Dell Encryption Key Manager Version 3.0 Owner's manual

  • Hello! I am an AI chatbot trained to assist you with the Dell Encryption Key Manager Version 3.0 Owner's manual. I’ve already reviewed the document and can help you find the information you need or explain it in simple terms. Just ask your questions, and providing more details will help me assist you more effectively!
Dell Encryption Key Manager 3.0
部署指南
註、警示及警告
: 「註」表示可以幫助您更有效地使用電腦的重要資訊。
警示: 「警示」表示若沒有遵從指示,可能導致硬體損壞或資料遺失。
警告: 「警告」表示有可能導致財產損失、人身傷害甚至死亡。
本出版品中的資訊如有更改,恕不另行通知。
© 2011 Dell Inc. 保留所有權利。美國印製
未經 Dell Inc. 的書面許可,不得以任何形式進行複製這些內容。
本文所用的商標:
Dell
Dell 徽標、
Dell Precision
OptiPlex
Latitude
PowerEdge
PowerVault
PowerConnect
OpenManage
EqualLogic
Compellent
KACE
FlexAddress
Vostro
Dell Inc. 的商標。
Intel
®
Pentium
®
Xeon
®
Core
®
Celeron
®
Intel Corporation 在美國及其他國家的註冊商標。
AMD
®
AMD Opteron
AMD Phenom
AMD Sempron
Advanced Micro Devices, Inc. 的註冊商標與商標。
Microsoft
®
Windows
®
Windows Server
®
Internet Explorer
®
MS-DOS
®
Windows Vista
®
Microsoft Corporation 在美國及/或其他國家的商標或註冊商標。
Red Hat
®
Red Hat
®
Enterprise Linux
®
Red Hat, Inc. 在美國及/或其他國家的註冊商標。
Novell
®
SUSE
®
Novell Inc. 在美國及其他國家的註冊商標。
Oracle
®
Oracle Corporation /或其關係企業的註冊商標。
Citrix
®
Xen
®
XenServer
®
XenMotion
®
Citrix Systems, Inc. 在美國及/
其他國家的註冊商標或商標。
VMware
®
Virtual SMP
®
vMotion
®
vCenter
®
vSphere
®
VMWare, Inc. 在美國或其他國家
的註冊商標或商標。
IBM
®
International Business Machines Corporation 的註冊商標。
本出版品中使用的其他商標及商品名稱,係指擁有這些商標及商品名稱的公司或其製造的產品。Dell Inc. 對本公司之外的商
標和產品名稱不擁有任何所有權。
2011 12
Rev. A00
目錄
註、警示及警告...........................................................................................................................2
1: 概觀........................................................................................................................................5
硬體與軟體需求......................................................................................................................................................5
伺服器硬體需求...............................................................................................................................................5
瀏覽器需求.......................................................................................................................................................6
作業系統需求...................................................................................................................................................6
2: 安裝 EKM 3.0.........................................................................................................................7
Microsoft Windows 中準備安裝 EKM 3.0..........................................................................................................7
Red Hat Enterprise Linux 中準備安裝 EKM 3.0..................................................................................................7
SUSE Linux Enterprise Server 中準備安裝 EKM 3.0..........................................................................................8
執行 EKM 3.0 安裝程序...........................................................................................................................................8
3: 設定主要及次要 EKM 3.0 伺服器..................................................................................13
在主要伺服器上安裝 EKM 3.0..............................................................................................................................13
在主要伺服器上使用 EKM 3.0..............................................................................................................................13
在次要伺服器上安裝 EKM 3.0..............................................................................................................................13
在次要伺服器上使用 EKM 3.0..............................................................................................................................13
從主要及次要伺服器解除安裝 EKM 3.0..............................................................................................................14
4: 執行備份以及從備份還原..............................................................................................15
建立金鑰庫的備份................................................................................................................................................15
從備份還原............................................................................................................................................................15
5: 使用 EKM 3.0.......................................................................................................................17
登入 Encryption Key Manager 3.0 入口網站.........................................................................................................17
建立主要金鑰庫....................................................................................................................................................17
EKM 3.0 伺服器中啟用防火牆.........................................................................................................................18
設定 EKM 3.0 接受向 EKM 3.0 索取金鑰的裝置..................................................................................................18
建立裝置群組........................................................................................................................................................19
建立裝置群組的金鑰群組....................................................................................................................................19
新增裝置至裝置群組............................................................................................................................................20
新增金鑰至金鑰群組以及刪除金鑰群組中的金鑰...........................................................................................20
刪除金鑰群組........................................................................................................................................................21
驗證伺服器憑證....................................................................................................................................................22
檢視伺服器憑證詳細資料.............................................................................................................................22
登入 WebSphere 伺服器.......................................................................................................................................22
Windows 中啟動與停止 EKM 3.0 伺服器 .......................................................................................................23
Linux 中啟動及停止 EKM 3.0 伺服器...............................................................................................................23
6: 遷移與合併.........................................................................................................................25
EKM 3.0 安裝過程中遷移 Encryption Key Manager (EKM) 2.X ..................................................................27
EKM 2.X EKM 3.0 遷移程序........................................................................................................................27
在安裝 EKM 3.0 之後將 Encryption Key Manager (EKM) 2.X 合併至 EKM 3.0....................................................29
合併工具先決條件.........................................................................................................................................31
EKM 2.X EKM 3.0 合併程序........................................................................................................................31
確認 EKM 2.X EKM 3.0 合併或遷移...........................................................................................................34
合併失敗..........................................................................................................................................................35
將額外的 EKM 2.X 版合併至 EKM 3.0............................................................................................................35
刪除 ekmcert 憑證、金鑰及金鑰群組以及重新命名裝置..........................................................................37
7: 解除安裝 EKM 3.0..............................................................................................................43
Windows 中解除安裝 EKM 3.0.........................................................................................................................43
Linux 中解除安裝 EKM 3.0................................................................................................................................43
8: 故障排除.............................................................................................................................45
Dell 公司聯絡....................................................................................................................................................45
系統先決條件檢查................................................................................................................................................47
錯誤代碼................................................................................................................................................................49
Windows 參考檔案................................................................................................................................................51
Linux 參考檔案.......................................................................................................................................................53
手動解除安裝 EKM 3.0..........................................................................................................................................55
Windows 中手動解除安裝 EKM 3.0..........................................................................................................55
Linux 中手動解除安裝 EKM 3.0.................................................................................................................56
重新安裝 EKM 3.0..................................................................................................................................................57
常見問題................................................................................................................................................................57
已知問題與解決方案............................................................................................................................................59
安裝 compat-libstdc++ 程式庫..............................................................................................................................62
1
概觀
Dell Encryption Key Manager (EKM) 3.0 是加密公用程式,可為 Dell 磁帶自動化解決方案 (包括 ML TL
PowerVault 系列) 管理加密金鑰,以保護儲存於 LTO 磁帶卡匣的資料。EKM 3.0 可管理磁帶加密金鑰的生命週
期,包括產生、發佈、管理與刪除。
本指南說明如何安裝、設定及執行 Dell Encryption Key Manager 3.0 (EKM 3.0) 的基本作業。Dell 建議在安裝 EKM
3.0 前先閱讀本文件。
本指南包含下列資訊:
EKM 3.0 的硬體與軟體需求
Windows Linux 平台上安裝與解除安裝 EKM 3.0
設定 EKM 3.0
EKM 3.0 的基本作業
EKM 3.0 安裝時遷移 EKM 2.X 以及將 EKM 2.X 合併至已設定的 EKM 3.0 安裝
常見問題、故障排除資訊、常見錯誤訊息及支援聯絡資訊
: EKM 3.0 IBM Tivoli Key Lifecycle Manager (TKLM) V2 FixPack 2 為基礎,但已經過自訂,選用與 TKLM
帶相關的部分功能以支援
Dell 磁帶庫環境。
有關本指南未涵蓋的 EKM 3.0 使用資訊,請參閱 TKLM 文件,包括:
IBM Tivoli Key Manager 2.0
快速入門指南
IBM Tivoli Key Manager 2.0
安裝及設定指南
IBM Tivoli Key Manager 2.0
產品概觀/情況指南
有關如何存取 TKLM 文件的資訊,請參閱 EKM 3.0 安裝媒體中 ReadThisFirst.txt 檔案內的「文件與參考資
料」章節。
IBM TKLM 文件中的部分畫面與功能不適用於 Dell EKM 3.0EKM 3.0 僅包含支援 Dell PowerVault 磁帶庫所
需的部分功能。
: 有關 Dell EKM 3.0 的建議用法與設定,請參閱 EKM 3.0 安裝媒體中 ReadThisFirst.txt 檔案內的「最佳實
例」章節。
: 有關功能強化及錯誤修正等的最新資訊,請參閱「版本注釋」,網址:support.dell.com/manuals。請瀏
覽至 軟體 系統管理 Dell Encryption Key Manager
硬體與軟體需求
伺服器硬體需求
Key Management Server 的最低硬體需求 (用於安裝 EKM 3.0 的硬體) 為:
CPU2.3 GHz
記憶體:4 GB ECC 記憶體
可用磁碟儲存空間 (用於安裝 EKM 3.0 及一般的金鑰儲存)5 GB
5
: 如果您用於安裝 EKM 3.0 的系統擁有 24 個或以上的 CPU,請在完成安裝之後,參閱 EKM 3.0 版本注釋
以瞭解有關如何更新 EKM 3.0 的詳細內容。若要存取 EKM 3.0 版本注釋,請前往 support.dell.com/manuals
然後瀏覽至 軟體 系統管理 Dell Encryption Key Manager
瀏覽器需求
EKM 3.0 支援下列瀏覽器:
Microsoft Internet Explorer 7.0
Microsoft Internet Explorer 8.0 版,相容性檢視模式
Firefox 3.0.x (EKM 3.0 不支援 Firefox 3.5 以上版本)
: 必須啟用 JavaScript 才能使 EKM 3.0 的所有功能正常運作。有關啟用 JavaScript 的說明,請參閱您的瀏
覽器文件。
作業系統需求
EKM 3.0 支援下列作業系統:
Windows Server 2003 R2 Service Pack 232 64 位元,標準版與企業版
Windows Server 2008 Service Pack 232 64 位元,標準版與企業版
Windows Server 2008 R2,標準版與企業版
Red Hat Enterprise Linux (RHEL) 4.XAdvanced Server (AS)32 位元
Red Hat Enterprise Linux (RHEL) 5.X32 64 位元
SUSE Linux Enterprise Server (SLES) 10 Service Pack 464 位元
SUSE Linux Enterprise Server (SLES) 11 Service Pack 164 位元
: EKM 3.0 不支援 VMware Microsoft Hyper-V Server
: 有關設定主要/次要伺服器組態的需求與限制的相關資訊,請參閱設定主要與次要 EKM 3.0 伺服器
: 在安裝之前,EKM 3.0 會執行系統先決條件檢查。如需詳細資訊,請參閱系統先決條件檢查
6
2
安裝 EKM 3.0
本章說明如何從 Windows Linux 安裝 EKM 3.0
: 如果您目前使用 EKM 2.X,除非您遇到了問題,否則 Dell 建議您維持現有的基礎架構 (受到 EKM 2.X
護的伺服器、作業系統、磁帶庫等)
EKM 3.0 不支援使用虛擬機器做為主機。如果您正在使用虛擬機器做為 EKM 2.X 主機,您必須繼續使用
EKM 2.X 或遷移至實體伺服器。
: 如果您計劃將 EKM 2.X 遷移至 EKM 3.0,在開始安裝 EKM 3.0 之前,請參閱 EKM 3.0 安裝過程中遷移
Encryption Key Manager (EKM) 2.X )
: Dell 建議將 EKM 3.0 安裝於未提供任何其他服務的專屬實體伺服器。如此可確保 EKM 3.0 的性能與反應
時間不會受到執行於同一實體伺服器上的其他應用程式的影響。
警示: EKM 3.0 僅支援從 EKM 3.0 媒體進行安裝。請勿將 EKM 3.0 媒體的內容複製至您的硬碟機。
: 執行本章的程序需具備系統管理員層級的知識。
Microsoft Windows 中準備安裝 EKM 3.0
本章說明在 Microsoft Windows 中安裝 Dell Encryption Key Manager 3.0 之前的步驟。
: 安裝的程序約需 45 分鐘。在解除安裝程序完成之前,請勿關閉系統的電源。
: 您必須登入為管理員才能安裝 EKM 3.0
: 若您不希望使用複雜的資料庫密碼,在放入 EKM 3.0 安裝媒體之前,請停用作業系統中的密碼必須符
合複雜性要求
設定值。
1. EKM 3.0 for Microsoft Windows 安裝光碟放入您要安裝 EKM 3.0 的系統。
2. 若您的系統已設定為放入 DVD 時會自動執行,請等待安裝程式出現。若您的系統並未設定自動執行,請
瀏覽至 DVD 光碟機,然後按兩下光碟機或 DVD 光碟機根目錄中的 install.exe
此時會顯示 EKM 3.0 安裝精靈歡迎畫面。
: 若您要透過網路共用安裝 EKM 3.0,請勿使用此種格式的路徑:\\<
ip_address
>
\EKM_3.0_share
。反之,
您應將共用對映至磁碟機代號。在「Windows 檔案總管」中,使用 Tools (工具) Map Network Drive (
線網路磁碟機) 以建立安裝路徑 <
shared_drive_letter
>:\<
EKM_3.0_media
>
繼續執行 EKM 3.0 安裝程序
Red Hat Enterprise Linux 中準備安裝 EKM 3.0
本章說明在 Red Hat Enterprise Linux 中安裝 Dell Encryption Key Manager 3.0 之前的步驟。
: 安裝的程序約需 45 分鐘。在解除安裝程序完成之前,請勿關閉系統的電源。
若要準備安裝 EKM 3.0,請執行下列步驟:
7
1. 將適用於您的作業系統的 EKM 3.0 安裝光碟放入您要安裝 EKM 3.0 的系統。
2. 若您的系統已設定為放入 DVD 時會自動執行,請等待安裝程式出現。若您的系統並未設定自動執行,請
root 身份開啟終端機並瀏覽至 EKM 3.0 DVD 所掛載的資料夾,輸入 ./autorun.sh 然後按 Enter 鍵。
: 若已安裝並啟用 SELinux,開始安裝前請予以停用。請參閱「系統先決條件檢查」
: Red Hat 作業系統通常會將 noexec 位元設定為停用掛載檔案系統上任何二進位檔的執行。如果掛載的
DVD ROM noexec 位元設為停用EKM 3.0 安裝程式將無法從 DVD 啟動。若要從 DVD 啟動 EKM 3.0 安裝
程式,請執行下列步驟:
a) root 身份開啟終端機工作階段。
b) 卸載 EKM 3.0 DVD
c) EKM 3.0 DVD 重新掛載為唯讀,並使用下列+指令停用 noexec
mkdir /media/dellmedia mount /dev/<EKM 3.0 device><space>/media/dellmedia
cd /media/dellmedia
d) 若要執行安裝程式,請輸入 ./autorun.sh and press Enter
此時會顯示 EKM 3.0 安裝精靈歡迎畫面。
繼續執行 EKM 3.0 安裝程序
SUSE Linux Enterprise Server 中準備安裝 EKM 3.0
本章說明在 SUSE Linux Enterprise Server (SLES) 中安裝 Dell Encryption Key Manager 3.0 之前的步驟。
: 安裝的程序約需 45 分鐘。在解除安裝程序完成之前,請勿關閉系統的電源。
若要準備安裝 EKM 3.0,請執行下列步驟:
1. 將適用於您的作業系統的 EKM 3.0 安裝光碟放入您要安裝 EKM 3.0 的機器。
2. 若您的系統已設定為放入 DVD 時會自動執行,請等待安裝程式出現。若您的系統並未設定自動執行,請
root 身份開啟終端機並瀏覽至 EKM 3.0 DVD 所掛載的資料夾,輸入 ./autorun.sh 然後按 Enter 鍵。
此時會顯示 EKM 3.0 安裝精靈歡迎畫面。
: 若已安裝並啟用 SELinux,開始安裝前請予以停用。
3. 打開連接埠 50000。若要這麼做,請執行下列步驟:
a) 瀏覽至電腦位置 檔案系統
b)
按兩下其他
c)
按兩下服務
d) 服務檔案中,將 50000/tcp 50000/udp 變更為 50100/tcp 50100/udp
e)
按一下儲存
繼續執行 EKM 3.0 安裝程序
執行 EKM 3.0 安裝程序
本章說明如何安裝 EKM 3.0
: 安裝的程序約需 45 分鐘。在解除安裝程序完成之前,請勿關閉系統的電源。
: 如果您用來安裝 EKM 3.0 的伺服器將成為次要 EKM 3.0 伺服器,其密碼必須與您在主要 EKM 3.0 伺服器
安裝中所使用的密碼相同。
1. EKM 3.0 安裝精靈的歡迎畫面中,按一下下一步
將顯示授權合約畫面。
2.
選擇選項按鈕以接受授權合約的條款。
8
3.
按一下下一步
: EKM 3.0 安裝程式將執行系統先決條件檢查。安裝程式將確認系統是否符合最低需求並針對您的系統設
EKM 3.0
若有顯示任何錯誤訊息,請參閱系統先決條件檢查
出現重複使用安裝設定檔畫面。
4.
如果您是第一次安裝 EKM 3.0
,請不要勾選重複使用安裝設定檔核取方塊。
如果您是重新安裝 EKM 3.0 或在次要伺服器上安裝 EKM 3.0
並且要使用您先前安裝時儲存的安裝設定檔,
請執行下列步驟:
a) 選取重複使用 EKM 3.0 安裝設定檔核取方塊。選取此核取方塊以啟用檔案位置欄位。
b) 按一下選擇並瀏覽至您先前設定及安裝 EKM 3.0 時所建立的安裝設定檔 (例如,Windows 中的 E:
\EKM_config.txt Linux 中的 /tmp/ekm_config in Linux)
您可以使用卸除式磁碟機或網路共用,從您先前儲存的位置傳送安裝設定檔。
: 安裝設定檔會使用您先前安裝時相同的資訊,在安裝 GUI 中填入除了密碼以外的所有輸入欄位。如果
使用安裝設定檔,您必須再次輸入密碼。
: 如果您是在次要伺服器上安裝 EKM 3.0,您必須重複使用主要 EKM 3.0 伺服器的安裝設定檔,以確保兩
者的輸入參數是相同的。
5.
按一下下一步
出現資料庫畫面。在此畫面中,您將建立 EKM DB2 資料庫管理員帳戶。
: 此畫面與接下來的兩個畫面將建立不同的帳戶。請記下您建立的所有帳戶的使用者名稱與密碼。
6. 資料庫位置欄位中會有預設的設定位置。Dell 建議您保留此預設的位置,安裝程式將在此位置安裝 EKM
3.0 DB2 軟體。
7.
資料庫使用者名稱欄位中,輸入符合下列條件的使用者名稱:
僅包含小寫英文字母 (az)、數字 (09) 及底線 (_)
最多 8 個字元
不得以「ibm」、「sys」、「sql」或數字為字首
不得以底線 (_) 為字首或字尾
不得使用 DB2 保留字 (例如,「users」、「admins」、「guests」、「public」及「local) SQL
保留字。
不得使用系統中現有的使用者名稱
這是 EKM 3.0 DB2 資料庫管理員帳戶的 IDEKM 3.0 將使用此名稱在您的系統中建立本機使用者帳戶。
8. 資料庫密碼欄位中,輸入 EKM DB2 資料庫管理員帳戶的密碼。在確認資料庫密碼欄位中,再次輸入密
碼。
: 所有密碼均有區分大小寫。
: Dell 建議在所有 EKM 3.0 使用者帳戶中使用強式密碼。
9. 資料庫資料磁帶機欄位中,輸入資料庫磁帶機位置,EKM 3.0 DB2 資料將儲存於此。在 Windows 中,輸
入磁帶機代號及冒號 (:)。在 Linux 中,輸入資料夾位置,例如 /home/ekmdb2
10. 資料庫名稱欄位中,輸入 EKM 3.0 DB2 資料庫的名稱。
11. 資料庫連接埠欄位的預設值在 Windows 50010,在 Linux 50000
EKM 3.0 使用的以及在 EKM 3.0 安裝程序中設定的所有連接埠,都會預先設定建議的連接埠位址。Dell 強烈
建議使用這些建議的連接埠位址。如果您計劃使用次要伺服器並且在安裝 EKM 3.0 時變更連接埠位址,則
主要與次要 EKM 3.0 伺服器上的連接埠位址必須相同。
: 安裝過程中使用的所有連接埠都必須打開以便 EKM 3.0。請確認這些連接埠是否已經打開。
若要在 Windows 中檢查連接埠是否已開啟,
9
a. 請瀏覽至:<
root
>:\Windows\System32\drivers\etc\
b. 開啟 Services 文字檔。
c. 檢閱檔案並確認資料庫連接埠欄位中您要使用的連接埠號碼均可供使用。如果連接埠是可用的,將
不會列出。
若要在 Linux 中檢查連接埠是否已開啟,
a. 開啟 /etc/services 檔案。
b. 檢閱檔案並確認資料庫連接埠欄位中您要使用的連接埠號碼均可供使用。如果連接埠是可用的,將
不會列出。
12.
按一下下一步
出現 EKM 管理員畫面。您可以在此畫面中建立 EKM 3.0 管理員 (superuser) 帳戶。此帳戶用於建立新的使用
者及新的群組,並指派他們的權限。
13. 管理員使用者名稱欄位中,輸入 EKM 3.0 管理員使用者名稱 (可以是 tklmadmin 以外的任何名稱)
14. 密碼欄位中,輸入 EKM 3.0 管理員帳戶的密碼。在確認密碼欄位中再次輸入密碼。
15.
按一下下一步
出現加密管理員畫面。您在此畫面中建立 EKM 3.0 Encryption Manager (TKLMAdmin) 帳戶。這是標準的使用
中帳戶,用於日常的金鑰管理作業。TKLMAdmin 使用者名稱欄位會預先填入 tklmadmin。這是 EKM
Encryption Manager 必要的名稱。
16. TKLMAdmin 密碼欄位中輸入 EKM 3.0 Encryption Manager 帳戶的密碼。在 TKLMAdmin 確認密碼欄位中再
次輸入密碼。
17. Windows Linux 中,EKM 連接埠 的預設值為 16310,這是建議的連接埠。請按一下下一步
: 如果提供的連接埠已有其他服務使用,EKM 3.0 安裝程式將提示您選取其他連接埠。使用 netstat 指令
以判斷所使用的連接埠,然後選取可用的連接埠。記下連接埠號碼,您將使用此連接埠以存取 EKM 3.0
口網站。
出現遷移畫面。此畫面用於從 EKM 2.X 遷移至 EKM 3.0
如果您有想要遷移至 EKM 3.0 EKM 2.X 版,您必須在此時進行遷移。請參閱「在 EKM 3.0 安裝過程中遷移
Encryption Key Manager (EKM) 2.X 版」
: 您只能遷移曾用於建立金鑰的 EKM 2.X 版本。
如果您沒有要遷移至 EKM 3.0 EKM 2.X 版,
a) 請保留 EKM 2.X 遷移至 EKM 3.0 核取方塊未勾選的狀態,然後按一下下一步
出現驗證快顯視窗。
b) 如果您選擇不遷移至 EKM 2.X 版,在快顯視窗中按一下,確定您不要遷移 EKM 2.X 版。
出現設定摘要畫面。
18.
設定摘要畫面中,選取儲存設定檔核取方塊。
檔案目錄欄位變成可用。
: Dell 建議您儲存安裝設定檔,以便在需要進行災難復原時,可重新安裝 EKM 3.0。建立次要 EKM 3.0
服器時,需要已儲存的安裝設定檔。
: Dell 建議您使用卸除式磁碟機做為儲存位置。若使用卸除式磁碟機,您必須在按一下一步之前插入磁
碟機。在安裝完成之前,卸除式磁碟機必須保持插入。您也可以選擇將此檔案儲存於本機磁碟機,然後
再將此檔案複製至卸除式磁碟機。
: 您在此欄位中輸入的路徑必須包含檔案名稱,請勿只輸入資料夾名稱。此檔案路徑直到資料夾名稱為
止都必須實際存在,但用於安裝設定檔的檔案名稱必須是不存在的。
19.
檔案目錄欄位中,輸入您要建立的安裝設定檔的位置與檔案名稱,或按一下選擇並選取位置,然後輸入
檔案名稱。
這是您要用於儲存安裝設定檔的位置與檔案名稱。
10
EKM 3.0 會在完成安裝 EKM 3.0 時儲存安裝設定檔。如果您使用主要/次要伺服器設定,在安裝次要 EKM 3.0
伺服器時,您必須使用主要 EKM 3.0 伺服器的安裝設定檔,以便在安裝時自動輸入各個欄位。
如果您在相同的伺服器上重新安裝並希望使用相同的欄位,您可以選擇使用安裝設定檔,以便在安裝時自
動填入各個輸入欄位。
: Dell 建議您擷取或列印設定摘要畫面以供後續參考。
20.
設定摘要畫面中按一下下一步
出現安裝摘要畫面。
21.
檢視安裝摘要畫面中的資訊。
22.
按一下安裝
: 軟體安裝時間約需 45 分鐘。在解除安裝程序完成之前,請勿關閉系統的電源。
: 如果您計劃安裝次要 EKM 3.0 伺服器,在主要伺服器尚未完成安裝 EKM 3.0 之前,請勿安裝次要 EKM
3.0
23.
完成安裝後,按一下完成
: 如果您將 EKM 2.X 版遷移至新安裝的 EKM 3.0,那麼 Dell 強烈建議您建立 EKM 3.0 的備份,以確保新的
金鑰不會遺失。請參閱建立金鑰庫的備份
: 如果您重新安裝 EKM 3.0,且因為解除安裝不完整而導致安裝失敗,請手動執行解除安裝。請參閱
Windows 中手動解除安裝 EKM 3.0
11
12
3
設定主要及次要 EKM 3.0 伺服器
本章說明如何在主要及次要 EKM 3.0 伺服器上安裝、使用及解除安裝 EKM 3.0
警示: 為了避免因 EKM 3.0 伺服器故障而導致資料流失,Dell 建議使用主要及次要 EKM 3.0 伺服器設定。此
種組態可在主要 EKM 3.0 伺服器停機或無法使用時提供備援。
: 您不能同時使用主要 EKM 3.0 及次要 EKM 2.X 伺服器,反之亦同。
在主要伺服器上安裝 EKM 3.0
在主要伺服器上安裝 EKM 3.0 的過程中,您必須選取選項以儲存安裝設定檔。當主要伺服器的 EKM 3.0 安裝完
成時,將已儲存的安裝設定檔複製至卸除式磁碟機或伺服器共用。請參閱安裝 EKM 3.0
在主要伺服器上使用 EKM 3.0
主要 EKM 3.0 伺服器是您用於執行所有加密金鑰管理工作的伺服器。依據預設,主要 EKM 3.0 伺服器設定為
動接受所有新裝置的通訊要求。如需有關如何檢視或設定此設定值的詳細資訊,請參閱設定 EKM 3.0 接受向
EKM 3.0 索取金鑰的裝置Dell 建議定期備份主要 EKM 3.0 伺服器。請參閱執行備份以及從備份還原
若因任何因素,必須更換 EKM 3.0 伺服器,請使用原始主要 EKM 3.0 安裝的安裝設定檔,將 EKM 3.0 安裝於新的
實體伺服器。以最新的備份還原 EKM 3.0 伺服器,然後更新所有裝置與 EKM 3.0 伺服器進行通訊以提出金鑰要
求。有關如何變更 EKM 3.0 伺服器用於金鑰要求的 IP 位址的詳細資訊,請參閱您的磁帶庫的使用手冊。若要找
到磁帶庫使用手冊,請參閱 EKM 3.0 安裝媒體中 ReadThisFirst.txt 檔案內的「文件與參考資料」章節。
在次要伺服器上安裝 EKM 3.0
: 在主要伺服器的 EKM 3.0 安裝完成之前,請勿在次要伺服器上安裝 EKM 3.0
用於安裝 EKM 3.0 的次要伺服器的作業系統版本必須與主要 EKM 3.0 伺服器的作業系統版本相同。EKM 3.0 不支
援主要與次要伺服器混用不同的作業系統。
使用安裝 EKM 3.0 的程序,在次要伺服器上安裝 EKM 3.0。請使用您在將主要伺服器上安裝 EKM 3.0 時儲存的安
裝設定檔。您必須手動輸入您在主要伺服器上安裝 EKM 3.0 時使用的相同密碼。
在次要伺服器上使用 EKM 3.0
次要 EKM 3.0 伺服器用於在主要 EKM 3.0 伺服器停機或無法使用時提供備援。
定期使用在 EKM 3.0 伺服器上建立的備份,在次要 EKM 3.0 伺服器上執行還原作業,保持主要與次要 EKM 3.0
服器同步。請參閱執行備份以及從備份還原
依據預設,次要 EKM 3.0 伺服器同樣設定為自動接受所有新裝置的通訊要求Dell 建議在每次進行還原作業之
後,將此設定值變更為僅接受手動新增的裝置進行通訊。如此可避免次要 EKM 3.0 伺服器將金鑰提供給尚未新
增至主要 EKM 3.0 伺服器的新裝置。有關如何檢視或設定此設定值的詳細資訊,請參閱設定 EKM 3.0 接受向
EKM 3.0 索取金鑰的裝置
若主要 EKM 3.0 伺服器暫時停機或無法使用,您必須使用在主要 EKM 3.0 伺服器上建立的備份,在次要 EKM 3.0
伺服器上執行還原作業。
13
: 當主要 EKM 3.0 伺服器停機或無法使用,而次要 EKM 3.0 伺服器用於支援來自裝置的金鑰要求時,Dell
建議您不要在次要 EKM 3.0 伺服器上執行任何管理或操作工作。
從主要及次要伺服器解除安裝 EKM 3.0
有關從主要及次要伺服器解除安裝 EKM 3.0 的程序,請參閱解除安裝 EKM 3.0
14
4
執行備份以及從備份還原
您可以隨時執行備份。執行備份會建立內含金鑰庫 (包含裝置與金鑰) 的備份檔案。
備份不包含裝置群組、使用者或使用者群組。DB2 資料庫則包含上述內容。
您可以隨時從備份還原。
: 若未備份金鑰,將無法提供這些金鑰。若無法提供金鑰,加密備份工作將會失敗。
建立金鑰庫的備份
本章說明如何備份金鑰庫。
1. 登入 EKM 3.0 入口網站。請參閱登入 Encryption Key Manager 3.0 入口網站
隨即顯示歡迎使用 Dell Encryption Key Manager 畫面。
2. 在導覽窗格中瀏覽至 Dell Encryption Key Manager 備份與還原
出現備份與還原畫面。
3. 按一下備份儲存位置欄位旁的瀏覽並瀏覽至您要用於儲存備份檔案的資料夾 (例如,Windows 中的 C:
\EKM_Backup Linux 中的 /root/EKM_Backup)
: 資料夾必須在開始備份之前就已存在,否則備份將會失敗。如果您要使用新的資料夾,請在建立備份
之前,先建立資料夾。
4.
瀏覽目錄快顯視窗中按一下選取以返回備份與還原畫面。
5.
按一下建立備份
出現建立備份畫面。
6.
建立密碼欄位中,建立備份的密碼。此密碼不得少於六個字元。
: Dell 建議在所有 EKM 3.0 相關的活動中使用強式密碼。
7.
再次輸入密碼欄位中,再次輸入密碼。
8. (選擇性) 備份說明欄位中輸入備份檔案的說明。若未輸入說明,將會在備份檔案中加入預設的說明。
: 在部分瀏覽器版本中,預設的說明欄位是不可編輯的。如需詳細資訊,請參閱已知問題與解決方案
9.
按一下建立備份
隨即顯示確認快顯示窗。
10.
在確認快顯視窗中,按一下確定,備份程序即開始執行。
: 備份程序進行中,請勿使用系統。如果 EKM 3.0 的內容長時間處於灰色狀態,請按一下瀏覽器的重新
整理按鈕。
11.
建立備份檔案之後,將會顯示資訊快顯視窗,確認已成功建立檔案。在快顯視窗中,按一下確定。您建立
的備份檔案將會顯示在備份與還原畫面的表格中。
12.
按一下畫面最下方的返回首頁按鈕。
隨即顯示歡迎使用 Dell Encryption Key Manager 畫面。
從備份還原
您可以從備份還原。您可以使用備份建立次要的金鑰伺服器,以及在災難復原狀況中重建 EKM 3.0 伺服器。
15
警示: 從備份執行還原時,只能使用在同一系統中建立的備份,或在使用相同的安裝設定檔安裝的其他
EKM 3.0 伺服器上建立的備份。您不可以從使用不同的安裝內容的不同系統所建立的備份進行還原。
1. 登入 EKM 3.0 入口網站。請參閱登入 Encryption Key Manager 3.0 入口網站
隨即顯示歡迎使用 Dell Encryption Key Manager 畫面。
2. 在導覽窗格中瀏覽至 Dell Encryption Key Manager 備份與還原
出現備份與還原畫面。
3.
選取要還原的備份。
4.
按一下表格最上方的從備份還原
出現從備份還原子視窗。
5.
輸入備份檔案的密碼。
6.
按一下還原備份
隨即顯示確認快顯示窗。
警示: 在建立備份之後建立的任何金鑰將會遺失,並且將無法存取以該金鑰加密的任何資料。任何方法都
無法回復已遺失或刪除的金鑰。
7.
在確認快顯視窗中,按一下確定
8. 從備份還原之後,您必須手動停止再啟動 EKM 3.0 伺服器。請參閱 Windows 中啟動與停止 EKM 3.0 伺服
Linux 中啟動與停止 EKM 3.0 伺服器
16
5
使用 EKM 3.0
本章說明部分 EKM 3.0 基本操作。
: EKM 3.0 IBM Tivoli Key Lifecycle Manager (TKLM) V2 FixPack 2 為基礎,但已經過自訂,選用與 TKLM
帶相關的部分功能以支援 Dell 磁帶庫環境。
有關本指南未涵蓋的 EKM 3.0 使用資訊,請參閱 TKLM 文件,包括:
IBM Tivoli Key Manager 2.0
快速入門指南
IBM Tivoli Key Manager 2.0
安裝及設定指南
IBM Tivoli Key Manager 2.0
產品概觀/情況指南
有關如何存取 TKLM 文件的資訊,請參閱 EKM 3.0 安裝媒體中 ReadThisFirst.txt 檔案內的「文件與參考資
料」章節。
IBM TKLM 文件中的部分畫面與功能不適用於 Dell EKM 3.0EKM 3.0 僅包含支援 Dell PowerVault 磁帶庫所
需的部分功能。
登入 Encryption Key Manager 3.0 入口網站
若要登入 Encryption Key Manager 3.0 入口網站,請執行下列步驟:
1. 打開瀏覽器並輸入下列網址以開啟 EKM 3.0 入口網站:
http://<
EKM 3.0_server_IP_address
>:<
EKM_3.0_port_number
>
: 指定的連接埠號碼是您安裝 EKM 3.0 時所提供的。預設為 16310
如果您不知道連接埠號碼,請參閱下列項目:
Windows 請參閱下列檔案中的 WC_defaulthost 屬性:<
root
>:\Dell\EKM\profiles\TIPProfile\properties
\portdef.props
Linux 請參閱下列檔案中的 WC_defaulthost 屬性:/opt/dell/ekm/profiles/TIPProfile/properties/
portdef.props
: 如果顯示錯誤訊息表示找不到該頁面,EKM 3.0 服務可能並未執行。請參閱「在 Windows 中啟動與停
EKM 3.0 伺服器」「在 Linux 中啟動與停止 EKM 3.0 伺服器」
隨即顯示 EKM 3.0 登入視窗。
2. 使用安裝 EKM 3.0 時提供的 EKM 3.0 Encryption Manager 使用者名稱 (tklmadmin) EKM 3.0 Encryption
Manager 密碼登入 EKM 3.0
隨即顯示歡迎使用 Dell Encryption Key Manager 畫面。
建立主要金鑰庫
本章說明如何建立建立主要金鑰庫。您第一次登入 EKM 3.0 時,必須建立主要金鑰庫。
: 若您在 EKM 3.0 安裝過程中有遷移 EKM 2.X 主要金鑰庫,則金鑰庫已經建立,不適用此程序。
17
: 如果您未來需要建立額外的金鑰及/或金鑰群組,請參閱「建立裝置群組的金鑰群組」
若要建立主要金鑰庫,請執行下列步驟。
1. 歡迎使用 Dell Encryption Key Manager 畫面中,按一下按一下這裡以建立主要金鑰庫
出現金鑰庫畫面。
2.
保留金鑰庫類型金鑰庫路徑金鑰庫名稱的預設值。
預設值為:金鑰庫類型JCEKS金鑰庫名稱defaultKeyStore金鑰庫路徑 Windows 為:<
root
>:\Dell
\EKM\products\tklm\keystore金鑰庫路徑 Linux 為:/opt/dell/ekm/products/tklm/keystore
3.
密碼欄位中,建立預設金鑰庫的密碼。此密碼不得少於六個字元。
4.
再次輸入密碼欄位中,再次輸入密碼。
5.
按一下確定
金鑰庫畫面會確認金鑰庫已成功建立。
6. 建立金鑰庫的備份。請參閱執行備份以及從備份還原
EKM 3.0 伺服器中啟用防火牆
: 有關如何設定防火牆的說明,請參閱作業系統的文件。
EKM 3.0 透過網路與磁帶庫進行通訊。若在安裝 EKM 3.0 的系統上啟用了防火牆,而且需要的連接埠未開啟,
EKM 3.0 與磁帶庫之間的通訊將會失敗。如果您必須在安裝 EKM 3.0 的系統上啟用防火牆,請執行下列步驟以啟
EKM 3.0 與磁帶庫之間的通訊:
: 這些是 EKM 3.0 所使用的預設連接埠。如果您的磁帶庫設定為使用不同的連接埠,請確定在防火牆設
定及 EKM 3.0 的設定中使用同樣的連接埠號碼。
: 如果您使用主要/次要 EKM 3.0 伺服器組態,請為次要伺服器重複此程序。
1.
開啟下列對應各通訊協定的連接埠:
TCP3801
SSL443
2. 如果您的防火牆設定為僅允許特定 IP 位址及/或子網路遮罩與上述連接埠進行通訊,請確定磁帶庫的 IP
址及/或子網路遮罩包含在允許的 IP 位址及/或子網路遮罩列表中。
若要存取磁帶庫網路設定請登入磁帶庫遠端管理單元 (RMU) 並找到網路設定。如需詳細資訊請參閱磁帶庫
使用手冊。若要找到磁帶庫使用手冊,請參閱 EKM 3.0 安裝媒體中 ReadThisFirst.txt 檔案內的「文件與參考
資料」章節。
3. 如果未來您要變更 EKM 3.0 與磁帶庫之間的通訊連接埠設定,請確定同時變更磁帶庫、EKM 3.0 及安裝
EKM 3.0 的系統上的防火牆的連接埠。
設定 EKM 3.0 接受向 EKM 3.0 索取金鑰的裝置
本章說明如何設定 EKM 3.0 的行為以處理嘗試連接至 EKM 3.0 以索取金鑰的裝置。有關如何連接至 EKM 3.0 索取
金鑰的詳細資訊,請參閱裝置的使用手冊。
1. 登入 EKM 3.0 入口網站。請參閱登入 Encryption Key Manager 3.0 入口網站
隨即顯示歡迎使用 Dell Encryption Key Manager 畫面。
2. 在導覽窗格中瀏覽至 Dell Encryption Key Manager 金鑰與裝置管理
隨即顯示金鑰與裝置管理畫面。
3. 管理金鑰與裝置下拉式選單中,選取 LTO,然後按一下開始
18
: 有關這些設定值的詳細資訊,請參閱 TKLM 文件。有關如何存取 TKLM 文件的資訊,請參閱 EKM 3.0
裝媒體中 ReadThisFirst.txt 檔案內的「文件與參考資料」章節。
4.
在表格底部的下拉式選單中,選取下列項目之一:
自動接受所有新裝
置的通訊要求
金鑰將會自動提供給新裝置。這是 EKM 3.0 的預設值。Dell 建議您在主要的 EKM 3.0
伺服器上保留此設定值,但不要用在次要伺服器 (如果您有設定次要伺服器)
僅接受手動新增的裝
置進行通訊
除非手動新增裝置,否則不會提供金鑰。如果您正在設定次要 EKM 3.0 伺服器,
Dell 建議您使用此設定值,讓 EKM 3.0 伺服器不會自動提供金鑰給新的裝置。
保留新裝置的要求並等待我的核准
EKM 3.0 聯絡的裝置將會新增至等待處理清單中。
建立裝置群組
建立裝置群組的程序。若使用預設的裝置群組,可跳過本節。
裝置群組用於管理提供給一或多個裝置的金鑰。Dell 建議您使用裝置群組以便依據組織的需求管理您的裝置子
集。
若要建立新的裝置群組,請執行下列步驟:
1. 登入 EKM 3.0 入口網站。請參閱登入 Encryption Key Manager 3.0 入口網站
隨即顯示歡迎使用 Dell Encryption Key Manager 畫面。
2. 在導覽窗格中瀏覽至 Dell Encryption Key Manager 進階設定 裝置群組
隨即顯示管理裝置群組畫面
3.
按一下表格最上方的建立
隨即顯示建立裝置群組子視窗。
4. 裝置系列下方,選取 LTO 選項按鈕。
5. 裝置群組名稱欄位中,輸入裝置群組名稱。Dell 建議您輸入可反映此裝置群組用途的名稱,例如
Accounting
6.
按一下建立
資訊快顯視窗會通知您裝置系列設定值。
7.
資訊快顯視窗中,按一下確定
裝置群組已建立。新的裝置群組會顯示在管理裝置群組畫面的清單中。
建立裝置群組的金鑰群組
金鑰群組是特定裝置的金鑰的群組。本章說明如何建立與設定特定裝置的金鑰群組。設定為某個裝置的金鑰群
組不可使用於其他裝置。
若要為裝置群組建立金鑰群組,請執行下列步驟:
1. 登入 EKM 3.0 入口網站。請參閱登入 Encryption Key Manager 3.0 入口網站
隨即顯示歡迎使用 Dell Encryption Key Manager 畫面。
2. 在導覽窗格中瀏覽至 Dell Encryption Key Manager 金鑰與裝置管理
隨即顯示金鑰與裝置管理畫面。
3.
管理金鑰與裝置下拉式選單中,選取您要新增金鑰群組的裝置群組名稱。
4.
請按一下金鑰與裝置管理旁的開始
金鑰與裝置管理公用程式中,將會顯示您選取的裝置群組頁面。此頁面會列出屬於該裝置群組的所有金
鑰群組與裝置。
5.
在此表格中,按一下新增,然後選取金鑰群組
19
隨即顯示建立金鑰群組子視窗。
6.
金鑰群組名稱欄位中,輸入金鑰群組的名稱。
7.
要建立的金鑰數量欄位中,輸入要建立的金鑰數量。
8.
金鑰名稱的前三個字母欄位中,輸入金鑰名稱的任何三個字母的前置碼。
9.
若您希望此金鑰群組成為預設的金鑰群組,請選取設定此項目為預設的金鑰群組核取方塊。
10.
按一下建立金鑰群組
隨即顯示警告快顯視窗。
11. 若要建立備份,請按一下警告快顯視窗中的藍色連結以轉至備份與還原畫面。請參閱執行備份以及從備份
還原。建立備份之後,返回金鑰與裝置管理畫面。如果此時不建立備份,請繼續下一步。
: Dell 建議您在變更金鑰、金鑰群組或裝置群組時,即建立備份。
12.
警告快顯視窗中按一下確定
金鑰群組已建立。金鑰與裝置管理畫面將會顯示金鑰群組。
13.
此步驟為選擇性。在金鑰與裝置管理畫面中執行下列步驟以檢查金鑰是否已經建立:
a)
在表格最上方的下拉式選單中,選取檢視金鑰、金鑰群組成員與磁帶機
金鑰將顯示於表格中。
b)
向下捲動以找到新的金鑰。
新增裝置至裝置群組
本章說明如何新增裝置至現有的裝置群組。
: EKM 3.0 的預設裝置群組為 FUTURE_DEVICES LTO
: 為自動新增裝置至裝置群組,您必須建立金鑰群組與備份,否則磁帶庫的金鑰路徑診斷將會失敗而無
法新增裝置。詳細資訊請參閱建立裝置群組的金鑰群組建立金鑰庫的備份
1. 登入 EKM 3.0 入口網站。請參閱登入 Encryption Key Manager 3.0 入口網站
隨即顯示歡迎使用 Dell Encryption Key Manager 畫面。
2.
金鑰與裝置管理下方的管理金鑰與裝置下拉式選單中,選取您要使用的裝置群組。
3.
按一下開始
金鑰與裝置管理公用程式中,將會顯示您選取的裝置群組頁面。此頁面會列出屬於該裝置群組的所有金
鑰群組與裝置。
4.
在頁面底部的下拉式選單中,選取自動接受所有新裝置的通訊要求
5. 設定磁帶庫以連接至 EKM 3.0 伺服器。
詳細資訊請參閱磁帶庫使用手冊。若要找到磁帶庫使用手冊,請參閱 EKM 3.0 安裝媒體中 ReadThisFirst.txt
檔案內的「文件與參考資料」章節。
6. 在磁帶庫的遠端管理單元 (RMU) 中執行金鑰路徑診斷。詳細資訊請參閱磁帶庫使用手冊。
新裝置會顯示在金鑰與裝置管理畫面中。
: 若要手動新增裝置,請參閱 TKLM 文件。有關如何存取 TKLM 文件的資訊,請參閱 EKM 3.0 安裝媒體中
ReadThisFirst.txt 檔案內的「文件與參考資料」章節。
新增金鑰至金鑰群組以及刪除金鑰群組中的金鑰
本章說明如何新增金鑰至金鑰群組以及刪除金鑰群組中的金鑰。
: 刪除金鑰群組中的金鑰並不會刪除金鑰,只會將金鑰從金鑰群組中移除。若要刪除單一金鑰,請參閱
刪除特定金鑰
20
/