Dell PowerVault ML6000 Manuel d'utilisateur Page 1

DellTM PowerVaultTM Encryption Key Manager Руководство пользователя

viii Руководство пользователя Dell Encryption Key Manager

указывать только имя базового файла, но не полный путь к нему. Полное имя файлажурнала аудита состоит из базового имени и добавленного к нему значения

Формат протокола аудитаДля всех протоколов аудита используется похожий формат вывода, описанный вэтом разделе. Все протоколы аудита содержат общую инф

Таблица 7-1. Типы протоколов аудита, которые Encryption Key Manager записывает вфайлы аудита (продолжение)Тип протоколааудита Тип аудита ОписаниеУправ

Обратите внимание, что значения параметров message и user отображаются только вслучае наличия соответствующей информации.Событие Resource Management (

Таблица 7-2. Соответствие типов протоколов аудита контролируемымсобытиям (продолжение)Контролируемое событие Тип протокола аудитаВведена неизвестная к

Таблица 7-2. Соответствие типов протоколов аудита контролируемымсобытиям (продолжение)Контролируемое событие Тип протокола аудитаТаблица накопителей у

7-10 Руководство пользователя Dell Encryption Key Manager

Глава 8. Использование метаданныхНастройки Encryption Key Manager должны предусматривать создание XML-файла, вкоторый будет записываться важнейшая инф

<DriveWWN>57574E414D453030</driveWWN> – глобальное имя накопителя<keyAlias2>cert2</keyAlias2> – псевдоним ключа 1<keyAlias1

метаданных Encryption Key Manager. Повреждение файла метаданных возможнотакже при неправильном его редактировании или изменении. Повреждение не будетв

ПредисловиеОб этой книгеДанное руководство содержит сведения и инструкции, необходимые для установки ииспользования Dell™Encryption Key Manager. В нем

Добавление строки </KeyUsageEvent> между строками <dateTime>Thu Aug 3009:50:53 MDT 2007</dateTime> и <KeyUsageEvent> позволит

Приложение A. Примеры файловПример сценария демона запускаВнимание: Невозможно переоценить важность обеспечениясохранности данных хранилища ключей. По

Admin.ssl.keystore.name = /keymanager/testkeysAdmin.ssl.keystore.type = jceksAdmin.ssl.truststore.name = /keymanager/testkeysAdmin.ssl.truststore.type

Приложение B. Файлы свойств конфигурации EncryptionKey ManagerДля работы Encryption Key Manager требуются два файла свойств конфигурации:один для серв

Обязательный параметр?Дополнительный. Используется только с командой sync.Поумолчанию значение этого свойства равно значениюсвойства config.keystore.f

Обязательный параметр?Дополнительный.Значение по умолчаниюjceksAudit.event.outcome = значениеЗаписываются только те события аудита, которые приводят к

Значение по умолчаниюtrueAudit.handler.file.name = kms_audit.logИмя файла, в который будут заноситься записи аудита.Обязательный параметр?Да.Audit.han

Обязательный параметр?Да.config.keygroup.xml.file = значениеОпределяет имя XML-файла, в котором хранятся отдельные псевдонимы,упорядоченные по группам

Обязательный параметр?Дополнительный. Необходимо использовать, если свойствуdebug.output присвоено значение simple_file. Путь к файлудолжен существова

2. Извлеките содержимое файла EKMServiceAndSamples.jar (доступен наносителе с программным обеспечением Dell и для загрузки на Web-сайтеhttp://support.

Предупреждающее примечаниеПредупреждающие примечания обращают внимание пользователя на возможноеповреждение программы, устройства, системы или данных.

указано несколько значений переменнойидентификатор_группы, генерируется исключительнаяситуация KeyManagerException. Если задано действительноезначение

Значения IP-адрес удаленного сервера:номер порта SSLsync.timeinhours = значениеОпределяет время ожидания (в часах) перед выполнением автоматическойсин

целях безопасности оно скрывается, а сама строка в файле свойствзаменяется новой строкой - TransportListener.ssl.keystore.password.obfuscated.Обязател

Значения JCEKSTransportListener.tcp.port = значениеПорт, который прослушивается сервером Encryption Key Manager на предметполучения запросов от накопи

TransportListener.ssl.keystore.name = значениеЭто хранилище ключей также используется клиентом Encryption Key Managerдля обмена данными с сервером Enc

Приложение C. Часто задаваемые вопросыВозможно ли совместное использование программных средств управления ключами ишифрования, управляемого библиотеко

Требуется ли для Encryption Key Manager переименование сертификатов при ихобновлении?Настройки Encryption Key Manager по умолчанию подразумевают призн

ЗамечанияТоварные знакиТоварные знаки, упоминающиеся в тексте - Dell, эмблема Dell и PowerVault, -являются товарными знаками Dell Inc. Microsoft и Win

D-2 Руководство пользователя Dell Encryption Key Manager

ГлоссарийВ данном глоссарии приведены определениятерминов, сокращений и аббревиатур,используемых в данном руководстве и другихсвязанных с ним публикац

Прочтите это прежде всегоОбращение в DellЗаказчики в США могут позвонить по тел. 800-WWW-DELL (800-999-3355).Примечание: Если у вас нет активного подк

E-2 Руководство пользователя Dell Encryption Key Manager

ИндексAAudit.event.outcome 7-2Audit.event.types 7-1Audit.eventQueue.max 7-2Audit.handler.file.directory 7-3Audit.handler.file.multithreads 7-4Audit.ha

Ррезервная площадкапланирование 2-10Ссвойства конфигурацииклиент B-11сервер B-1серверконфигурации 2-9синхронизация с другим сервером 4-2синхронизация

xii Руководство пользователя Dell Encryption Key Manager

Глава 1. Общие сведения о шифровании на магнитнойлентеВ условиях жестокой рыночной конкуренции данные являются одним из наиболееценных ресурсов. Защит

сертификаты и ключи (или указатели на сертификаты и ключи),используемые приложением Encryption Key Manager при выполненииопераций шифрования. Поддержи

Управление шифрованиемDell Encryption Key Manager - это программа на языке Java™, обеспечивающаянакопителям на магнитной ленте с возможностью шифрован

ВАЖНАЯ ИНФОРМАЦИЯ О КОНФИГУРАЦИИ ХОСТ-СЕРВЕРАEncryption Key Manager: Для минимизации риска потери данных накомпьютерах с установленными программами De

Уровень приложенийОтдельное приложение, помимо диспетчера ключей, инициирует передачу данныхдля системы хранения данных на магнитной ленте. Подробные

Для управления шифрованием могут использоваться следующие минимальныеверсии приложений:v CommVault Galaxy 7.0 SP1;v Symantec Backup Exec 12.Шифрование

Ключи шифрования для Encryption Key Manager можно создавать с помощью утилит,таких как keytool. Ответственность за создание ключей AES и способ их пер

хранится на кассете с магнитной лентой. После того как шифрованные данныезаписаны, для их последующего прочтения ключ должен быть размещен в доступном

Глава 2. Планирование среды Encryption Key ManagerЭтот раздел содержит сведения, помогающие определить конфигурацию EncryptionKey Manager, лучшую с то

– Запустите клиент интерфейса командной строки. (См. раздел “Клиентинтерфейса командной строки” на стр. 5-5.)Планирование управляемого библиотекой шиф

Encryption Key Manager (на платформе Linux)Таблица 2-1. Минимальные требования к программному обеспечению для запуска всистеме LinuxСистемаНаборразраб

Dell™PowerVault™ML6000. Обновления встроенного ПО можно загрузить с сайтаhttp://support.dell.com.Ленточный накопительУбедитесь, что на ленточных накоп

который записывается на магнитную ленту с зашифрованными данными. Послеэтого Encryption Key Manager может использовать DKi для идентификации ключа DK,

1. Накопитель на магнитной ленте получает запрос на чтение и посылает DKiприложению Encryption Key Manager.2. Encryption Key Manager проверяет ленточн

отказоустойчивости за счет избыточности). Для дополнительного резервированиясоздайте резервную копию основной и вспомогательной копий.v При использова

DellTM PowerVaultTM Encryption Key Manager Руководство пользователя

4. Нажмите кнопку Backup Files (Создать резервную копию файлов).5. Появится сообщение с информацией о результатах.Использование нескольких диспетчеров

и возможности переключения в случае отказа, что позволяет избежать простоев приэксплуатации ленточных систем. См. раздел “Синхронизация данных между д

происходит автоматическое переключение на дополнительный диспетчер ключей приотказе основного. В такой конфигурации серверы диспетчеров ключей обязате

Настройте копию Encryption Key Manager на резервной площадке с использованиемтех же данных, что и в локальном приложении Encryption Key Manager (файлк

Замечания о федеральном стандарте обработки информации(Federal Information Processing Standards, FIPS) 140-2Федеральный стандарт обработки информации

Глава 3. Установка диспетчера ключей шифрования ихранилищ ключейEncryption Key Manager поставляется в комплекте с установкой виртуальной машиныJava ко

При установке все содержимое (документация, файлы GUI-интерфейса, файлысвойств конфигурации), соответствующее операционной системе, копируется скомпак

проверяется на наличие правильной версии среды IBM Java Runtime Environment.Если такая версия не обнаружена, она автоматически устанавливается.По окон

Нажмите "Нет".6. Откроется окно Start Copying Files (Начать копирование файлов) (рис. 3-3).Обязательно запомните целевой каталог.Нажмите &qu

C:\WinEKM>C:\"Program Files"\IBM\Java60\jre\bin\java -versionjava version "1.6.0"Java(TM) SE Runtime Environment (build pwi3260

© 2007, 2010 Dell Inc. Все права защищены.Информация, приведенная в этом документе, может изменяться без предварительного уведомления.Воспроизведение

2. Выберите EKM Configuration (Конфигурация EKM) в навигационном меню слевой стороны окна GUI-интерфейса.3. На странице “EKM Server Configuration (Нас

Примечание: Если во время генерации ключа работа графическогопользовательского интерфейса Encryption Key Manager былапрервана, требуется повторная уст

5. Откроется окно “Backup Critical Files (Создание резервных копий важных файлов)”(рис. 3-6 на стр. 3-9), приглашающее создать резервные копии файлов

Проверьте введенный путь и нажмите кнопку Backup (Создать резервную копию).Сервер Dell Encryption Key Manager запускается в фоновом режиме.Приложение

v В ОС Windows откройте командное окно и введите ipconfig.v В Linux введите isconfig.Как идентифицировать порт SSL в EKM1. Запустите сервер Encryption

Keytool — это утилита для управления ключами, сертификатами и псевдонимами. Сего помощью можно создавать, импортировать и экспортировать ключишифрован

Если Keytool не используетсяЕсли для создания ключей и псевдонимов не используется keytool или графическийинтерфейс, то создание диапазонов ключей, со

диапазон_псевдонимов присвоено значение xyz01-FF, будут созданы псевдонимыот XYZ000000000000000001 до XYZ0000000000000000FF, что, в свою очередь,приве

Импорт ключей шифрования данных с помощью командыkeytool -importseckeyДля импорта засекреченного ключа или набора засекреченных ключей из файлаимпорта

KEY000000000000000001 до KEY00000000000000000A. Если переменнойдиапазон_псевдонимов присвоено значение xyz01-FF, будут созданы псевдонимыот XYZ0000000

СодержаниеРисунки ...vТаблицы ...viiПредисловие ...ixОб этой книге ...ixДля кого предназначена эта книга ...

Действительными будут признаны только те ключи, которые определены в свойствеsymmetricKeySet. Они будут проверены на предмет действительности псевдони

1. Если графический интерфейс пользователя еще не открыт, откройте его.В Windowsперейдите в каталог c:\ekm\gui и щелкните кнопкой мыши по файлуLaunchE

3. В правой части окна в области Group List (Список групп) выберите новую группуключей, которая будет использоваться в качестве группы ключей по умолч

3. В списке Drive List (Список накопителей) выберите накопитель на магнитнойленте.4. В списке Group List (Список групп) выберите группу ключей.5. В ни

3. В списке Drive List (Список накопителей) выберите накопитель на магнитнойленте.4. В нижней части окна проверьте имя накопителя и нажмите кнопку Sub

С помощью этой команды можно создать экземпляр группы ключей суникальным идентификатором группы в файле KeyGroups.xml.Синтаксис: addkeygroup -groupID

-symrecОпределяет псевдоним (симметричного ключа) или идентификатор группыключей для накопителя на магнитной ленте.Пример: adddrive -drivename 0001234

Глава 4. Конфигурирование диспетчера ключейшифрования (Encryption Key Manager, EKM)Конфигурирование Encryption Key Manager с помощьюграфического интер

добавлении устройства в таблицу накопителей, это можно сделать с помощьюкоманды moddrive после добавления накопителя на магнитной ленте в таблицунакоп

-allОтправка файла свойств конфигурации и сведений таблицы накопителей насервер, заданный параметром -ipaddr.-configОтправка на сервер, заданный парам

File Name Cannot be Null (Имя файла не можетбыть пустым) ...6-12File Size Limit Cannot be a Negative Number(Максимальный размер файла не може

Основы конфигурированияПримечание: Если вы последовали указаниям, содержащимся в разделе “Созданиефайла конфигурации, сертификатов и хранилища ключей

окне используйте обратные косыечерты, как это обычно делается вОС Windows.a. Audit.Handler.File.Directory – задайте каталог для хранения журналоваудит

7. Сохраните изменения в файле KeyManagerConfig.properties.8. Запустите сервер Encryption Key Manager. Чтобы запустить сервер, не используяграфический

Глава 5. Администрирование Encryption Key ManagerЗапуск, обновление и остановка сервера диспетчера ключейСервер Encryption Key Manager очень просто за

5. Появляется окно входа (рис. 5-2).В качестве ID пользователя введите EKMAdmin. Исходный пароль - changeME. Послевхода в систему пароль можно изменит

Чтобы остановить сервер, выполните команду stopekm одним из способов,описанных ниже в разделе “Клиент интерфейса командной строки” на стр. 5-5. Кромет

Примечание: Установка переменной PATH из командной строки невозможна.a. В меню "Пуск" выберите пункт Панель управления.b. Дважды щелкните пу

-helpВыводит сведения об использовании команды.-i Устанавливает Encryption Key Manager в виде службы Windows. Для этогопараметра необходимо указать ка

2. Откройте файл при помощи текстового редактора по вашему выбору(рекомендуется WordPad).3. Найдите строку Server.authMechanism. Если эта строка отсут

компьютере, что и сервер Encryption Key Manager, то можно использовать один и тотже файл свойств конфигурации. Благодаря этому CLI-клиент Encryption K

Рисунки1-1. Четыре основных компонента Encryption KeyManager ...1-31-2. Два возможных уровня для управленияключами и механизма политикишифро

java com.ibm.keymanager.KMSAdminCmd ClientConfig.properties_name -listdrives-ekmuser EKMAdmin -ekmpassword changeME(Этот пароль можно изменить с помощ

-symrecОпределяет псевдоним (симметричного ключа) или имя группы ключейнакопителя на магнитной ленте.Пример: adddrive -drivename 000123456789 -rec1 пс

шифрует ключ группы ключей, который, в свою очередь, шифрует паролькаждого псевдонима группы ключей. Поэтому все ключи в файле KeyGroups.xmlявляются з

export {-drivetab|-config} -url адрес-drivetabЭкспорт таблицы накопителей.-configЭкспорт файла конфигурации сервера Encryption Key Manager.-urlПеремен

-aliasПеременная псевдоним определяет конкретный сертификат, информацию окотором необходимо показать.-verbose|-vВывод на экран дополнительной информац

-ekmuserВ зависимости от используемого типа аутентификации в качестве значенияпеременной ID_пользователя укажите EKMadmin или localOS (см. раздел“Ауте

-symrecОпределяет псевдоним (симметричного ключа) или имя группы ключейнакопителя на магнитной ленте.Пример: moddrive -drivename 000123456789 -rec1 но

-drivetabОтправка на сервер Encryption Key Manager, заданный параметром -ipaddr,только сведений таблицы накопителей.-ipaddrПараметр ip_addr:ssl:port з

5-16 Руководство пользователя Dell Encryption Key Manager

Глава 6. Выявление проблемОтладку можно включить для одного, нескольких или всех компонентов EncryptionKey Manager.Важные файлы, которые следует прове

vi Руководство пользователя Dell Encryption Key Manager

at com.ibm.keymanager.EKMServer.c(EKMServer.java:243)at com.ibm.keymanager.EKMServer.<init>(EKMServer.java:753)at com.ibm.keymanager.EKMServer.a

Отладка сервера диспетчера ключейБольшинство проблем, возникающих при работе диспетчера ключей, связано сконфигурацией и запуском сервера диспетчера к

и для хранилищ ключей JCERACFKS:-Djava.protocol.handler.pkgs=com.ibm.crypto.providerНе удается запустить EKM. Совершена попытканесанкционированного до

“[Fatal Error] :-1:-1: Premature end of file.” - сообщение в файлеnative_stderr.log.Это сообщение появляется, если Encryption Key Manager загружает пу

Таблица 6-1. Отчеты Encryption Key Manager об ошибкахНомер ошибки Описание Меры по устранениюEE02 Encryption Read Message Failure:DriverErrorNotifyPar

Таблица 6-1. Отчеты Encryption Key Manager об ошибках (продолжение)Номер ошибки Описание Меры по устранениюEE25 Encryption Configuration Problem: Erro

Таблица 6-1. Отчеты Encryption Key Manager об ошибках (продолжение)Номер ошибки Описание Меры по устранениюEE2C Encryption Read Message Failure:QueryD

Таблица 6-1. Отчеты Encryption Key Manager об ошибках (продолжение)Номер ошибки Описание Меры по устранениюEE31 Encryption Configuration Problem: Erro

Таблица 6-1. Отчеты Encryption Key Manager об ошибках (продолжение)Номер ошибки Описание Меры по устранениюEF01 Encryption Configuration Problem: &quo

ОписаниеПри выполнении команды adddrive возникла ошибка, поскольку данный накопительуже включен в конфигурацию Encryption Key Manager и указан в табли

Таблицы1. Типографские обозначения, используемые вданной книге...ix1-1. Краткие сведения о ключах шифрования 1-82-1. Минимальные требования к

ОписаниеНе удается удалить запись о накопителе из таблицы накопителей с помощьюкоманды deldrive.Действие оператораПроверьте синтаксис указанной команд

ОписаниеВ свойствах конфигурации Encryption Key Manager не было задано имя файлажурнала аудита. Это обязательный параметр конфигурации.Ответ системыПр

Invalid Input (Введены недопустимые данные)ТекстВведены недопустимые в интерфейсе командной строки параметры.ОписаниеВозможно, введенная команда содер

Must Specify SSL Port Number in Configuration File(Необходимо указать номер порта SSL в файлеконфигурации)ТекстНомер порта SSL не указан в файле свойс

Действие оператораПроверьте параметры в файле конфигурации. Для получения дополнительныхсведений ознакомьтесь с журналами аудита.Sync Failed (Сбой син

Ответ системыEncryption Key Manager не запускается.Действие оператораПроверьте настройку файла конфигурации. Убедитесь, что свойстваadmin.keystore.fil

Действие оператораПроверьте настройку файла конфигурации. Убедитесь, что свойстваtransport.keystore.file, transport.keystore.provider иtransport.keyst

Глава 7. Протоколы аудитаПримечание: Форматы протокола аудита, описанные в этой главе, не являютсяпрограммируемыми интерфейсами. Формат этих протоколо

all Все типы событийauthentication События, связанные с аутентификациейdata_synchronization События, происходящие во время синхронизации информациисер

необязательным, но рекомендуется его использовать. По умолчанию задано нулевоезначение.ПримерAudit.eventQueue.max=8Audit.handler.file.directoryСинтакс