Dell 加密密钥管理程序 3.
注、警告和严重警告 备注: “注”表示可以帮助您更好地使用计算机的重要信息。 小心: “小心”表示如果不遵循说明,就有可能损坏硬件或导致数据丢失。 警告: “严重警告”表示可能会造成财产损失、人身伤害甚至死亡。 本文中的信息如有更改,恕不另行通知。 © 2011 Dell Inc. 版权所有,翻印必究。美国印制。 未经 Dell Inc. 书面许可,严禁以任何形式复制这些材料。 本文中涉及的商标: Dell™、Dell 标志、Dell Precision™、OptiPlex™ Latitude™、PowerEdge™、PowerVault™、PowerConnect™、 OpenManage™、EqualLogic™、Compellent™、KACE™、FlexAddress™ 及 Vostro™ 是 Dell Inc.
目录 注、警告和严重警告..................................................................................................................2 章 1. 概览........................................................................................................................................5 硬件和软件要求......................................................................................................................................................5 服务器硬件要求.........................................................................
在 Windows 中启动和停止 EKM 3.0 服务器 .......................................................................................................23 在 Linux 中启动和停止 EKM 3.0 服务器...............................................................................................................23 章 6. 迁移与合并.........................................................................................................................25 在 EKM 3.0 安装过程中迁移加密密钥管理程序(EKM)2.X 版本..................................................................
1 概览 Dell 加密密钥管理程序(EKM)3.0 是一个加密公用程序,它通过为包括 ML 和 TL PowerVault 系列在内的 Dell 磁 带自动解决方案管理加密密钥,保护存储在 LTO 盒式磁带上的数据。EKM 3.0 管理磁带加密密钥的生命周期, 包括生成、分发、管理和删除。 本指南说明如何对 Dell 加密密钥管理程序 3.0(EKM 3.0)中进行安装、配置、和执行基本操作。Dell 建议您在 安装 EKM 3.0 之前先阅读本说明。 本指南包括以下相关信息: • EKM 3.0 的硬件和软件要求 • 在 Windows 和 Linux 平台上安装和卸载 EKM 3.0 • 配置 EKM 3.0 • EKM 3.0 的基本操作 • 在 EKM 3.0 安装过程中迁移 EKM 2.X 以及将 EKM 2.X 合并到已配置的 EKM 3.0 安装中 • 常见问题解答、故障排除、常见错误消息、以及技术支持联络信息 备注: EKM 3.
备注: 如果在您将安装 EKM 3.0 的系统中具有 24 枚或更多 CPU,请参阅 EKM 3.0 发行说明,查看有关安装 完成后如何更新 EKM 3.0 的详细信息。要访问 EKM 3.0 发行说明,请转到 support.dell.com/manuals,然后导 航至 软件 → 系统管理 → Dell 加密密钥管理程序。 浏览器要求 EKM 3.0 支持下列浏览器: • Microsoft Internet Explorer,版本 7.0 • Microsoft Internet Explorer,版本 8.0,兼容性视图模式 • Firefox 版本 3.0.x(EKM 3.0 不支持 Firefox 3.5 及以上版本。) 备注: 为使所有 EKM 3.0 功能正常工作,必须启用 JavaScript。有关启用 JavaScript 的操作说明,请参阅您 浏览器的文档。 操作系统要求 EKM 3.
安装 EKM 3.0 2 本章说明如何在 Windows 和 Linux 上安装 EKM 3.0。 备注: 如果您当前在使用 EKM 2.X,除非遇到问题,Dell 建议您保持当前的基础设施(在 EKM 2.X 保护下的 服务器、操作系统、磁带库等)。 EKM 3.0 不支持虚拟机作为主机。如果您当前将虚拟机作为您的 EKM 2.X 主机,您只能继续使用 EKM 2.X 或移植到物理服务器上。 备注: 如果您计划将 EKM 2.X 迁移到 EKM 3.0,请在开始 EKM 3.0 安装前参阅在 EKM 3.0 安装过程中迁移加 密密钥管理程序(EKM)2.X 版本 。 备注: Dell 建议您将 EKM 3.0 安装在未用于其他服务的专用物理服务器上。这将确保 EKM 3.0 的性能和响应 时间不会受到在同一物理服务器上运行的其他应用程序影响。 小心: EKM 3.0 仅支持直接从 EKM 3.0 介质安装。请勿将 EKM 3.0 介质的内容复制到您的硬盘。 备注: 本章中的步骤要求具备系统管理员的知识水平。 在 Microsoft Windows 中准备安装 EKM 3.
1. 将适合您操作系统的 EKM 3.0 安装盘插入您要安装 EKM 3.0 的系统。 2. 如果您的系统设置为当插入 DVD 时自动运行,请稍等待安装程序出现。如果您的系统未设为自动运行, 请以 root 访问权限打开一个终端并导航至 EKM 3.0 DVD 所挂载的文件夹。键入 ./autorun.sh 并按 Enter(回 车)。 备注: 如果 SELinux 已安装且已启用,请在开始安装前将其禁用。请参阅系统必备条件检查。 备注: Red Hat 操作系统经常将 noexec 位进行设置以禁止执行任何挂载文件系统上的二进制文件。如果挂 载的 DVD ROM 上的 noexec 位被设为禁用(disable),则 EKM 3.0 安装程序不会从该 DVD 上启动。要从该 DVD 上启动 EKM 3.0 安装程序,请执行下列步骤: a) 以 root 访问权限打开一个终端会话。 b) 取消挂载该 EKM 3.0 DVD。 c) 通过发布下列命令以只读并且禁用 noexec 的方式重新挂载 EKM 3.0 DVD: mkdir /media/dellmedia mount /dev/
随即出现许可协议屏幕。 2. 请选择接受许可协议条款单选按钮。 3. 请单击下一步。 备注: EKM 3.0 安装程序将运行系统必备条件检查。安装程序验证系统满足最低要求并为您的系统配置 EKM 3.0。 如果出现错误消息,请参阅系统必备条件检查。 随即出现重用安装配置文件屏幕。 4. 如果您是首次安装 EKM 3.0,请保持重新使用 EKM 3.0 安装配置文件复选框为未选中。 如果您是在重新安装或在辅助服务器上安装 EKM 3.0 并且要使用先前安装时保存的安装配置文件,请执行 下列步骤: a) 请选中重用 EKM 3.0 安装配置文件复选框。选中该复选框将激活文件位置字段。 b) 单击选择并导航至您先前配置和安装 EKM 3.0 时创建的安装配置文件(例如,在 Windows 中的 E: \EKM_config.
备注: 必须开放在安装过程中使用的所有端口以便安装 EKM 3.0。请验证其已开放: 要在 Windows 中验证端口已开放, a. 请导航至::\Windows\System32\drivers\etc\。 b. 打开 Services 文本文件。 c. 仔细查看该文件并确认您要使用的端口号在 Database Port 字段中可用。如果端口号可用,该端口将 不会被列出。 要在 Linux 中验证端口已开放, a. 请打开 /etc/services 文件。 b. 仔细查看该文件并确认您要使用的端口号在 Database Port 字段中可用。如果端口号可用,该端口将 不会被列出。 12. 请单击下一步。 随即出现 EKM 管理员屏幕。在此屏幕中,您将创建 EKM 3.0 管理员(超级用户)帐户。此帐户用于创建新 用户和新组以及对其分配权限。 13. 请在管理员用户名字段中,输入一个 EKM 3.0 管理员用户名称(可以是除 tklmadmin 之外的任何名称)。 14. 在密码字段中,为该 EKM 3.0 管理员帐户输入一个密码。在确认密码字段中,再次键入该密码。 15.
19. 在文件目录字段中,请输入您要创建的安装配置文件的位置和文件名,或单击选择并选择一个位置,然后 输入文件名。 这是您要保存安装配置文件的位置和名称。 EKM 3.0 在安装完成时保存安装配置文件。如果您要使用主/辅服务器配置,您必须在安装辅助 EKM 3.0 服 务器时使用主 EKM 3.0 服务器的安装配置文件以自动填充安装输入字段。 或者,如果您要在相同服务器上进行重新安装并且希望使用同样的字段值,您可使用此安装配置文件以自 动填充安装输入字段。 备注: Dell 建议您捕获或打印配置摘要屏幕以便今后参考。 20. 在配置摘要屏幕中,请单击下一步。 随即出现 安装摘要屏幕。 21. 请仔细检查安装摘要屏幕中的信息。 22. 请单击 安装。 备注: 本软件的安装时长为大约 45 分钟。在安装完成前请勿关闭系统。 备注: 如果您计划要安装辅助 EKM 3.0 服务器,在主服务器上的 EKM 3.0 安装完成前请勿在辅助服务器上安 装 EKM 3.0。 23. 安装完成后,请单击 Done(完成)。 备注: 如果您将 EKM 2.X 版本迁移到了新安装的 EKM 3.
设置主与辅 EKM 3.0 服务器 3 本章说明如何在主要和辅助服务器上安装、使用、和卸载 EKM 3.0。 小心: 为防止因 EKM 3.0 服务器故障可能导致的数据丢失,Dell 推荐使用主与辅 EKM 3.0 服务器设置。这种 配置在主 EKM 3.0 服务器故障停机或不可用时提供了冗余。 备注: 您不可将 EKM 3.0 主服务器与 EKM 2.X 辅服务器一同使用,反之亦然。 在主服务器上安装 EKM 3.0 在主服务器上安装 EKM 3.0 的过程中,您必须选择保存安装配置文件选项。当 EKM 3.0 在主服务器上安装完成 后,请将保存的安装配置文件复制到可移动驱动器或服务器共享上。请参阅安装 EKM 3.0。 在主服务器上使用 EKM 3.0 主 EKM 3.0 服务器是您执行所有加密密钥管理任务的计算机。默认情况下,主 EKM 3.0 服务器设置为 Automatically accept all new device requests for communication(自动接受所有新设备的通信请求)。有关如何查 看和配置此设置,请参阅 Configuring EKM 3.
器的新设备提供密钥。有关如何查看和配置此设置的详细信息,请参阅配置 EKM 3.0 以接受向其请求密钥的设 备。 如果主 EKM 3.0 服务器暂时因故障停机或不可用,您必须使用在主 EKM 3.0 服务器上创建的最新备份在辅 EKM 3.0 服务器上执行还原操作。 备注: 当主 EKM 3.0 服务器故障停机或不可用,而辅 EKM 3.0 服务器被用于支持来自设备的密钥请求时, Dell 建议您不要在辅 EKM 3.0 服务器上执行任何管理或操作任务。 从主与辅服务器中卸载 EKM 3.0 有关从主与辅服务器中卸载 EKM 3.0 的步骤,请参阅卸载 EKM 3.
执行备份与从备份还原 4 您可以在任何时候执行备份。执行备份将创建包含密钥库(其中包含设备和密钥)的密钥文件。 备份中并不包含设备组、用户或用户组。这些包含在 DB2 数据库中。 您可以在任何时候从备份还原。 备注: 如果密钥未备份,就不会提供。如果无法提供密钥,加密备份作业将失败。 创建密钥库备份 本章说明如何备份密钥库。 1. 请登录到 EKM 3.0 门户。请参阅登录加密密钥管理程序 3.0 门户。 随即出现欢迎使用 Dell 加密密钥管理程序屏幕。 2. 在导航窗格中,请导航至 Dell 加密密钥管理程序 → 备份与还原 。 随即出现备份与还原屏幕。 3. 请单击备份存储库位置字段旁边的浏览并导航至您要保存备份文件的文件夹(例如 Windows 中的 C: \EKM_Backup,或 Linux 中的 /root/EKM_Backup)。 备注: 该文件夹在开始备份之前必须存在,否则备份将失败。如果希望使用一个新文件夹,请在尝试创建 备份前创建该文件夹。 4. 请在浏览目录弹出式窗口中单击选择以返回备份与还原屏幕。 5. 请单击创建备份。 随即出现创建备份屏幕。 6.
从备份还原 您可以从备份还原。您可以使用备份创建辅助密钥服务器以及在灾难恢复情况下重建 EKM 3.0 服务器。 小心: 请仅通过在同一系统上或使用相同安装配置文件的其他 EKM 3.0 服务器上创建的备份进行还原。您 不能从使用不同安装信息的不同系统上创建的备份进行还原。 1. 请登录到 EKM 3.0 门户。请参阅登录加密密钥管理程序 3.0 门户。 随即出现欢迎使用 Dell 加密密钥管理程序屏幕。 2. 在导航窗格中,导航至 Dell 加密密钥管理程序 → 备份与还原 。 3. 随即出现备份与还原屏幕。 请选择您想要还原的备份。 4. 请单击表格顶部的从备份还原 。 5. 随即出现从备份还原子窗口。 输入该还原文件的密码。 6. 7. 8. 16 请单击还原备份。 随即出现一个弹出式确认窗口。 小心: 您创建备份后创建的任何密钥都会丢失,以该密钥加密的数据将不可访问。丢失或删除的密钥不能 以任何方式恢复。 在弹出式确认窗口中,请单击 OK(确定)。 在从备份还原后,您必须手动停止和启动 EKM 3.0 服务器。请参阅在 Windows 中启动和停止 EKM 3.
使用 EKM 3.0 5 本章对一些基本的 EKM 3.0 操作进行说明。 备注: EKM 3.0 是基于 IBM Tivoli 密钥生命周期管理程序(TKLM)V2 FixPack 2 的,但已通过选择用于磁带的 相关 TKLM 功能子集定制为支持 Dell 磁带环境。 对于本指南未涉及的 EKM 3.0 使用信息,请参阅 TKLM 文档,其中包括下列部分: • IBM Tivoli 密钥管理程序 2.0 快速入门指南 • IBM Tivoli 密钥管理程序 2.0 安装与配置指南 • IBM Tivoli 密钥管理程序 2.0 产品概览/方案指南 有关如何访问 TKLM 文档的信息,请参阅 EKM 3.0 安装介质上的 ReadThisFirst.txt 文件中的“文档与参考资 料”部分。 在 IBM TKLM 文档中涉及的某些屏幕和功能在 Dell EKM 3.0 中未启用。EKM 3.0 仅包含支持 Dell PowerVault 磁带库所需的功能子集。 登录加密密钥管理程序(EKM)3.0 门户 要登录加密密钥管理程序 3.0 门户,请执行下列步骤: 1.
备注: 以后,如果您要创建更多密钥或密钥组,请参阅为设备组创建密钥组。 要创建主密钥库,请执行下列步骤。 1. 2. 在欢迎使用 Dell 加密密钥管理程序屏幕中,单击请单击此处创建主密钥库。 随即出现密钥库屏幕。 请保留密钥库类型、密钥库路径、和密钥库名称的默认值。 默认值分别为,密钥类型:JCEKS、密钥名称:defaultKeyStore。在 Windows 下的密钥库路径默认值为: :\Dell\EKM\products\tklm\keystore。在 Linux 下的密钥库路径默认值为:/opt/dell/ekm/products/tklm/ keystore。 3. 在密码字段中,为默认密钥库创建一个密码。此密码不得少于六个字符。 4. 在重新输入密码字段中,重新输入该密码。 5. 请单击 OK(确定)。 6. 密钥库屏幕随即确认密钥库已成功创建。 请创建该密钥库的备份。请参阅执行备份与还原备份。 在 EKM 3.0 服务器中启用防火墙 备注: 有关如何配置防火墙的说明,请参阅您的操作系统文档。 EKM 3.0 与磁带库通过网络进行通信。如果在安装 EMK 3.
备注: 有关这些设置的更多详细信息请参阅 TKLM 文档。关于如何访问 TKLM 文档的信息,请参阅 EKM 3.0 安装介质上的 ReadThisFirst.txt 文件中的“文档与参考资料”部分。 4. 在表格底部的下拉菜单中,请选择下列之一: Automatically accept all new device requests for communication(自动接受 所有新设备的通信请求) 密钥将自动提供给新设备。这是 EKM 3.0 的默认设置。Dell 建议 您为主 EKM 3.0 服务器保留此设置,但不建议对辅助服务器这么 做(如果配置有)。 Only accept manually added devices 除非设备是手动添加的,否则不会向设备提供密钥。如果您在配置 for communication(仅接受手动添加 辅助 EKM 3.0 服务器,Dell 建议您采用此设置以使辅助 EKM 3.
在密钥与设备管理 公用程序中,将显示您所选定设备组的页面。此页面列出了属于该设备组的所有密钥 组和设备。 5. 在表格中,请单击添加,然后选择密钥组。 随即出现创建密钥组子窗口。 6. 在密钥组名称字段中,输入该密钥组的名称。 7. 在要创建的密钥数目字段中,输入要创建的密钥个数。 8. 在密钥名称的前三个字母字段中,为密钥名称输入任意三字母前缀。 9. 如果您希望将此密钥组作为默认密钥组,请选择设为默认密钥组复选框。 10. 请单击创建密钥组。 随即出现一个弹出式警告窗口。 11. 如果想要创建备份,请单击弹出式警告窗口中的蓝色链接以转至备份与还原 屏幕。请参阅执行备份与还 原备份。在创建备份后,请返回密钥与设备管理 屏幕。如果您不想在此时创建备份,请继续进行下一 步。 备注: Dell 建议您在更改密钥、密钥组或设备组时创建备份。 12. 请在弹出式警告窗口中单击 OK(确定)。 密钥组即被创建。密钥与设备管理屏幕将显示该密钥组。 13.
在密钥组中添加和删除密钥 本章说明如何在密钥组中添加和删除密钥。 备注: 从密钥组中删除密钥并不会删除密钥本身,而只是从密钥组中移除该密钥。如果您想要删除单个密 钥,请参阅删除指定密钥。 备注: 有关访问密钥与设备管理屏幕的说明,请参阅为设备组创建密钥组。 1. 请登录到 EKM 3.0 门户。请参阅登录加密密钥管理程序 3.0 门户。 随即出现欢迎使用 Dell 加密密钥管理程序屏幕。 2. 在导航窗格中,请导航至 Dell 加密密钥管理程序 → 密钥与设备管理。 随即出现密钥与设备管理屏幕。 3. 在管理密钥与设备下拉菜单中,请选择您要添加密钥组的设备组名称。 4. 在密钥与设备管理旁边,请单击 Go(转入)。 在密钥与设备管理公用程序中,将显示您选定的设备组的页面。该页面列出了属于该设备组的所有密钥组 和设备。 5. 请选择您要修改的密钥组。 6. 请单击表格顶部的修改。 随即出现修改密钥组子窗口。 7.
b) 在该弹出菜单中,请选择修改。 随即出现修改密钥组子窗口。 c) 请将设为默认密钥组复选框取消选中。 d) 单击修改密钥组。 随即出现密钥与设备管理屏幕。 6. 选择要删除的密钥组使其高亮显示,然后单击删除。 随即出现确认弹出窗口。 7. 在确认弹出窗口中单击 OK(确定)。 该密钥组及所有与该密钥组相关的密钥均被删除。 验证服务器证书 本章说明如何验证您要用的服务器证书是使用中的证书。要进行验证,请执行下列步骤: 1. 请登录到 EKM 3.0 门户。请参阅登录加密密钥管理程序 3.0 门户。 随即出现欢迎使用 Dell 加密密钥管理程序屏幕。 2. 在导航窗格中,请导航至 Dell 加密密钥管理程序 → 高级配置 → 服务器证书。 随即出现管理服务器证书屏幕。 3.
1. 在 Windows 中,请在命令行提示符下导航至 :\Dell\EKM\bin。在 Linux 中,请在终端会话中导航 至 /opt/dell/ekm/bin。 2. 对于 Windows,请输入下列命令: wsadmin -username tklmadmin -password -lang jython 对于 Linux,请输入下列命令: ./wsadmin.sh -username tklmadmin -password -lang jython 按 Enter。该命令短暂运行之后将出现 wsadmin 命令提示符。 备注: 该命令区分大小写。所有括号前后均无空格。不要在变量两侧输入小于和大于号(< >)。 备注: 要退出 WebSphere 服务器,请键入 Exit 并按 Enter。 在 Windows 中启动和停止 EKM 3.0 服务器 本章说明如何在 Windows 中启动和停止 EKM 3.0 服务器。 1. 在命令提示符下,导航至 :\Dell\EKM\bin。 2.
迁移与合并 6 在 EKM 3.0 安装过程中,可将 EKM 2.X 迁移到 EKM 3.0。 在 EKM 3.0 安装完成后,可将 EKM 2.X 合并到 EKM 3.0。 本章说明合并与迁移的步骤。 备注: 仅可对已用于创建密钥的 EKM 2.
在 EKM 3.0 安装过程中迁移加密密钥管理程序(EKM)2.X 版本 仅当您在 EKM 3.0 安装过程中配置迁移屏幕时才可进行此步骤。迁移屏幕是用于将加密密钥管理程序(EKM) 2.X 版本迁移到 EKM 3.0 。 备注: 如果您当前在使用 EKM 2.X,除非遇到问题,Dell 建议您保持当前的基础设施(在 EKM 2.X 保护下的 服务器、操作系统、磁带库等)。 如果您必须将 EKM 2.X 版本迁移到 EKM 3.0,Dell 建议您在此时进行迁移。 备注: 如果您是以虚拟机作为 EKM 2.X 主机使用 EKM 2.X,除非移植到物理主机上,您必须继续使用 EKM 2.X。EKM 3.0 不支持虚拟机作为主机。 备注: 在 EKM 3.0 安装过程中,您仅可迁移单个 EKM 2.X 版本。如果您有多个 EKM 2.X 版本要迁移到 EKM 3.0,使用此步骤迁移第一个,在安装完成后,请参阅将更多 EKM 2.X 版本合并到 EKM 3.0 来合并更多版 本。 尽管在 EKM 3.0 安装完成后,使用 EKM 2.X 到 EKM 3.0 合并工具将 EKM 2.X 版本合并到 EKM 3.
在安装 EKM 3.0 后将加密密钥管理程序(EKM)2.X 合并到 EKM 3.0 本章说明在安装之后,在 Windows 和 Linux 下进行 EKM 2.X 到 EKM 3.0 合并的步骤。此步骤使用 EKM 2.X 到 EKM 3.0 合并工具。 当 EKM 3.0 已安装和配置并且您希望将 EKM 2.X 合并到 EKM 3.0 时,请使用此步骤。 备注: 如果您使用了主/辅 EKM 3.0 服务器配置,则您必须仅在主 EKM 3.0 服务器上执行合并步骤。在主 EKM 3.0 服务器上的合并步骤完成后,执行备份步骤,然后在辅 EKM 3.0 服务器上还原备份文件。请参阅 执行备份和从备份还原。 备注: 如果 EKM 3.0 尚未安装,Dell 建议在 EKM 3.0 安装过程中将 EKM 2.X 迁移到 EKM 3.0。请参阅执行 EKM 3.0 安装步骤。 本文档中的示例使用了标准的 Windows 路径(例如,C:\)。请针对您的系统替换相应的根驱动器 号或 Linux 路径。 29
合并工具必备条件 在运行合并工具前,请先核实下列要求得到满足: • EKM 3.0 必须已安装并且主密钥库必须已创建,否则合并步骤将失败。请参阅创建主密钥库。 • 当从 EKM 2.X 合并到 EKM 3.0 时,EKM 2.X 与 EKM 3.0 必须安装于相同的操作系统版本上。 • 如果您先前曾将 EKM 2.X 迁移或合并到 EKM 3.0,来自先前合并或迁移的 ekmcert 证书将仍然存在于该 EKM 3.0 服务器上,即使您已从先前的备份还原它仍可能存在。您必须在执行合并步骤之前从 EKM 3.0 服务器上移除该 ekmcert 证书。请参阅删除 ekmcert 证书、密钥和密钥组,以及重命名设备。 • 对于 EKM 2.X 中重复的密钥、密钥组和设备,在将其合并到 EKM 3.0 前,您必须对其重命名。请参阅 EKM 2.X 用户指南。 – 源 EKM 2.X 中不能有与目标 EKM 3.0 中重复的密钥别名/名称。每项导入的密钥必须具有唯一的 别名/名称,否则合并过程将失败。 – 源 EKM 2.X 中不能有与目标 EKM 3.
– config.keystore.file – config.drivetable.file.url 删除其他行。具体示例请参见本步骤中的代码示例。 9. 在新的 KeyManagerConfig.properties 文件中添加下列 DB2 选项: – jdbcURL = jdbc:db2://localhost:/ 或 jdbcURL = jdbc:db2://:/ – jdbcUID = – jdbcPW = – dbType = DB2 具体示例请参见本步骤中的代码示例。 备注: 这些变量是您安装 EKM 3.0 时设置的参数。请勿在变量两侧输入小于和大于符(< >)。变量、用户 名和密码都是区分大小写的。 10. 将 EKM 3.
示例: C:\Dell\EKM\bin\setupCmdLine.bat c. 按 Enter(回车)。 命令将运行且系统将在最后一行显示下列文本: goto :EOF 在 Linux 中: a. 在终端会话中,导航至 /opt/dell/ekm/bin。 b. 请输入以下命令: . setupCmdLine.sh c. 命令将运行。当命令在 Linux 中成功完成时,将显示空白提示符。不会有表示命令已成功完成的标 志。 备注: 该 setupCmdLine.sh 脚本必须具有执行权限。 13. 创建命令行批处理(.bat)文件(在 Linux 中为 .sh)以指定合并工具所需的 .jar 文件来源并为 CLASSPATH 设置其他参数: a) 将下列临时 CLASSPATH 设置复制到一个文本文件并将其命名为 .bat 或在 Linux 中为 .sh (例如,在 Windows 中为 setupclasspath.bat,或在 Linux 中为 setupclasspath.sh)。 b) 将此 .bat/.sh 保存至您在此步骤前期创建的文件夹中,例如 C:\EKM
com.ibm.tklm.server.api.jar:$WAS_HOME/profiles/TIPProfile/installedApps/ TIPCell/tklm_kms.ear/com.ibm.tklm.server.db.ejb.jar:$CLASSPATH 14. 运行您刚创建的批处理文件。在 EKM 3.0 服务器中相同命令提示符或终端会话中,导航至您在此步骤早前 创建的文件夹(例如,对 Windows 为 C:\EKM_Files,或对 Linux 为 /opt/EKM_Files),并运行您在上一步创 建的批处理文件。对于 Linux,找到您先前创建的文件,例如,. setupclasspath.sh。 15. 在 EKM 3.0 服务器中相同命令提示符或终端会话中,运行下列 Java 命令: javacom.ibm.tklm.ekm2tklm.MergeEKM2KLMKeyManagerConfig.propert ies 备注: 此命令区分大小写。请勿在变量两侧输入小于和大于符(< >)。 其中的 KeyManagerConfig.
验证从 EKM 2.X 到 EKM 3.0 的合并或迁移 本章说明如何验证 EKM 2.X 到 EKM 3.0 的合并或迁移已成功并且磁带库工作正常。 要验证 EKM 2.X 已成功合并或迁移到 EKM 3.0,请执行下列步骤: 1. 登录到 EKM 3.0 门户。请参阅登录加密密钥管理程序 3.0 门户。 随即出现欢迎使用 Dell 加密密钥管理程序屏幕。 2. 在导航窗格中,请导航至 Dell 加密密钥管理程序 → 密钥与设备管理。 随即出现密钥与设备管理屏幕。 3. 在管理密钥与设备下拉菜单中,请选择 LTO 并单击 Go(转入)。 在密钥与设备管理屏幕中将显示已迁移的 EKM 密钥组以及每组中的密钥数。 4. 在表格顶部的下拉菜单中,请选择查看密钥、密钥组成员和驱动器。如果密钥出现在表格的左侧,则说明 合并是成功的。 5. 迁移不会导入 EKM 2.X 已配置的设备。您必须配置这些 EKM 2.X 设备。请参阅向设备组添加设备。 6. 在 EKM 3.0 门户中,请验证 EKM 3.
删除 ekmcert 证书、密钥和密钥组、以及重命名设备 在执行 EKM 2.X 到 EKM 3.0 的合并时,在 EKM 2.X 和 EKM 3.0 服务器中在不能有重复的 ekmcert 证书、密钥别 名、密钥组别名或设备。 备注: 如果存在重复的密钥或密钥组,Dell 建议您合并前在 EKM 2.X 中重命名重复的密钥和密钥组。有关 详情请参阅 EKM 2.X 用户指南。如果重复的密钥或密钥组已不再使用,您可以将其在 EKM 2.X 中删除。但 请注意,删除密钥等价于删除该密钥保护的所有数据,因为该数据将不再可访问。为了安全目的,已删 除的密钥不能以任何方式恢复。 如果存在重复设备,您必须在 EKM 2.
ekmcert 证书删除 每个 EKM 2.X 安装具有一份 ekmcert 证书。如果您要将一个以上的 EKM 2.X 合并或迁移到 EKM 3.0,在尝试合并 新的 EKM 2.X 前您必须删除 EKM 3.0 中的 ekmcert 证书。 由于 ekmcert 是证书而非密钥,它不是 EKM 3.0 服务器上任何密钥组的一部分。因此,如果您已将一个 EKM 2.X 版本合并到 EKM 3.0 并随后从 EKM 3.0 上移除了 EKM 2.X 密钥组,来自该合并的 ekmcert 证书将仍然存在于 EKM 3.0 服务器上,即使您从先前的备份还原仍可能存在。由于合并工具将试图再次添加 ekmcert 证书,因此合并将 失败。 如果存在下列情况之一,您必须从 EKM 3.0 服务器移除 ekmcert 证书: • You migrated an EKM 2.X into EKM 3.0 during the EKM 3.0 installation procedure(在 EKM 3.0 的安装过程中, 您进行了 EKM 2.X 到 EKM 3.
随即出现欢迎使用 Dell 加密密钥管理程序屏幕。 2. 在导航窗格中,请导航至 Dell 加密密钥管理程序 → 密钥与设备管理。 随即出现密钥与设备管理 屏幕。 3. 在管理密钥与设备下拉菜单中,请选择 LTO 并单击 Go(转入)。 随即出现密钥与设备管理屏幕。 4. 在表格顶部的下拉菜单中,请选择查看密钥、密钥组成员与驱动器。 密钥将显示在表格中。 5. 请单击您要删除的密钥将其高亮显示。 6. 请单击表格顶部的删除。 随即出现确认弹出式窗口。 7. 如果您确定要删除选定的密钥,请单击 OK(确定)。 该密钥即被删除。 删除设备 本章说明如何删除设备。设备是安装在磁带库中的单个驱动器。其序列号显示在磁带驱动器的右侧。 备注: 如果您在执行从 EKM 2.X 到 EKM 3.0 的合并时收到错误消息通知您存在重复的设备,Dell 建议您在 EKM 2.X 中删除该设备。有关详情请参阅 EKM 2.X 用户指南。 要从 EKM 3.0 中删除设备,请执行下列步骤: 1. 请登录到 EKM 3.0 门户。请参阅登录加密密钥管理程序 3.
随即显示该 EKM 2.X 密钥库类型、ekmcert 证书、密钥库供应商、以及该 EKM 2.X 密钥库中的密钥。您将使 用密钥列表与 EKM 3.0 密钥库相比较以验证这些密钥在 EKM 3.0 密钥库中不存在。 备注: 请将命令提示符保持在打开状态。在稍后的步骤中,您将在 EKM 3.0 密钥库中查找这些密钥和/或 ekmcert 证书以验证其已从 EKM 3.0 中移除。 5. 使用 startserver 命令启动 EKM 3.0 服务器。请参阅在 Windows 中启动和停止 EKM 3.0 服务器或在 Linux 中启 动和停止 EKM 3.0 服务器。 6. 在 Windows 命令行提示符下,请导航至 :\Dell\EKM\bin。在 Linux 下,则导航至 /opt/dell/ekm/bin。 使用 wsadmin 命令登录到 WebSphere 服务器。请参阅登录 WebSphere 服务器。 在 wsadmin 提示符下,使用早前获得的密钥别名,发布下列命令之一以列出 EKM 3.0 服务器上指定的密钥 或证书: 对于密钥: print AdminTask.
卸载 EKM 3.0 7 本章说明如何从 Windows 和 Linux 中卸载 EKM 3.0。 小心: 卸载 EKM 3.0 将使得通过库管理型加密(LME)写入 Dell PowerVault 磁带库的所有已加密数据不可 读。在卸载 EKM 3.0 前请确保已还原所有重要数据。 如果将来有可能重新安装 EKM 3.0,请在卸载前创建 备份。在卸载 EKM 3.0 前将 EKM 3.0 备份和安装配置文件(如果已保存安装配置文件)复制到外部驱动器 上。在您重新安装 EKM 3.0 时使用此备份文件来进行还原操作。请参阅执行备份与还原备份。 备注: 卸载过程需要大约 35 分钟。在卸载过程完成前请勿关闭系统。 备注: 卸载 EKM 3.0 将同时卸载 WebSphere 和 DB2。如果您同时将 DB2 用于其他应用程序,Dell 不建议您 卸载 EKM 3.0,而仅建议您停止 EKM 3.0 服务。 有关停止 EKM 3.0 服务的信息,请参阅在 Windows 中启动 与停止 EKM 3.0 服务 或在 Linux 中启动与停止 EKM 3.
在 Linux 中卸载 EKM 3.0 本操作使用用于 Linux 的 EKM 3.0 卸载程序。 备注: 此卸载过程需要大约 35 分钟。在卸载完成前请勿关闭系统。 1. 请打开一个终端会话并导航至 /opt/dell/ekm/Uninstall_EKM。 2. 通过发布下列命令执行 Uninstall EKM: ./Uninstall EKM 3. 随即出现一个弹出式窗口。 单击弹出式窗口中的 Run(运行)。 随即出现 卸载 EKM 窗口。 4. 单击 Uninstall(卸载)。 5. 卸载过程随即执行。 卸载完成时将出现 Uninstall Complete(卸载完成)窗口。请单击 Done(完成)。 系统将重新引导。 备注: 如果您在重新安装 EKM 3.0 时由于存在不完全卸载而失败,请执行手动卸载。请参阅在 Linux 中手动 卸载 EKM 3.
故障排除 8 本章提供故障排除信息、常见问题解答、常见错误消息、以及技术支持联络信息。 备注: 如果本章未涵盖您的问题,请参阅 TKLM 故障排除指南。有关如何访问 TKLM 文档的信息,请参阅 EKM 3.0 安装介质上的 ReadThisFirst.txt 文件中的“文档与参考资料”部分。 与 Dell 联络 备注: 果没有可用的 Internet 连接,您可以在购货发票、装箱单、帐单或 Dell 产品目录上查找联络信息。 可用性会因国家和地区以及产品的不同而有所差异,某些服务可能在您所在的区域不可用。如果因为销售、技 术支持或客户服务问题联络 Dell,请: 1. 访问 support.dell.com。 2. 选择您的支持类别。 3. 如果您不是美国客户,请在页面底端选择国家代码或者选择全部以查看更多选择。 4.
系统必备条件检查 EKM 3.0 在安装前进行系统必备条件检查。如果您在许可协议 屏幕之后收到出错消息,请按照错误消息中的指 示操作。对于最常见错误的说明,请参阅以下各项。 Minimum System Requirements Failed(未满足最低系统要求) 如果您收到未满足最低系统要求错误,请单击取消并退出,并确保您的系统满足要求。关于系统要求请参阅硬 件和软件要求。 User not an Administrator on this System(用户不是系统管理员) 为安装 EKM 3.0,您必须在 Linux 中是 root 用户或在 Windows 中具有管理员身份。 SELinux Must be Disabled(必须禁用 SELinux) 如果已安装并启用 SELinux,请在安装前禁用 SELinux。 要在 RHEL5 中禁用 SELinux,请执行下列步骤: 1. 从桌面顶部的工具栏导航至 系统 → 管理 → 安全等级与防火墙。 随即出现安全等级配置窗口。 2. 请单击 SELinux 选项卡。在 SELinux 设置框中,单击箭头并选择 Disabled(禁用)。 3.
备注: 这些是在 Linux 上安装 EKM 3.0 所需的最小值。要成功安装 EKM 3.0 可能需要更多共享内存 (kernel.shmmax)。如果安装失败,则卸载 EKM 3.0,将 kernel.shmmax 增加约 25%,然后再重新安装 EKM 3.0。要卸载 EKM 3.0,请参阅卸载 EKM 3.0。 2. 请发布下列命令以使系统立即使用新的共享内存大小(否则您必须重新引导): sysctl –p DB2 User Already Exists as Regular User(DB2 用户作为普通用户已存在) 为 DB2 用户名字段提供的用户名称在系统中已存在。请选择其他用户名。 Existing TKLM or EKM 3.0 on the Same System(在相同系统中存在 TKLM 或 EKM 3.0) TKLM 或 EKM 3.0 已安装。请卸载现有实例或将 EKM 3.0 安装在另一个系统上。 Existing DB2 on the Same System(在相同系统中存在 DB2) DB2 已安装。请卸载 DB2 或将 EKM 3.
错误代码 要访问错误代码列表及其说明,请参阅 EKM 3.0 安装介质上的 ReadThisFirst.
Windows 参考文件 您可以使用下列日志文件和错误信息文件来对 EKM 3.0 的 Windows 安装问题进行故障排除: • C:\tklm_install.stderr(标准错误日志文件) • C:\tklmV2properties\*.log(DB2 安装日志文件) • C:\Users\Administrator\IA-TIPInstall-00.txt(EKM 3.0 安装日志文件) 备注: 以上路径适应于 Windows Server 2008 版本。对于 Windows Server 2003 R2 Service Pack 2,EKM 3.0 安 装日志文件位于 C:\Documents and Settings\Administrator\IA-TIPInstall-00.txt。 • C:\Dell\EKM\products\tklm\logs\audit\tklm_audit.
Linux 中的参考文件 对于 Linux 下的 EKM 3.0 安装,您可以使用下列日志文件和错误信息文件对问题进行故障排除: • /root/IA-TipInstall_*.log • /tklm_install.stderr (标准错误日志文件) • /tklmV2properties/*.log • /opt/dell/ekm/products/tklm/logs/audit/tklm_audit.
卸载 EKM 3.0 When uninstalling EKM 3.0, first use the automated uninstall procedure. Refer to Uninstalling EKM 3.0. If the automated uninstall process fails, manually uninstall EKM 3.0. 在 Windows 下手动卸载 EKM 3.0 如果您正在重新安装 EKM 3.0 但由于存在不完全卸载而失败,请执行手动卸载。如果所有项目均已卸载,请跳 过此步骤。 备注: 如果您可以选择在服务器上重新安装操作系统,Dell 建议您重新安装操作系统然后再安装 EKM 3.0。 备注: 此步骤的路径是针对 Windows Server 2008 版本的。如果适用此步骤,对于 Windows Server 2003 R2 Service Pack 2,请导航至开始 → 控制面板 → 添加或删除程序 。 1.
20. 停止并删除下列任何已安装的 EKM 3.
例如: userdel -r ekm_dell1 6. 请通过发布下列命令移除 DB2: cd /opt/dell/ekm/install ./db2_deinstall -a 7. 请移除用于 EKM 2.X 合并/迁移和 EKM 3.0 安装的父目录。 rm -rf /opt/dell/ekm 8. 请重新引导计算机。 9. 如果要重新安装 EKM 3.0,请参阅执行 EKM 3.0 安装步骤。 重新安装 EKM 3.0 要重新安装 EKM 3.0,请执行下列步骤: 1. 通过卸载步骤卸载 EKM 3.0。请参阅卸载 EKM 3.0。 备注: 在您卸载 EKM 3.0 后如果计算机未自动重新引导,请重新引导计算机。 2. 通过安装步骤重新安装 EKM 3.0。请参阅执行 EKM 3.0 安装步骤。 备注: 如果您在原有 EKM 3.0 安装过程中保存了安装配置文件,您可利用它重新安装 EKM 3.0。但是如果您 使用了主/辅服务器配置,并且该安装配置文件属于辅 EKM 3.0 服务器,请勿使用它在主服务器上重新安装 EKM 3.
1. 请确保 EKM 3.0 服务器正在运行且配置正确。 2. 登录到用于 TL2000/TL4000 的 RMU GUI(需要以管理员/服务身份登录)。 3. 导航至 Configure Library(配置库)。 4. 导航至 Encryption(加密)。 5. 将 Encryption Policy(加密策略) 设置更改为 Internal Label – Selective Encryption(内部标记 – 选择性加 密)。 6. 向要使用的介质提交一项写作业(例如,快速擦除、深度擦除、或备份)。 要验证加密已被覆盖,请执行下列步骤: 1. 登录到用于 TL2000/4000 的 RMU GUI。 2. 导航至 Monitor Library(监测库),然后转到 Inventory(库存)。 3. 请单击下拉菜单选择适当的磁带盒。 4. 请核实 Comment(说明)部分显示 Not Encrypted(未加密)。 仅当所有需要的介质都已覆盖后才可以移除或卸载 EKM 3.0。Dell 建议您在 EKM 3.
EKM 3.0 如何处理新磁带库的添加或坏磁带库的更换? 在库管理型加密中,磁带库仅是一个代理。只要 EKM 3.0 能够认证驱动器上的数字签名,您就可以添加或更换 磁带库以及提供密钥。更换的磁带库将需要获得库管理型加密许可并为使用现有的 EKM 3.0 而进行配置。 加密对压缩有何影响?反之亦然。 数据是先压缩而后加密的,因为已加密数据一般是不可压缩的。因此压缩对加密毫无影响,反之亦然。 加密是否对性能有影响? 加密可能会带来轻微的性能影响,但应该不会导致备份窗口的增长。 如何请求和使用第三方证书? 在 EKM 3.0 中创建一个证书请求。将此证书请求发往证书颁发机构。证书颁发机构返回的证书可被导入 EKM 3.0 并用于保护已启用加密的设备上的数据或用于 SSL 通信。有关如何生成证书请求、导入返回的证书、以及将其 用于加密的详细信息请参阅 TKLM 文档。有关如何访问 TKLM 文档的信息,请参阅 EKM 3.0 安装介质上的 ReadThisFirst.
• 将浏览器最大化显示。 • 使用另一种支持的浏览器。有关详细信息请参阅硬件和软件要求。 问题:浏览器顶端显示“证书错误”。 说明: 您使用的是 Internet Explorer 8 兼容性视图模式。成功导入了认证证书,但是在网址栏旁边的屏幕顶部显示了证 书错误。 解决方案: 执行以下操作之一: • 请忽略此错误。它不会影响 EKM 3.0 正常工作。 • 请使用其他支持的浏览器(例如,Internet Explorer 6.X 或 Firefox)。请参阅硬件和软件要求。 问题:无法在表格中排序信息。 说明: 在管理服务器证书、备份与还原、以及凭据存储屏幕中使用表格顶部的筛选器字段不能对表格中的表项进行排 序。 解决方案: 请单击每栏的标题行以排序表项。 问题:无法输入所创建备份的说明。 说明: 您在 Windows 中使用 Firefox 创建了一个备份。您无法输入该备份的说明而使用了默认说明。 解决方案: 请使用支持的 Internet Explorer 版本。有关详细信息请参阅硬件与软件要求。 问题:EKM 3.
解决方案: 在您更改驱动器设置后,请停止并启动 EKM 3.0 服务器,更改才会生效。有关详细信息请参阅在 Windows 中启 动与停止 EKM 3.0 服务器或在 Linux 中启动与停止 EKM 3.0 服务器。 问题:在 Windows 2008 server 上完成安装 EKM 3.0 后,系统托盘中显示了一个与安装过程相关的绿色图标。 说明 系统托盘显示绿色图标。 解决方案 这是一个已知问题,不会影响 EKM 3.0 的使用及可靠性。当您退出系统后再登录,该图标即不再出现。 问题:在配置 EKM 3.0 安装时,某些字段显示“0”。 说明 在配置 EKM 3.0 安装时,某些字段显示“0”。此问题的出现是由于在安装 EKM 3.0 时您使用了安装配置文件并 且该安装配置文件为无效或者含有缺失字段。 解决方案 请确认使用有效的安装配置文件。 备注: 如果您在这些字段中手动输入,您必须确保数据与原有安装完全匹配,否则,第二个服务器将无法 用作第一个服务器的备份服务器。 问题:在创建备份时出现“软件异常”错误消息。 说明 在您创建备份时,接收到软件异常的错误消息。 解决方案 EKM 3.
安装 compat-libstdc++ 程序库 在 Linux 平台上安装 EKM 3.0 之前必须已安装 compat-libstdc++-33-3.2.3-61 或其后版本的程序库。 如果您在 Linux 上安装 EKM 3.0 时收到下列错误消息,则您必须安装 compat-libstdc++: Your operating system does not have the compat-libstdc++ packaged installed.(您 的操作系统未安装 compat-libstdc++ 软件包。) 要安装 compat-libstdc++: 1. 在终端会话中,通过发布下列命令,在 EKM 3.0 安装介质上导航至 EKMPREREQLIBS 文件夹中的 compatlibstdc++ RPM 文件: cd //EKMPREREQLIBS 2. 通过发布下列命令安装 compat-libstdc++: rpm -ivh compat-libstdc++*.
