Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

20.3. 在延迟机构中使用 volume_key

在大型组织中,使用每位系统管理员已知的单个密码并跟踪各个系统的单独密码是不切实际的,而且存在安全风险。为克服这一点,volume_key 可以使用非对称加密技术,以最大程度减少知道访问任何计算机上加密数据所需的密码的人员数量。
本节将介绍在保存加密密钥前准备准备的步骤、如何保存加密密钥、恢复对卷的访问以及设置紧急密码短语。

20.3.1. 准备保存加密密钥

为了开始保存加密密钥,需要进行一些准备。

过程 20.3. 准备

  1. 创建 X509 证书/专用对。
  2. 指定信任的可信用户,不要破坏私钥。这些用户将能够解密托管数据包。
  3. 选择将使用哪些系统解密托管数据包。在这些系统上,设置包含私钥的 NSS 数据库。
    如果没有在 NSS 数据库中创建私钥,请按照以下步骤操作:
    • 将证书和私钥存储在 PKCS#12 文件中。
    • 运行: 
      certutil -d /the/nss/directory -N
      此时,可以选择 NSS 数据库密码。每个 NSS 数据库都有不同的密码,因此如果每个用户使用单独的 NSS 数据库,指定用户无需共享单个密码。
    • 运行: 
      pk12util -d /the/nss/directory -i the-pkcs12-file
  4. 将证书分发给任何安装系统或保存在现有系统中的密钥。
  5. 对于保存的私钥,准备存储,允许按计算机和卷查找它们。例如,这可以是一个简单的目录,每个计算机包含一个子目录,或者数据库也用于其他系统管理任务。