Show Table of Contents
このページには機械翻訳が使用されている場合があります (詳細はこちら)。
19.3. 規模の大きな組織で volume_key を使用する
大規模な組織では、システム管理者の誰もが知っている単一のパスワードを使ってシステムごとに異なるパスワードを管理していくのは非現実的であるばかりでなく、セキュリティー上の危険も伴います。こうした状況に対応するため、
volume_key では非対称暗号を使用します。これにより、コンピューター上の暗号化されたデータへのアクセスに必要なパスワードを知り得る人の人数を最小限に抑えることができます。
本セクションでは、暗号キーを保存する前の準備として必要な手順や、暗号キーを保存する方法、ボリュームへのアクセスを取り戻す方法、および緊急時のパスフレーズを設定する方法について説明します。
19.3.1. 暗号キーを保存するための準備
暗号キーを保存する前に、準備しておく必要のあることがいくつかあります。
手順19.3 準備
- X509 証明書とプライベートキーのペアを作成します。
- プライベートキーを他人に漏らしたりしない信頼できるユーザーを指定します。これらのユーザーはエスクローパケットを解読できるようになります。
- エスクローパケットの解読に使用するシステムを選択します。これらのシステムでプライベートキーを含む NSS データベースのセットアップを行います。プライベートキーが NSS データベースに作成されていない場合は、次の手順に従います。
- 証明書とプライベートキーを
PKCS#12ファイルに保存します。 - 次を実行します。
certutil -d/the/nss/directory-Nこれで NSS データベースのパスワードを選択できるようになりました。各 NSS データベースには別々のパスワードを持たせることができるため、指定したユーザーがそれぞれ別々の NSS データベースを使用する場合はユーザー間で 1 つのパスワードを共有する必要はありません。 - 次を実行します。
pk12util -d/the/nss/directory-ithe-pkcs12-file
- システムをインストールしているユーザーか、または既存のシステムにキーを保存しているユーザー全員に証明書を配信します。
- 保存したプライベートキー用にマシンおよびボリュームからそのキーの検索が可能なストレージを用意します。たとえば、マシン 1 台に対して 1 つのサブディレクトリーを持つ単純なディレクトリーでも、他のシステム管理タスクにも使用されるデータベースであっても構いません。
このページには機械翻訳が使用されている場合があります (詳細はこちら)。