生成恢复密钥
使用 encrypt_recovery_key_generate 命令可指定哪些安全性管理员将接收恢复密钥共享,还可定义需要输入的最小恢复密钥共享数。
encrypt_recovery_key_generate users=Users [ min_req=MinRequired ] [ key_scheme=KeyScheme ]
参数
| 名称 | 类型 | 描述 | 必需 | 缺省值 |
|---|---|---|---|---|
| min_req | 整数 | 所需安全性管理员恢复密钥共享的最小数量。 | N | 2 |
| users | 对象名 | 安全性管理员的用户名。 | Y | 不适用 |
| key_scheme | 枚举项 | 定义用于加密激活的密钥方案:external 或 local。 | N | external |
此命令用于指定哪些安全性管理员将接收恢复密钥(或者,更准确表达为“共享”),定义要解锁加密密钥而需要输入(通过 encrypt_recovery_key_enter 命令)的最小恢复密钥数。 输入此命令后,所有指定安全性管理员预期会分别使用 encrypt_recovery_key_get 和 encrypt_recovery_key_verify 检索和验证其恢复密钥。 仅当 encryption_state 为 DISABLED 时,才可运行此命令。
示例:
xcli -u secadmin1 -p password -m ${HOST} encrypt_recovery_key_generate users=secadmin1,
secadmin2,secadmin3,secadmin4 min_req=2
输出:
Command executed successfully.
访问控制
| 用户类别 | 许可权 |
|---|---|
| 存储管理员 | 不允许 |
| 存储集成管理员 | 不允许 |
| 应用程序管理员 | 不允许 |
| 安全性管理员 | 允许 |
| 只读用户 | 不允许 |
| 技术人员 | 不允许 |
返回码
- UNSUPPORTED_HARDWARE
无法在不受支持的硬件上加密。
故障诊断:请联系 IBM 支持人员以验证加密状态。
- NO_LIVE_KEYSERVER_GATEWAY_NODE
系统中没有可用的密钥服务器网关节点。
故障诊断:请重新启动密钥服务器网关节点,然后重试。
- CANNOT_WRITE_TO_KEY_REPOSITORY
无法将密钥写入密钥存储库。
故障诊断:请联系 IBM 支持人员。
- CANNOT_GET_NEW_KEY_REQUEST
从密钥服务器网关节点请求加密密钥时出错。
故障诊断:请确保该密钥服务器主动提供密钥。
- KEYSERVER_COMMUNICATION_GENERIC_ERROR
无法连接到活动的密钥服务器。
故障诊断:调用 encrypt_keyserver_list 和 event_list 以获取更多详细信息。
- INSUFFICIENT_RK_ADMIN_THRESHOLD
创建恢复密钥至少需要两个安全性管理员。
故障诊断:通过指示至少需要两个安全性管理员来重新运行此命令。
- ENCRYPTION_KR_WRITE_FAILED
写入密钥存储库时出错。
故障诊断:请联系 IBM 支持人员。
- ENCRYPTION_ALREADY_ENABLED
已启用加密。
故障诊断:请检查 state_list 命令的输出。
- NO_MASTER_KEYSERVER_DEFINED
系统中未定义任何主密钥服务器。
故障诊断:请通过调用 encrypt_key server_update 定义主密钥服务器,然后重试。
- INVALID_RECOVERY_KEY_STATE
恢复密钥状态与指定的选项不一致。
故障诊断:使用 encrypt_recovery_key_status 命令检查恢复密钥状态。
- INSUFFICIENT_RK_ADMINS
用户数必须大于或等于需要的最小数。
故障诊断:通过至少提供所需的最小用户数来重新运行此命令。
- CANNOT_GENERATE_KEYS_ON_KEYSERVER_GATEWAY
无法在密钥服务器网关节点上生成 XMK 和散列。
故障诊断:请联系 IBM 支持人员。
- ENCRYPTION_KR_READ_FAILED
读取密钥存储库时出错。
故障诊断:请联系 IBM 支持人员。
- CANNOT_UPDATE_KEY_METADATA
无法为新密钥更新密钥存储库中的元数据。
故障诊断:请联系 IBM 支持人员。