定义密钥服务器

使用 encrypt_keyserver_define 命令可定义系统将使用的密钥服务器。

encrypt_keyserver_define name=Name [ ipv4=Address ] [ ipv6=Address ] [ port=PortNumber ]
 [ master=<yes|no> ] [ keyserver_type=KeyserverType ] certificate=PemCertificate

参数

名称 类型 描述 必需 缺省值
name 字符串 要添加的密钥服务器的名称。 Y 不适用
certificate 不适用 要添加的密钥服务器的公用证书。 Y 不适用
master 布尔 (Boolean) 定义该密钥服务器是否为用于密钥检索的主密钥服务器。 N
ipv4 不适用 要添加的密钥服务器的 IPv4 地址。必须使用一个 IPv4 和/或 IPv6 地址。 N
ipv6 不适用 要添加的密钥服务器的 IPv6 地址。必须使用一个 IPv4 和/或 IPv6 地址。 N
port 整数 用于密钥服务器通信的端口。 N 5696
keyserver_type 枚举 要与其通信的密钥服务器的类型。 N TKLM

此命令可定义在系统启动或加密激活时将使用的密钥服务器,用于检索以密码方式解锁磁盘所需的密钥材料。必须至少定义一台密钥服务器(最好是两台且不超过四台),且均可访问,从而可成功执行 encrypt_enable。仅可将一台密钥服务器定义为主服务器。

示例:

encrypt_keyserver_define 
name=snocone ipv4=snocone.ibm.com ipv6=2002::a5a7
certificate="----BEGIN CERTIFICATE---*MIICyTCCAbGgAwIBAgIXLSiyd2FPMA0GCSqGSIb3IiEBCwUAMBQx
EjAQAgNVBVuTCXNrbG5pdHNv*......
*erD5HgQHSkfR3FEM+b6EBOUPFIBrys8rKtLRbWvovobq*---END CERTIFICATE----"

输出:

Command executed successfully.

访问控制

用户类别 许可权
存储管理员 不允许
存储集成管理员 不允许
应用程序管理员 不允许
安全性管理员 允许
只读用户 不允许
技术人员 不允许

返回码

  • UNSUPPORTED_HARDWARE

    无法在不受支持的硬件上加密。

    故障诊断:请联系 IBM 支持人员以验证加密状态。

  • ENCRYPTION_TOO_MANY_KEYSERVERS

    已定义了太多密钥服务器,无法再添加。

    故障诊断:删除密钥服务器,并重试。

  • ENCRYPTION_UNSUPPORTED_KEYSERVER_TYPE

    不受支持的密钥服务器类型。

  • ENCRYPTION_KEYSERVER_NAME_EXISTS

    密钥服务器名称已存在。

    故障诊断:请检查当前已定义的密钥服务器。

  • ENCRYPTION_KEYSERVER_MUST_HAVE_ADDRESS

    密钥服务器至少应具有一个地址 (IPv4/IPv6)。

    故障诊断:请确保命令包含 ipv4= 或 ipv6= 自变量。

  • ENCRYPTION_KEYSERVER_IPV4_ALREADY_EXISTS

    IPv4 地址或主机名已存在。

    故障诊断:请检查当前已定义的密钥服务器。

  • ENCRYPTION_KEYSERVER_IPV6_ALREADY_EXISTS

    IPv6 地址或主机名已存在。

    故障诊断:请检查当前已定义的密钥服务器。

  • SSL_CERTIFICATE_HAS_EXPIRED

    SSL 证书已到期。

  • SSL_CERTIFICATE_VERIFICATION_FAILED

    SSL 证书链验证失败。

  • SSL_CERTIFICATE_INVALID_FORMAT

    SSL 证书格式无效或已损坏。

  • SSL_CERTIFICATE_NOT_YET_VALID

    SSL 证书尚未生效。

  • SSL_CERTIFICATE_VERIFICATION_INTERNAL_ERROR

    由于内部系统错误,SSL 证书验证失败。

  • SSL_CERTIFICATE_ISSUER_NOT_FOUND

    未在证书链中找到 SSL 证书颁发者。

  • SSL_CERTIFICATE_CHAIN_EMPTY

    未在输入中找到任何证书。