解除安裝 EKM 3.0。建議您可以停止 EKM 3.0 服務即可。有關停止 EKM 3.0 服務的詳細資訊,請參閱在 Windows 中啟動與停止 EKM 3.
註: 解除安裝的程序約需 35 分鐘。在解除安裝程序完成之前,請勿關閉系統的電源。 1. 開啟終端機工作階段並瀏覽至 /opt/dell/ekm/Uninstall_EKM。 2. 執行下列指令以執行解除安裝 EKM: ./Uninstall EKM 3. 快顯視窗隨即出現。 在快顯視窗中按一下執行。 出現解除安裝 EKM 視窗。 4. 按一下解除安裝。 5. 解除安裝程序隨即執行。 當解除安裝完成時,將會出現完成解除安裝視窗。按一下完成。 系統將重新開機。 註: 如果您重新安裝 EKM 3.0,而且因為解除安裝不完整而造成安裝失敗,請執行手動解除安裝。請參閱在 Linux 中手動解除安裝 EKM 3.
故障排除 8 本章提供故障排除資訊、常見問題、常見錯誤訊息及支援聯絡資訊。 註: 如果本章的內容未涵蓋您的問題,請參閱 TKLM 故障排除指南。有關如何存取 TKLM 文件的資訊,請 參閱 EKM 3.0 安裝媒體中 ReadThisFirst.txt 檔案內的「文件與參考資料」章節。 與 Dell 公司聯絡 註: 如果無法連線網際網路,則可以在購買發票、包裝單、帳單或 Dell 產品目錄中找到聯絡資訊。 Dell 提供多項線上和電話支援與服務選擇。服務的提供因國家/地區和產品而異,某些服務可能在您所在地區並 不提供。若因銷售、技術支援或客戶服務問題要與 Dell 聯絡: 1. 上網到 support.dell.com。 2. 選擇您的支援類別。 3. 如果您不是美國地區的客戶,請在網頁最下方選擇國家/地區代碼,或選擇 All (全部) 查看更多選擇。 4.
系統先決條件檢查 在安裝之前執行 EKM 3.0 系統先決條件檢查。如果您在授權合約畫面之後收到錯誤訊息,請依照錯誤訊息中的 指示操作。有關最常見的錯誤,請參閱下列項目的說明。 不符合最低系統需求 如果您收到不符合最低系統需求的錯誤,請按一下取消及結束並確認您的系統符合需求。有關系統需求,請參 閱硬體與軟體需求。 使用中不是此系統的管理員 您必須是 Linux 的 root 使用者或 Windows 的管理員才能安裝 EKM 3.0。 SELinux 必須停用 若已安裝並啟用 SELinux,開始安裝前請停用 SELinux。 若要停用 SELinux in RHEL5,請執行下列步驟: 1. 從桌面最上方的工具列,瀏覽至 系統 → 管理 安全層級與防火牆。 出現安全等級設定視窗。 2. 按一下 SELinux 標籤。在 SELinux 設定方塊中,按一下箭頭並選取 停用。 3. 按一下套用。 4. 按一下確定。 5. 重新啟動系統使變更生效。 若要停用 SELinux in RHEL4,請執行下列步驟: 1. 瀏覽至應用程式 → 系統設定 → 安全層級。 快顯視窗隨即出現。 2.
DB2 使用者為已存在的一般使用者 在 DB2 使用者名稱欄位中提供的使用者名稱是系統中已存在的使用者。請選擇不同的使用者名稱。 相同的系統中已存在 TKLM 或 EKM 3.0 TKLM 或 EKM 3.0 已安裝。解除安裝現有的執行個體或在其他系統安裝 EKM 3.0。 相同的系統中已存在 DB2 DB2 已安裝。解除安裝 DB2 或在其他系統安裝 EKM 3.0。 ksh 未安裝 EKM 3.0 安裝程式需要 ksh。安裝 ksh 然後再安裝 EKM 3.0。請參閱作業系統的文件。 主機名稱有特殊字元 您用於安裝 EKM 3.0 的電腦系統的主機名稱不得包含任何空格或特殊字元,例如連字號 (-) 或底線 (_)。EKM 3.0 的主機名稱僅支援英數字元。 網域名稱 您用於安裝 EKM 3.0 的電腦系統的網域名稱不得包含任何空格或特殊字元,例如連字號 (-) 或底線 (_)。EKM 3.
錯誤代碼 若要存取錯誤代碼列表及其說明,請參閱 EKM 3.0 安裝媒體中 ReadThisFirst.
Windows 參考檔案 您可以使用下列記錄檔與錯誤檔以排除 EKM 3.0 Windows 安裝的問題: • C:\tklm_install.stderr (標準錯誤記錄檔) • C:\tklmV2properties\*.log (DB2 安裝記錄檔) • C:\Users\Administrator\IA-TIPInstall-00.txt (EKM 3.0 安裝記錄檔) 註: 此路徑適用於 Windows Server 2008 版。若為 Windows Server 2003 R2 含 Service Pack 2,EKM 3.0 安裝記 錄檔位於 C:\Documents and Settings\Administrator\IA-TIPInstall-00.txt。 • C:\Dell\EKM\products\tklm\logs\audit\tklm_audit.
Linux 參考檔案 您可以使用下列記錄檔與錯誤檔以排除 EKM 3.0 Linux 安裝的問題: • /root/IA-TipInstall_*.log • /tklm_install.stderr (標準錯誤記錄檔) • /tklmV2properties/*.log • /opt/dell/ekm/products/tklm/logs/audit/tklm_audit.
手動解除安裝 EKM 3.0 解除安裝 EKM 3.0 時,請先使用自動化解除安裝程序。請參閱解除安裝 EKM 3.0。如果自動化解除安裝程序失 敗,請手動解除安裝 EKM 3.0。 在 Windows 中手動解除安裝 EKM 3.0 如果您重新安裝 EKM 3.0,而且因為解除安裝不完整而造成安裝失敗,請執行手動解除安裝。如有任何項目已 經解除安裝,請跳過該步驟。 註: 如果您可以選擇重新安裝伺服器的作業系統,Dell 建議您重新安裝作業系統,然後安裝 EKM 3.0。 註: 此程序中的路徑適用於 Windows Server 2008 版。本程序適用於 Windows Server 2003 R2 含 Service Pack 2 的路徑,請瀏覽至開始 → 控制台 → 新增或移除程式。 1. 瀏覽至開始 → 控制台 → 程式集 (或程式和功能) 解除安裝程式。解除安裝 IBM DB2 (DB2 Workgroup Server Edition - DB2TKLMV2)。 2. 瀏覽至開始 → 控制台 → 程式集 (或程式和功能) 解除安裝程式。 3. 按一下 EKM。 4.
20. 停止並刪除任何下列已安裝的任何 EKM 3.
5. 執行下列指令從系統中移除 DB2 使用者 ID: userdel -r $DB2_ADMIN$ 例如: userdel -r ekm_dell1 6. 執行下列指令從系統中移除 DB2: cd /opt/dell/ekm/install ./db2_deinstall -a 7. 移除 EKM 2.X 合併/遷移及 EKM 3.0 安裝時所使用的上層目錄。 rm -rf /opt/dell/ekm 8. 重新啟動機器。 9. 如果您要解除安裝 EKM 3.0,請參閱執行 EKM 3.0 安裝程序。 重新安裝 EKM 3.0 若要重新安裝 EKM 3.0,請執行下列步驟: 1. 使用解除安裝程序解除安裝 EKM 3.0。請參閱解除安裝 EKM 3.0。 註: 解除安裝 EKM 3.0 之後,如果機器未自動重新開機,請重新啟動機器。 2. 使用安裝程序重新安裝 EKM 3.0。請參閱執行 EKM 3.0 安裝程序。 註: 如果您在原始的 EKM 3.0 安裝中儲存了安裝設定檔,您可以用它來重新安裝 EKM 3.
要重複使用先前已加密的媒體必須使用內含該磁帶的金鑰且運作正常的 EKM 3.0 設定以及 PowerVault TL2000 或 TL4000。 您不可以在 PowerVault ML6000 中以此方式覆寫磁帶。您可以將磁帶從 ML6000 遷移至 TL2000 或 TL4000 以達成 此目的。然後您必須將 TL2000 或 TL4000 指向適當的 EKM 3.0 伺服器。 若要重複使用先前已加密的媒體,請執行下列步驟: 1. 確定 EKM 3.0 伺服器正在執行中並已正確設定。 2. 登入 TL2000/TL4000 的 RMU GUI (需要管理員/服務登入)。 3. 瀏覽至設定磁帶庫。 4. 瀏覽至加密。 5. 將加密原則設定值變更為內部標籤 - 選擇性加密。 6. 將一個寫入工作 (例如,快速清楚、完整清除或備份) 提交至要重複使用的媒體。 若要確認加密是否已被覆寫,請執行下列步驟: 1. 登入 TL2000/4000 的 RMU GUI。 2. 瀏覽至監視磁帶庫,然後是詳細目錄。 3. 在適當的磁帶匣上按一下下拉式功能表。 4.
指派的數位簽章,EKM 3.0 即接受其索取金鑰。金鑰將以金鑰群組的形式群集於金鑰庫,您可以在新增磁帶機 之後,建立金鑰群組與新的/替換的磁帶機之間的關聯。 註: 若要手動新增裝置,請參閱 TKLM 文件。有關如何存取 TKLM 文件的資訊,請參閱 EKM 3.0 安裝媒體中 ReadThisFirst.txt 檔案內的「文件與參考資料」章節。 EKM 3.0 如何處理新增的磁帶庫或更換故障的磁帶庫? 在磁帶庫管理的加密中,磁帶庫只是代理。只要 EKM 3.0 能夠驗證磁帶機的數位簽章,您即可新增或替換磁帶 庫。替換的磁帶庫必須獲得磁帶庫管理加密的授權,並進行設定以使用於現有的 EKM 3.0。 壓縮與加密之間會如何互相影響? 資料在加密之前會進行壓縮,因為加密後的資料通常無法壓縮。因此,壓縮不會影響加密,反之亦同。 加密是否會影響效能? 加密可能會稍微影響效能,當不會增加備份的時間。 我要如何要求及使用第三方憑證? 在 EKM 3.0 中建立憑證要求。將此要求傳送至憑證授權單位。由憑證授權單位傳回的憑證可匯入至 EKM 3.
請執行下列其中一項動作: • 更新螢幕。 • 將瀏覽器最大化。 • 使用其他支援的瀏覽器。如需詳細資訊,請參閱硬體與軟體需求。 問題:瀏覽器最上方顯示「憑證錯誤」。 說明: 您在 Internet Explorer 8 之中使用相容性檢視模式,並成功匯入授權憑證,但瀏覽器最上方的網址列旁邊顯示憑 證錯誤。 解決方案: 請執行下列其中一項動作: • 忽略錯誤,此錯誤不會影響 EKM 3.0 性能。 • 使用不同的支援的瀏覽器 (例如,Internet Explorer 6.X 或 Firefox)。請參閱硬體與軟體需求。 問題:我無法排序表格中的資訊。 說明: 在管理伺服器憑證、備份與還原及憑證存放區畫面中使用表格最上方的篩選器無法排序表格中的項目。 解決方案: 按一下各欄位的標題列以排序項目。 問題:我無法為我建立的備份輸入說明內容。 說明: 您在 Windows 中使用 Firefox 建立備份時,無法輸入備份的說明,只能使用預設的說明。 解決方案: 使用支援的 Internet Explorer 版本。如需詳細資訊,請參閱硬體與軟體需求。 問題:EKM 3.
當我在金鑰與裝置管理畫面中變更磁帶機通訊設定值時,變更並未生效。 解決方案: 在您變更磁帶機的通訊設定值之後,請停止再啟動 EKM 3.0 伺服器,變更將會生效。如需詳細資訊,請參閱在 Windows 中啟動與停止 EKM 3.0 伺服器或在 Linux 中啟動與停止 EKM 3.0 伺服器。 問題:在 Windows 2008 伺服器上完成安裝 EKM 3.0 之後,系統匣顯示與安裝程序相關聯的綠色圖示。 說明 系統匣顯示綠色圖示。 解決方案 這是已知的問題,不會影響 EKM 3.0 的可用性或可靠性。當您登出系統並再次登入時,將不會顯示此圖示。 問題:設定 EKM 3.0 的安裝時,部分欄位顯示「0」。 說明 設定 EKM 3.0 的安裝時,部分欄位顯示「0」。發生於當您在安裝 EKM 3.
安裝 compat-libstdc++ 程式庫 在 Linux 平台上安裝 EKM 3.0 之前,必須先安裝 compat-libstdc++-33-3.2.3-61 或以上版本的程式庫。 如果您在 Linux 上安裝 EKM 3.0 時收到下列錯誤,您必須安裝 compat-libstdc++: 您的作業系統尚未安裝 compat-libstdc++。 安裝 compat-libstdc++: 1. 在終端機工作階段中,執行下列指令以瀏覽至 EKM 3.0 安裝媒體中的 compat-libstdc++ RPM 檔案 (位於 EKMPREREQLIBS 資料夾內): cd //EKMPREREQLIBS 2. 執行下列指令以安裝 compat-libstdc++: rpm -ivh compat-libstdc++*.rpm 註: 若顯示錯誤訊息,表示您嘗試安裝的 compat-libstdc++ RPM 與已安裝的 libstdc++-33 發生衝突,請執行 下列步驟: a.
