Dell PowerVault TL4000 User Manual [es]

Download

Page 1

Dell™P o werVault™Encryptio n Ke y Manager

Guía del usuario

Page 2

Page 3

Dell™P o werVault™Encryptio n Ke y Manager

Guía del usuario

Page 4

© 2007, 2010 Dell Inc. Reservados todos los derechos. La información en este documento está sujeta a cambios sin previo aviso. Queda totalmente prohibida cualquier forma de reproducción sin el permiso escrito por parte de Dell Inc. Las

marcas registradas utilizadas en este texto, Dell, el logotipo de DELL y PowerVault, son marcas registradas de Dell Inc.

Es posible que en este documento se utilicen otras marcas registradas y nombres comerciales para hacer referencia a las entidades poseedoras de la marca y del nombre o de sus productos. Dell Inc. declina cualquier interés de propiedad en las marcas registradas y nombre comerciales que no sean propios de Dell Inc.

Page 5

Contenido

Figuras ...............v

Tablas ...............vii

Prefacio ..............ix

Acerca de este manual ...........ix

A quién va dirigido este manual ......ix

Convenios y terminología utilizados en este

manual ...............ix

Aviso de atención.............x

Publicaciones relacionadas ..........x

Información sobre Linux .........x

Información sobre Microsoft Windows.....x

Soporte en línea ............x

Lea esto en primer lugar .......xi

Contacto con Dell ............xi

Capítulo 1. Visión general del cifrado

de cintas .............1-1

Componentes .............1-1

Gestión de cifrado ............1-3

Cifrado de cintas gestionado por aplicaciones 1-4

Cifrado de cintas gestionado por bibliotecas . . 1-5

Acerca de las claves de cifrado........1-5

Capítulo 2. Planificación del entorno

de Encryption Key Manager .....2-1

Las tareas de configuración de cifrado de un

vistazo................2-1

Tareas de configuración de Encryption Key

Manager ..............2-1

Planificación para el cifrado de cintas gestionado

por bibliotecas ............2-2

Requisitos de hardware y software ......2-2

Linux Solution Components .......2-2

Windows Solution Components ......2-3

Consideraciones sobre el almacén de claves . . . 2-3

Almacén de claves JCEKS ........2-4

Claves de cifrado y las unidades de cintas LTO 4

yLTO5..............2-4

Creación de copias de seguridad de los datos

del almacén de claves..........2-6

Varios gestores de claves para obtener

redundancia .............2-7

Configuraciones del servidor Encryption Key

Manager ..............2-8

Consideraciones sobre el sitio de recuperación en

caso de error .............2-10

Consideraciones para compartir cintas cifradas

fuera del sitio .............2-10

Consideraciones sobre el Estándar federal de procesamiento de la información (FIPS) 140-2 . . 2-11

Capítulo 3. Instalación de Encryption Key Manager y almacenes de claves . 3-1

Descarga de la última versión de la imagen ISO del

gestor de claves.............3-1

Instalación de Encryption Key Manager en Linux 3-1 Instalación de Encryption Key Manager en

Windows ...............3-2

Uso de la GUI para crear un archivo de configuración, un almacén de claves y certificados . 3-5 Generación de claves y alias para el cifrado en LTO

4yLTO5...............3-9

Creación y gestión de grupos de claves ....3-14

Capítulo 4. Configuración de

Encryption Key Manager.......4-1

Utilización de la GUI para configurar Encryption

Key Manager .............4-1

Estrategias de configuración ........4-1

Actualización automática de la tabla de

unidades de cintas ...........4-1

Sincronización de datos entre dos servidores del

gestor de claves............4-2

Datos generales de la configuración ......4-3

Capítulo 5. Administración de

Encryption Key Manager.......5-1

Inicio, Renovación y Detención del Servidor del

gestor de claves.............5-1

Cliente de la interfaz de línea de mandatos . . . 5-5

Mandatos CLI .............5-8

Capítulo 6. Determinación de

problemas .............6-1

Archivos importantes que comprobar para solucionar problemas del servidor Encryption Key

Manager ...............6-1

Depuración de problemas de comunicación entre el

cliente CLI y el servidor EKM ........6-2

Depuración de problemas del servidor del gestor

de claves ...............6-3

Errores notificados por Encryption Key Manager 6-5

Mensajes...............6-10

No se ha especificado el archivo de

configuración ............6-10

No se ha podido añadir la unidad .....6-11

No se ha podido archivar el archivo de registro 6-11 No se ha podido suprimir la configuración . . 6-11 No se ha podido suprimir la entrada de la

unidad ..............6-12

No se ha podido realizar la importación . . . 6-12 No se ha podido modificar la configuración 6-12 El nombre de archivo no puede ser nulo . . . 6-13 El límite del tamaño de archivos no puede ser

un número negativo ..........6-13

iii

Page 6

No hay datos que sincronizar .......6-13

Entrada no válida...........6-14

Número de puerto SSL no válido en el archivo

de configuración ...........6-14

Número de puerto TCP no válido en el archivo

de configuración ...........6-14

Se debe especificar el número de puerto SSL en

el archivo de configuración .......6-15

Se debe especificar el número de puerto TCP

en el archivo de configuración ......6-15

No se ha podido iniciar el servidor .....6-15

La sincronización ha fallado .......6-16

El archivo de registro de auditoría especificado

es de sólo lectura ...........6-16

No se ha podido cargar el almacén de claves

del administrador...........6-16

No se ha podido cargar el almacén de claves 6-17 No se ha podido cargar el almacén de claves de

transporte .............6-17

Acción no soportada..........6-18

Capítulo 7. Registros de auditoría. . . 7-1

Visión general de la auditoría ........7-1

Parámetros de configuración de auditoría ....7-1

Audit.event.types ...........7-1

Audit.event.outcome ..........7-2

Audit.eventQueue.max .........7-2

Audit.handler.file.directory ........7-3

Audit.handler.file.size..........7-3

Audit.handler.file.name .........7-3

Audit.handler.file.multithreads .......7-4

Audit.handler.file.threadlifespan ......7-4

Formato del registro de auditoría .......7-4

Puntos de auditoría en Encryption Key Manager 7-5

Atributos del registro de auditoría .....7-5

Sucesos auditados ............7-7

Capítulo 8. Utilización de metadatos 8-1

Apéndice A. Archivos de ejemplo . . . A-1

Script del daemon de arranque de ejemplo . . . A-1

Plataformas Linux...........A-1

Archivos de configuración de ejemplo .....A-1

Apéndice B. Archivos de propiedades de configuración de Encryption Key

Manager .............B-1

Archivo de propiedades de configuración del

servidor Encryption Key Manager ......B-1

Archivo de propiedades de configuración del

cliente CLI ..............B-10

Apéndice C. Preguntas frecuentes . . C-1

Avisos ..............D-1

Marcas registradas ...........D-1

Glosario..............E-1

Índice ...............X-1

Dell Encryption Key Mgr Guía del usuario

Page 7

Figuras

1-1. Los cuatro componentes principales de

Encryption Key Manager .......1-2

1-2. Hay dos posibles ubicaciones para el motor

de políticas de cifrado y la gestión de

claves. .............1-4

1-3. Cifrado utilizando claves de cifrado

simétricas ............1-7

2-1. Solicitud de la unidad de cintas LTO 4 o

LTO 5 para una operación de grabación

cifrada .............2-5

2-2. Solicitud de la unidad de cintas LTO 4 o

LTO 5 para una operación de lectura de

cifrado .............2-5

2-3. Ventana de copia de seguridad de archivos

fundamentales ..........2-7

2-4. Configuración de servidor individual 2-8 2-5. Dos servidores con configuraciones

compartidas ...........2-9

2-6. Dos servidores con configuraciones distintas

accediendo a los mismos dispositivos . . . 2-9 3-1. Ventana Choose Destination Location 3-3 3-2. Establezca esta versión de JVM como

predeterminada ..........3-3

3-3. Ventana Start Copying Files ......3-4

3-4. Página de configuración del servidor EKM 3-6 3-5. Página de configuración del certificado del

servidor EKM ...........3-7

3-6. Ventana de copia de seguridad de archivos

fundamentales ..........3-8

3-7. Creación de un grupo de claves 3-16 3-8. Cambio del grupo de claves de escritura

predeterminado ..........3-17

3-9. Asignación de un grupo a una unidad 3-18

3-10. Supresión de una unidad.......3-19

5-1. Estado del servidor .........5-1

5-2. Ventana de inicio de sesión ......5-2

Page 8

vi Dell Encryption Key Mgr Guía del usuario

Page 9

Tablas

1. Convenios tipográficos utilizados en este

manual .............ix

1-1. Resumen de claves de cifrado .....1-7

2-1. Requisitos mínimos de software para Linux 2-2 2-2. Requisitos mínimos de software para

Windows ............2-3

6-1. Errores comunicados por el gestor de claves

de cifrado ............6-6

7-1. Tipos de registros de auditoría que

Encryption Key Manager graba para auditar

archivos .............7-5

7-2. Tipos de registro de auditoría por suceso

auditado ............7-7

8-1. Formato de salida de consulta de metadatos 8-2

vii

Page 10

viii Dell Encryption Key Mgr Guía del usuario

Page 11

Prefacio

Acerca de este manual

Este manual contiene la información y las instrucciones necesarias para la instalación y el funcionamiento de Dell™Encryption Key Manager. Incluye conceptos y procedimientos que pertenecen a:

v Unidades de cintas LTO4yLTO5conposibilidades de cifrado v Clave criptográfica v Certificados digitales

A quién va dirigido este manual

Este manual va dirigido a los administradores de almacenamiento y seguridad responsables de la seguridad y la creación de copias de seguridad de los datos más importantes, así como a todos aquellos implicados en la configuración y el mantenimiento de los servidores de Encryption Key Manager del entorno operativo. Se presupone que el lector conoce los dispositivos y las redes de almacenamiento.

Convenios y terminología utilizados en este manual

Este manual utiliza los siguientes convenios tipográficos:

Tabla 1. Convenios tipográficos utilizados en este manual

Convenio Utilización negrita Las palabras o los caracteres en negrita

monoespaciado Los ejemplos, el texto especificado por el

cursiva Las palabras o los caracteres en cursiva

[elemento] Indica los elementos opcionales. {elemento} Contiene una lista de la que se debe

| Una barra vertical separa los elementos de

<Tecla> Indica la tecla que se debe pulsar.

representan elementos del sistema que se deben utilizar literalmente, como nombres de mandatos, nombres de archivos, nombres de distintivos, nombres de vías de acceso y opciones de menú seleccionadas.

usuario y la información que muestra el sistema aparecen con el tipo de letra monoespaciado.

representan los valores de variables que el usuario debe proporcionar.

seleccionar un elemento en las descripciones de formato y sintaxis.

una lista de opciones.

Page 12

Aviso de atención

Un aviso de atención indica la posibilidad de que se dañe un programa, dispositivo, sistema o datos. El aviso de atención puede ir acompañado de un signo de admiración, pero no es obligatorio. A continuación, se muestran algunos avisos de atención de ejemplo:

Publicaciones relacionadas

Consulte las publicaciones siguientes para obtener más información:

v Iniciación a las bibliotecas de cintas Dell

proporciona información sobre la instalación.

™

v Dell

PowerVault™TL2000 Tape Library and TL4000 Tape Library SCSI Reference

proporciona los mandatos SCSI soportados y el protocolo que rige el comportamiento de la interfaz SCSI.

Información sobre Linux

Atención: Si utiliza un destornillador eléctrico para realizar este procedimiento, puede dañar la cinta.

™

PowerVault™TL2000 y TL4000

Información sobre Red Hat

El URL siguiente está relacionado con los sistemas Red Hat Linux®:

v http://www.redhat.com

Información sobre SuSE

El URL siguiente está relacionado con los sistemas SuSE Linux:

v http://www.suse.com

Información sobre Microsoft Windows

El URL siguiente proporciona acceso a la información sobre sistemas Microsoft Windows®:

v http://www.microsoft.com

Soporte en línea

Visite http://support.dell.com para obtener la siguiente publicación relacionada:

La publicación Dell Encryption Key Manager Quick Start Guide proporciona información para crear una configuración básica.

Visite http://www.dell.com para obtener la siguiente publicación relacionada:

El documento técnico Library Managed Encryption for Tape sugiere los métodos recomendados para el cifrado de cintas LTO.

x Dell Encryption Key Mgr Guía del usuario

Page 13

Lea esto en primer lugar

Contacto con Dell

En caso de clientes de Estados Unidos, llamen al 800-WWW-DELL (800-999-3355).

Nota: Si no dispone de una conexión a Internet activa, encontrará información de

contacto en la factura de compra, la hoja de embalaje, el recibo o el catálogo de productos de Dell.

Dell proporciona varias opciones en línea y telefónicas de servicio y soporte. La disponibilidad varía según el país y el producto, y puede que algunos servicios no estén disponibles en su zona. Para ponerse en contacto con Dell para incidencias de compras, servicio técnico o servicio al cliente:

1. Visite http://support.dell.com.

2. Elija su país o región en el menú desplegable Choose A Country/Region al

final de la página.

3. Pulse Contacto en el lado izquierdo de la página.

4. Seleccione el servicio o enlace de soporte adecuados según sus necesidades.

5. Elija el método de contacto con Dell más apropiado para usted.

Page 14

xii Dell Encryption Key Mgr Guía del usuario

Page 15

Capítulo 1. Visión general del cifrado de cintas

Los datos son unos de los recursos más valiosos en un entorno empresarial competitivo. Proteger estos datos, controlar el acceso a ellos y verificar su autenticidad mientras se mantiene su disponibilidad son prioridades en el mundo en que vivimos, tan preocupado por la seguridad. El cifrado de datos es una herramienta que responde a muchas de estas necesidades. Dell Encryption Key Manager (en lo sucesivo Encryption Key Manager) simplifica las tareas de cifrado.

Las unidades LTO4yLTO5también cifrar datos a medida que se graban a cualquier cartucho de datos LTO4yLTO5.Esta nueva posibilidad añade una gran medida de seguridad a los datos almacenados, sin la sobrecarga de proceso ni la degradación de rendimiento asociados al cifrado realizado en el servidor, y sin el gasto de una aplicación dedicada a ello.

La solución de cifrado de unidad de cintas consta de tres elementos principales:

Unidad de cintas habilitada para cifrado

Todas las unidades de cintas LTO4yLTO5deben habilitarse a través de la interfaz de la biblioteca.

Consulte el apartado “Requisitos de hardware y software” en la página 2-2 para obtener más información sobre las unidades de cintas.

Gestión de claves de cifrado

El cifrado implica el uso de varios tipos de claves, en capas sucesivas. La generación, el mantenimiento, el control y la transmisión de estas claves dependen del entorno operativo en el que se haya instalado la unidad de cintas de cifrado. Algunas aplicaciones pueden realizar gestión de claves. Para aquellos entornos sin tales aplicaciones o para aquellos donde se prefiere utilizar una aplicación neutra, Dell Encryption Key Manager realiza todas las tareas de gestión de claves necesarias. El apartado “Gestión de cifrado” en la página 1-3 describe estas tareas en detalle.

Componentes

Política de cifrado

Es el método utilizado para implementar el cifrado. Incluye las reglas que determinan qué volúmenes se cifran y el mecanismo para la selección de claves. Cómo y dónde se configuran estas reglas depende del entorno operativo. Consulte el apartado “Gestión de cifrado” en la página 1-3 para obtener más información.

Encryption Key Manager forma parte del entorno de Java y utiliza los componentes de Java Security para sus funciones criptográficas. (Para obtener más información sobre los componentes de Java Security, consulte la sección de publicaciones relacionadas). Encryption Key Manager tiene tres componentes principales utilizados para controlar su comportamiento. Estos componentes son:

Almacén de claves de seguridad de Java

El almacén de claves se define como parte de Java Cryptography Extension (JCE) y un elemento de los componentes de seguridad de Java, que forman parte, a su vez, de Java Runtime Environment. Un almacén de claves guarda los certificados y claves (o punteros de los certificados y claves) utilizados por Encryption Key Manager para realizar operaciones

1-1

Page 16

criptográficas. Varios tipos de almacenes de claves Java que ofrecen distintas características operativas para satisfacer sus necesidades están soportados. Estas características se analizan en profundidad en el apartado “Consideraciones sobre el almacén de claves” en la página 2-3.

Es imposible exagerar la importancia de proteger los datos del almacén de claves. Sin acceso al almacén de claves, no podrá descifrar las cintas cifradas. Lea con atención los temas siguientes para comprender los métodos disponibles para proteger los datos del almacén de claves.

Archivos de configuración

Los archivos de configuración permiten personalizar el comportamiento de Encryption Key Manager para satisfacer las necesidades de su organización. Estas opciones de comportamiento se describen ampliamente en este documento, primero en el Capítulo 2, “Planificación del entorno de Encryption Key Manager”, en la página 2-1, luego en el Capítulo 4, “Configuración de Encryption Key Manager”, en la página 4-1 y, por último, en el Apéndice B, donde se describe el conjunto completo de opciones de configuración.

Tabla de unidades de cintas

Encryption Key Manager utiliza la tabla de unidades de cintas para realizar el seguimiento de los dispositivos de cintas a los que da soporte. La tabla de unidades de cintas es un archivo binario no editable cuya ubicación se especifica en el archivo de configuración. Puede cambiar su ubicación para satisfacer sus necesidades.

Archivo KeyGroups.xml

Mantiene certificados y pares de claves públicas y privadas

Este archivo protegido por contraseña contiene los nombres de todos los grupos de claves de cifrado y los alias de las claves de cifrado asociadas con cada grupo de claves.

Encryption Key Manager

Genera claves de cifrado y gestiona su transferencia desde y hacia dispositivos de cintas

Registra la ubicación del almacén de claves y define el comportamiento de Encryption Key Manager

Realiza el seguimiento

Tabla de

unidades

de los dispositivos a los que Encryption Key Manager da soporte

a14m0234

Almacén

de claves

Archivo

de config.

Grupos

de claves

Organiza las claves de cifrado en grupos

Figura 1-1. Los cuatro componentes principales de Encryption Key Manager

1-2 Dell Encryption Key Mgr Guía del usuario

Page 17

Gestión de cifrado

Dell Encryption Key Manager es un programa de software Java™que le ayuda a las unidades de cintas con capacidad de cifrado a generar, proteger, almacenar y mantener claves de cifrado utilizadas para cifrar la información que se graba y descifrar la información que se lee de soportes de cintas (formatos de cinta y cartuchos). Encryption Key Manager funciona en Linux (SLES y RHEL) y Windows, y está diseñado para ejecutarse en segundo plano como un recurso compartido desplegado en varias ubicaciones de una empresa. Una interfaz de la línea de mandatos cliente proporciona un robusto conjunto de mandatos para personalizar Encryption Key Manager para su entorno y supervisar su funcionamiento. Hay muchas funciones de personalización y supervisión disponibles en la interfaz gráfica de usuario (GUI) de Dell Encryption Key Manager. Encryption Key Manager utiliza uno o más almacenes de claves para guardar los certificados y claves (o punteros a los certificados y claves) necesarios para todas las tareas de cifrado. Consulte el apartado “Consideraciones sobre el almacén de claves” en la página 2-3 para obtener información detallada.

IMPORTANTE Encryption Key Manager INFORMACIÓN DE CONFIGURACIÓN DEL SERVIDOR DE HOST: es recomendable que las máquinas que alojan el programa Dell Encryption Key Manager utilicen memoria ECC para minimizar el riesgo de pérdida de datos. Encryption Key Manager realiza la función de solicitar la generación de claves de cifrado y de pasar dichas claves a las unidades de cintas LTO4yLTO5.Elmaterial de las claves, en formato empaquetado (cifrado) reside en la memoria del sistema mientras es procesado por Encryption Key Manager. Tenga en cuenta que el material de las claves debe ser transferido sin errores a la unidad de cintas correspondiente para que los datos grabados en un cartucho puedan ser recuperados (descifrados). Si, por algún motivo, el material de las claves (en formato empaquetado o no) resulta dañado debido a un error de bit en la memoria del sistema y ese material de claves se utiliza para grabar datos en un cartucho, los datos escritos en el cartucho no podrán ser recuperados (no podrán ser descifrados posteriormente). Existen métodos para asegurar que tales errores no se producen. Sin embargo, si la máquina que aloja Encryption Key Manager no está utilizando memoria ECC (Código de corrección de errores), existe la posibilidad de que el materia de las claves resulte dañado mientras está en la memoria del sistema y que los daños provoquen una pérdida de datos. La probabilidad de que esto suceda es baja, pero siempre es recomendable que las máquinas que alojan aplicaciones vitales (como Encryption Key Manager) utilicen memoria ECC.

Encryption Key Manager actúa como un proceso en segundo plano en espera de solicitudes de generación de clave o de recuperación de claves que le sean enviadas mediante una vía de comunicación TCP/IP entre la aplicación y la biblioteca de cintas. Cuando una unidad de cintas graba datos cifrados, primero solicita una clave de cifrado de Encryption Key Manager. Al recibir la solicitud, Encryption Key Manager realiza las siguientes tareas.

Encryption Key Manager captura una clave AES existente de un almacén de claves y la empaqueta para realizar una transferencia segura a la unidad de cintas donde se desempaqueta al llegar y se utiliza para cifrar los datos grabados en cinta.

Cuando una unidad LTO4oLTO5leeunacinta cifrada, Encryption Key Manager captura la clave requerida del almacén, utiliza la información en el ID de clave de la cinta, y la sirve a la unidad de cintas empaquetada para una transferencia segura.

Capítulo 1. Visión general del cifrado de cintas 1-3

Page 18

hay dos métodos entre los que elegir para la gestión de cifrado. Estos métodos difieren del lugar donde reside el motor de política de cifrado, dónde se realiza la gestión de claves para su solución y cómo se conecta a la unidad Encryption Key Manager. El entorno operativo determina cuál es el que mejor se adapta en cada caso. La gestión de claves y el motor de políticas de cifrado se pueden encontrar en una de las siguientes dos capas del entorno.

Aplicación

Política

Vía de acceso de datos

o bien

Biblioteca

Política

Interfaz de unidad de

biblioteca

Figura 1-2. Hay dos posibles ubicaciones para el motor de políticas de cifrado y la gestión de claves.

Capa de la aplicación

Un programa de aplicación, independiente del gestor de claves, inicia una transferencia de datos para el almacenamiento en cinta. Consulte el apartado “Cifrado de cintas gestionado por aplicaciones” para ver las aplicaciones soportadas.

a14m0252

Capa de la biblioteca

El alojamiento del almacenamiento en cintas, como la biblioteca de cintas Dell PowerVault TL2000/TL4000 y la familia de productos ML6000. Una biblioteca de cintas moderna contiene una interfaz interna para cada una de sus unidades de cintas.

Cifrado de cintas gestionado por aplicaciones

Este método es el mejor cuando los sistemas operativos ejecutan una aplicación que ya es capaz de generar y gestionar políticas y claves de cifrado. Las políticas que especifican cuándo se debe utilizar el cifrado se definen mediante la interfaz de aplicación. Las políticas y las claves pasan por la vía de acceso de datos entre la capa de la aplicación y las unidades de cintas de cifrado. El cifrado es el resultado de la interacción entre la unidad de cintas habilitada para el cifrado y la aplicación, y no es necesario que se realicen cambios en las capas del sistema y de la biblioteca. Dado que la aplicación gestiona las claves de cifrado, los volúmenes

1-4 Dell Encryption Key Mgr Guía del usuario

Page 19

grabados y cifrados utilizando el método de la aplicación sólo se pueden leer utilizando el método de cifrado gestionado por aplicaciones, con la misma aplicación que los grabó.

El cifrado de cintas gestionado por aplicaciones no necesita, o no utiliza, Encryption Key Manager.

Las siguientes aplicaciones de versión mínima se pueden utilizar para gestionar el cifrado:

v CommVault Galaxy 7.0 SP1 v Symantec Backup Exec 12

Se da soporte al cifrado de cintas gestionado por aplicaciones en las unidades de cintas LTO4yLTO5en:

™

v Biblioteca de cintas Dell

PowerVault™TL2000

v Biblioteca de cintas Dell™PowerVault™TL4000

™

v Biblioteca de cintas Dell

PowerVault™ML6000

Consulte la documentación de su software de aplicación de copia de seguridad de cintas para aprender cómo gestionar políticas y claves de cifrado.

Cifrado de cintas gestionado por bibliotecas

Utilice este método para las unidades de cintas LTO4yLTO5enlalaBiblioteca de cintas Dell TL4000 o la Biblioteca de cintas Dell™PowerVault™ML6000conectada en abierto. La generación de claves y gestión es realizada por Encryption Key Manager, una aplicación Java que se ejecuta en un host conectado a la biblioteca. Las claves y el control de políticas pasan a través de la interfaz biblioteca a unidad, por lo que el cifrado es transparente para las aplicaciones.

™

PowerVault™TL2000, la Biblioteca de cintas Dell™PowerVault

™

Acerca de las claves de cifrado

Una clave de cifrado es una serie aleatoria de bits generada específicamente para desordenar y ordenar los datos. Las claves de cifrado se crean utilizando algoritmos diseñados para garantizar que cada clave sea única e imprevisible. Cuanto más larga sea la clave creada de este modo, más difícil será romper el código de cifrado. Los métodos de cifrado IBM y T10 utilizan claves de algoritmo AES de 256 bits para cifrar los datos. AES de 256 bits es el cifrado estándar que actualmente reconoce y recomienda el gobierno de Estados Unidos, que permite tres longitudes distintas. Las claves de 256 bits son las más largas permitidas por AES.

Encryption Key Manager utiliza dos tipos de algoritmos de cifrado: algoritmos simétricos y algoritmos asimétricos. El cifrado de claves secretas o simétricas utiliza una única clave para el cifrado o el descifrado. El cifrado de clave simétrico se utiliza, generalmente, para cifrar grandes cantidades de datos de una manera eficaz. Las claves AES de 256 bits son claves simétricas. El cifrado público/privado o asimétrico utiliza un par de claves. Los datos cifrados utilizando una clave sólo se pueden descifrar utilizando la otra clave en el par de claves público/privado. Cuando se genera un par de claves asimétricas, se utiliza la clave pública para cifrar y la clave privada para descifrar.

Capítulo 1. Visión general del cifrado de cintas 1-5

Page 20

Encryption Key Manager utiliza claves simétricas y asimétricas: cifrado simétrico para el cifrado de alta velocidad de usuarios o datos del host, y cifrado asimétrico (más lento) para proteger la clave simétrica.

Las claves de cifrado pueden ser generadas para Encryption Key Manager por un programa de utilidad como keytool. La responsabilidad de generar claves AES y la manera en que se transmiten a la unidad de cintas dependen del método de gestión del cifrado. Sin embargo, puede que sea útil comprender la diferencia entre cómo Encryption Key Manager utiliza las claves de cifrado y cómo las usan otras aplicaciones.

Proceso de claves de cifrado por parte de Dell Encryption Key Manager

En el cifrado de cintas gestionado por bibliotecas, los datos no cifrados se envían a la unidad de cintas LTO4oLTO5yseconvierten en texto cifrado utilizando una clave de datos (DK) simétrica generada previamente de un almacén de claves a disposición de Encryption Key Manager, para luego grabarse en cintas. Encryption Key Manager selecciona una clave de datos pregenerada con el método round robin. Las claves de datos se reutilizan en varios cartuchos de cinta cuando se ha generado previamente un número insuficiente de claves de datos. Encryption Key Manager envía la clave de datos a la unidad de cintas LTO4oLTO5enformato cifrado o empaquetado. Las unidades de cintas LTO4yLTO5desempaquetan esta clave de datos y la utilizan para llevar a cabo el cifrado o el descifrado. Sin embargo, no se almacenan claves empaquetadas en los cartuchos de cinta LTO 4 o LTO 5. Después de grabar el volumen cifrado, la clave de datos debe resultar accesible en función de la etiqueta de clave o el alias, y a disposición de Encryption Key Manager para que se pueda leer el volumen. En la Figura 1-3 en la página 1-7 se muestra este proceso.

Dell Encryption Key Manager le ofrece también la posibilidad de organizar las claves simétricas para el cifrado LTO en grupos de claves. De este modo, puede agrupar las claves según el tipo de datos que cifren, los usuarios que tengan acceso a ellas, o por otras características significativas. Consulte el apartado “Creación y gestión de grupos de claves” en la página 3-14 para obtener más información.

Proceso de claves de cifrado por parte de otras aplicaciones

En el cifrado de cintas gestionado por aplicaciones, los datos no cifrados se envían a las unidades de cintas LTO4oLTO5yseconvierten en texto cifrado utilizando una clave de datos simétrica proporcionada por la aplicación, para luego grabarse en cintas. La clave de datos no se almacena en ningún lugar del cartucho de cinta. Después de grabar el volumen cifrado, la clave de datos se debe encontrar en una ubicación a la que tenga acceso la aplicación, como una base de datos de servidor, para que se pueda leer el volumen.

Las unidades de cintas LTO4yLTO5pueden utilizar aplicaciones como Yosemite (para las bibliotecas de cintas Dell PowerVault TL2000 y TL4000), CommVault y Symantec Backup Exec para el cifrado gestionado por aplicaciones.

Las aplicaciones que utilizan el conjunto de mandatos T10 para realizar el cifrado también pueden utilizar las unidades de cintas LTO4yLTO5.Elconjunto de mandatos T10 utiliza claves AES simétricas de 256 bits proporcionadas por la aplicación. T10 puede utilizar varias claves de datos exclusivas por cartucho de cinta, e incluso grabar datos cifrados y datos sin cifrar en el mismo cartucho de cinta. Cuando la aplicación cifra un cartucho de cinta, selecciona o genera una

1-6 Dell Encryption Key Mgr Guía del usuario

Page 21

clave de datos utilizando un método determinado por la aplicación y lo envía a la unidad de cintas. La clave no se empaqueta con una clave pública asimétrica y no se almacena en el cartucho de cinta. Después de grabar los datos cifrados en la cinta, la clave de datos se debe encontrar en una ubicación disponible para la aplicación para poder leer los datos.

El proceso del cifrado de cintas gestionado por bibliotecas y gestionado por aplicaciones se muestra en la Figura 1-3.

Datos sin

formato

C {datos,DK}

sim

Clave de datos (DK)

Figura 1-3. Cifrado utilizando claves de cifrado simétricas. Cifrado gestionado por bibliotecas y gestionado por aplicaciones en unidades de cintas LTO4yLTO5.

Texto

cifrado

Cinta

cifrada

En resumen

El número de claves de cifrado que se pueden utilizar para cada volumen depende de la unidad de cintas, el estándar de cifrado y el método utilizado para gestionar el cifrado. Para un cifrado transparente de LTO4yLTO5,esdecir, utilizando el cifrado gestionado por bibliotecas con Encryption Key Manager, la exclusividad de las claves de datos depende de la disponibilidad de un número suficiente de claves generadas previamente para Encryption Key Manager.

Tabla 1-1. Resumen de claves de cifrado

Claves utilizadas por

Método de gestión de cifrado

Cifrado gestionado por bibliotecas

Cifrado gestionado por aplicaciones

Cifrado de IBM Cifrado de T10

1 clave de datos / cartucho N/A

Varias claves de datos /

cartuchos

Varias claves de datos /

cartuchos

a14m0236

Clave de datos = Clave de datos AES simétrica de 256 bits

Capítulo 1. Visión general del cifrado de cintas 1-7

Page 22

1-8 Dell Encryption Key Mgr Guía del usuario

Page 23

Capítulo 2. Planificación del entorno de Encryption Key Manager

Esta sección está destinada a proporcionar información que le permitirá determinar la configuración de Encryption Key Manager que mejor se adapte a sus necesidades. Deben tenerse en cuenta muchos factores para planificar cómo configurar la estrategia de cifrado.

Las tareas de configuración de cifrado de un vistazo

Para poder utilizar la posibilidad de cifrado de la unidad de cintas, debe satisfacer determinados requisitos de software y hardware. El objetivo de las listas de comprobación siguientes es ayudarle a satisfacer estos requisitos.

Tareas de configuración de Encryption Key Manager

Antes de poder cifrar cintas, deberá configurar y ejecutar primero Encryption Key Manager para que pueda comunicarse con las unidades de cintas de cifrado. Encryption Key Manager no necesita estar ejecutándose mientras se instalan las unidades de cintas, pero debe estar ejecutándose para realizar el cifrado.

v Decida qué plataforma(s) utilizar como servidor(es) Encryption Key Manager. v Actualice el sistema operativo del servidor, si es necesario. (Consulte el apartado

“Requisitos de hardware y software” en la página 2-2).

v Instale los archivos de políticas sin restricciones de Java. (Consulte el apartado

“Requisitos de hardware y software” en la página 2-2).

v Actualice el JAR de Encryption Key Manager. (Consulte “Descarga de la última

versión de la imagen ISO del gestor de claves” en la página 3-1).

v Cree claves, certificados y grupos de claves.

“Uso de la GUI para crear un archivo de configuración, un almacén de claves y certificados” en la página 3-5

“Creación y gestión de grupos de claves” en la página 3-14

v Estos pasos no son necesarios si sigue el procedimiento del apartado “Uso de la

GUI para crear un archivo de configuración, un almacén de claves y certificados” en la página 3-5, a menos que desee sacar provecho de las opciones de configuración adicionales:

– Si fuese necesario, importe las claves y los certificados. (Consulte el apartado

“Importación de claves de datos utilizando Keytool -importseckey ” en la página 3-12.)

– Defina el archivo de propiedades de configuración. (Consulte el Capítulo 4,

“Configuración de Encryption Key Manager”, en la página 4-1).

– Defina las unidades de cintas en Encryption Key Manager o establecer el

valor de la propiedad de configuración drive.acceptUnknownDrives. (Consulte el mandato “adddrive” en la página 5-8 para definir las unidades de manera explícita, o consulte el apartado “Actualización automática de la tabla de unidades de cintas” en la página 4-1).

– Inicie el servidor Encryption Key Manager. (Consulte el apartado “Inicio,

Renovación y Detención del Servidor del gestor de claves” en la página 5-1.)

– Inicie el cliente de la interfaz de línea de mandatos. (Consulte el apartado

“Cliente de la interfaz de línea de mandatos” en la página 5-5.)

2-1

Page 24

Planificación para el cifrado de cintas gestionado por bibliotecas

Para realizar el cifrado, necesita:

v Unidades de cintas LTO4yLTO5conposibilidades de cifrado v Almacén de claves v Dell Encryption Key Manager

Tareas de cifrado de cintas gestionado por bibliotecas

1. Instale y conecte las unidades de cintas LTO4yLTO5.

v Actualice el firmware de la biblioteca (TL2000, TL4000, ML6000 cuando sea

necesario). Visite http://support.dell.com.

™

– Mínima versión de firmware de Biblioteca de cintas Dell

TL2000 necesaria = 5.xx.

– Mínima versión de firmware de Biblioteca de cintas Dell

TL4000 necesaria = 5.xx.

– Mínima versión de firmware necesaria para la familia de Biblioteca de

cintas Dell

™

PowerVault™ML6000 = 415G.xxx.

v Actualice el firmware de la unidad de cintas si es necesario. La versión

mínima y necesaria del firmware es 77B5.

2. Habilite las unidades de cintas y la biblioteca de cintas LTO4yLTO5para el cifrado de cintas gestionado por bibliotecas (consulte la información de la biblioteca de cintas de Dell para obtener más información).

v Añada las direcciones IP de Encryption Key Manager Server

3. Utilice las funciones de diagnóstico de biblioteca para verificar las vías de acceso de Encryption Key Manager y la configuración de cifrado (consulte la información de la biblioteca de cintas de Dell para obtener más detalles).

PowerVault

™

PowerVault

™

Requisitos de hardware y software

Nota: Sólo la versión IBM de Java Runtime Environment (JRE) para cada una de

las siguientes plataformas da soporte a Encryption Key Manager.

Linux Solution Components

Sistemas operativos

v RHEL 4 v RHEL 5 v SLES 9 v SLES 10 v SLES 11

Encryption Key Manager (cuando se ejecuta en Linux)

Tabla 2-1. Requisitos mínimos de software para Linux

Plataforma

AMD/Opteron/EM64T de 64 bits

Compatible con Intel bits

de 32

IBM Software Developer Kit Disponible en:

Java 6.0 SR5 http://support.dell.com

2-2 Dell Encryption Key Mgr Guía del usuario

Page 25

Bibliotecas de cintas

Para la biblioteca de cintas Dell PowerVault TL2000, la biblioteca de cintas TL4000 y la biblioteca de cintas ML6000, asegúrese de que el nivel de firmware es el último disponible. Para actualizar el firmware, visite http://support.dell.com.

Unidad de cintas

Para las unidades de cintas LTO4yLTO5,asegúrese de que el nivel de firmware es el último disponible. Para actualizar el firmware, visite http://support.dell.com.

Windows Solution Components

Sistemas operativos

Windows Server 2003, 2008 y 2008 R2

Dell Encryption Key Manager

La versión mínima requerida de Encryption Key Manager es la 2.1 con una fecha de compilación de 20070914 o posterior, y uno de los siguientes IBM Runtime Environments:

Tabla 2-2. Requisitos mínimos de software para Windows

Sistema operativo IBM Runtime Environment

Windows 2003

Windows 2008 y 2008 R2

v Entorno de ejecución IBM

arquitectura AMD64/EM64T, Java 2 Technology Edition, Versión 5.0 SR5

v Entorno de ejecución IBM de 32 bits para Windows, Java 2

Technology Edition, Versión 5.0 SR5

Entorno de ejecución IBM de 64 para Windows en la arquitectura AMD64/EM64T, Java 2 Technology Edition, Versión 6.0 SR5

de 64 bits para Windows en la

Bibliotecas de cintas

Para Biblioteca de cintas Dell™PowerVault™TL2000, Biblioteca de cintas Dell PowerVault™TL4000 y Biblioteca de cintas Dell™PowerVault™ML6000, asegúrese de que el nivel de firmware es el último disponible. Para actualizar el firmware, visite http://support.dell.com.

Unidad de cintas

Para las unidades de cintas LTO4yLTO5,asegúrese de que el nivel de firmware es el último disponible. Para actualizar el firmware, visite http://support.dell.com.

Consideraciones sobre el almacén de claves

Es imposible exagerar la importancia de preservar sus datos del almacén de claves. Sin acceso al almacén de claves, no podrá descifrar las cintas cifradas. Lea con atención los temas siguientes para comprender los métodos disponibles para proteger los datos del almacén de claves.

Capítulo 2. Planificación del entorno de Encryption Key Manager 2-3

™

Page 26

Almacén de claves JCEKS

EKM da soporte al tipo de almacén de claves JCEKS.

JCEKS (basado en archivos de Unix System Services) es un almacén de claves basado en archivos al que se da soporte en todas las plataformas en las que se ejecuta EKM. Por lo tanto, resulta bastante fácil copiar el contenido de este almacén de claves para realizar copias de seguridad o recuperaciones, así como mantener dos instancias de EKM sincronizadas para la migración tras error. JCEKS proporciona protección basada en contraseña del contenido del almacén de claves de seguridad, y su rendimiento es bastante bueno. Se pueden utilizar métodos de copia de archivos, como FTP.

Claves de cifrado y las unidades de cintas LTO4yLTO5

Dell Encryption Key Manager y sus unidades de cintas soportadas utilizan claves simétricas AES de 256 bits para cifrar datos. Este tema explica lo que debe saber acerca de estas claves y certificados.

Cuando se realizan tareas de cifrado en las unidades de cinta LTO4oLTO5para cartuchos de cinta LTO, Encryption Key Manager sólo utiliza claves de datos simétricas AES de 256 bits.

Cuando LTO4oLTO5solicitan una clave, Encryption Key Manager utiliza el alias especificado para la unidad de cintas. Si no se ha especifica ningún alias para la unidad de cintas, se utiliza un alias de un grupo de claves, una lista de alias de claves o un intervalo de alias de claves especificados en la propiedad de configuración symmetricKeySet. Si falta un alias específico de la unidad de cintas, se seleccionan alias de las otras entidades con el método round robin para equilibrar el uso de claves.

El alias seleccionado se asocia con una clave de datos (DK) simétrica que ha cargado previamente en el almacén de claves. Encryption Key Manager envía esta clave de datos, empaquetada con una clave distinta que la unidad de cintas puede descifrar, a la unidad de cintas LTO4oLTO5para cifrar los datos. La clave de datos no se transmite mediante TCP/IP en la copia no cifrada. El alias seleccionado también se convierte en una unidad denominada identificador de claves de datos (DKi), que se graba en una cinta con los datos cifrados. De esta manera, Encryption Key Manager puede utilizar el identificador de claves de datos para identificar la clave de datos correcta necesaria para descifrar los datos cuando se lee la cinta LTO4oLTO5.

En los temas adddrive y moddrive del apartado “Mandatos CLI” en la página 5-8 se muestra cómo especificar un alias para una unidad de cintas. Consulte el apartado “Generación de claves y alias para el cifrado en LTO4yLTO5”enla página 3-9, que incluye información sobre la importación de claves, la exportación de claves y la especificación de alias predeterminados en la propiedad de configuración symmetricKeySet. En el apartado “Creación y gestión de grupos de claves” en la página 3-14 se muestra cómo definir un grupo de claves y rellenarlo con alias del almacén de claves.

La Figura 2-1 en la página 2-5 muestra cómo se procesan las claves para las operaciones de grabación cifrada.

2-4 Dell Encryption Key Mgr Guía del usuario

Page 27

DK, DKi

Key Manager

alias

Almacén

de claves

Figura 2-1. Solicitud de la unidad de cintas LTO4oLTO5para una operación de grabación cifrada

Archivo

de config

Tabla de

unidades

1. La unidad de cintas solicita una clave para cifrar cintas

2. Encryption Key Manager verifica el dispositivo de cintas en la tabla de

unidades

3. Si no se especifica ningún alias en la solicitud ni tampoco en la tabla de unidades, Encryption Key Manager selecciona un alias del conjunto de alias o del grupo de claves en keyAliasList

4. Encryption Key Manager captura una clave de datos correspondiente del almacén de claves

5. Encryption Key Manager convierte el alias en un identificador de claves de datos y empaqueta la clave de datos con una clave que la unidad puede descifrar

6. Encryption Key Manager envía la clave de datos y el identificador de claves de datos a la unidad de cintas

7. La unidad de cintas desempaqueta la clave de datos y graba los datos cifrados y el identificador de claves de datos en la cinta

La Figura 2-2 muestra cómo se procesan las claves para las operaciones de lectura cifrada.

Key Manager

DKi Alias

Archivo

de config

Almacén

de claves

Figura 2-2. Solicitud de la unidad de cintas LTO4oLTO5para una operación de lectura de cifrado

Tabla de

unidades

Capítulo 2. Planificación del entorno de Encryption Key Manager 2-5

Page 28

1. La unidad de cintas recibe la solicitud de lectura y envía el identificador de claves de datos a Encryption Key Manager

2. Encryption Key Manager verifica el dispositivo de cintas en la tabla de unidades

3. Encryption Key Manager convierte el identificador de claves de datos en un alias y captura la clave de datos correspondiente del almacén de claves

4. Encryption Key Manager empaqueta la clave de datos con una clave que la unidad puede descifrar

5. Encryption Key Manager envía la clave de datos empaquetada a la unidad de cintas

6. La unidad de cintas desempaqueta la clave de datos y la utiliza para descifrar los datos

Creación de copias de seguridad de los datos del almacén de claves

Nota: Debido a la importancia de las claves del almacén de claves, es

fundamental realizar copias de seguridad de estos datos en un dispositivo no cifrado, para poder recuperarlos si lo necesita y poder acceder a las cintas cifradas utilizando dichos certificados asociados a la biblioteca o la unidad de cintas. Si no realiza correctamente copias de seguridad del almacén de claves, perderá de manera irrevocable el acceso a todos los datos cifrados.

Hay muchas maneras de realizar una copia de seguridad de esta información del almacén de claves. Cada tipo de almacén de claves tiene sus propias características. Estas directrices generales se aplican en todos los casos:

v Guarde una copia de todos los certificados cargados en el almacén de claves

(por lo general, un archivo de formato PKCS12).

v Utilice las funciones de copia de seguridad del sistema (como RACF) para crear

una copia de seguridad de la información del almacén de claves (tenga cuidado de no cifrar esta copia utilizando las unidades de cintas cifradas, ya que imposibilitaría el descifrado y la recuperación).

v Mantenga un Encryption Key Manager primario y secundario y una copia del

almacén de claves (para copias de seguridad y como redundancia en caso de migración tras error). Realice una copia de seguridad del almacén de claves primario y secundario, para una mayor redundancia.

v Para un almacén de claves JCEKS, sólo tiene que copiar el archivo de almacén

de claves y almacenar la copia clara (sin cifrar) en una ubicación segura, como una caja fuerte (tenga cuidado de no descifrar esta copia utilizando las unidades de cintas cifradas, ya que sería imposible descifrarlas y recuperarlas).

Como mínimo, debe realizar una copia de seguridad de los datos del almacén de claves siempre que los modifique. Encryption Key Manager no modifica los datos del almacén de claves. Los únicos cambios que se realizan sobre el almacén de claves son aquellos que se aplican, así que debe tener cuidado y copiar el almacén de claves en cuanto lo modifique.

Copias de seguridad de los archivos utilizando la GUI

1. Abra la GUI si todavía no la ha iniciado:

En Windows

Vaya a c:\ekm\gui y pulse LaunchEKMGui.bat

2-6 Dell Encryption Key Mgr Guía del usuario

Page 29

En plataformas Linux

Vaya a /var/ekm/gui y especifique . ./LaunchEKMGui.sh

2. Seleccione Backup Critical Files en el navegador en la parte izquierda de la GUI de Encryption Key Manager.

3. Especifique la vía de acceso de los datos con copia de seguridad en el diálogo que aparece (Figura 2-3).

Figura 2-3. Ventana de copia de seguridad de archivos fundamentales

4. Pulse Backup Files.

5. Aparece un mensaje de información con los resultados obtenidos.

Varios gestores de claves para obtener redundancia

Encryption Key Manager está diseñado para funcionar con unidades de cintas y bibliotecas para permitir la redundancia y, por tanto, la alta disponibilidad, por lo que es posible tener varios gestores de claves dando servicio al mismo tipo de unidades y bibliotecas de cintas. Además, estos gestores de claves no se tienen que encontrar en los mismos sistemas que las bibliotecas y las unidades de cintas. El número máximo de gestores de claves depende de la biblioteca o el proxy. El único requisito es que la clave esté a disposición de las unidades de cintas por medio de conectividad TCP/IP.

Esto permite tener dos instancias de Encryption Key Manager que son imágenes duplicadas entre sí con una copia de seguridad integrada de la información crítica acerca de sus almacenes de claves, así como una migración tras error en caso de que uno de los gestores de clave deje de estar disponible. Cuando configure el dispositivo (o proxy), puede hacer que señale a dos gestores de claves. Si un gestor de claves deja de estar disponible por cualquier motivo, el dispositivo (o biblioteca de ) se limitará a utilizar el gestor de claves alternativo.

a14m0241

Capítulo 2. Planificación del entorno de Encryption Key Manager 2-7

Page 30

Tiene también la capacidad de mantener los dos Encryption Key Manager sincronizados. Es muy importante que utilice esta función cuando sea necesario, tanto por la copia de seguridad inherente de datos fundamentales como por la función de migración tras error, que le ayudará a evitar interrupciones en el funcionamiento de las cintas. Consulte el apartado “Sincronización de datos entre dos servidores del gestor de claves” en la página 4-2.

Nota: La sincronización no incluye los almacenes de claves. Se deben copiar a

mano.

Configuraciones del servidor Encryption Key Manager

Encryption Key Manager puede instalarse en uno o varios servidores. En los ejemplos siguientes se muestran configuraciones de un gestor de claves y de dos, pero es posible que la biblioteca admita más.

Configuración de servidor individual

Una configuración de con un solo servidor, como la que se muestra en la Figura 2-4, es la configuración de Encryption Key Manager más sencilla. Sin embargo, dada la falta de redundancia, no es recomendable. En esta configuración, todas las unidades de cintas se basan en un servidor individual del gestor de claves sin copia de seguridad. Si el servidor se cuelga, el almacén de claves, el archivo de configuración, el archivo KeyGroups.xml y la tabla de unidades dejarán de estar disponibles, lo que impediría leer la cinta cifrada. En una configuración con un solo servidor deberá comprobar que las copias de seguridad del almacén de claves, archivo de configuración, archivo KeyGroups.xml y tabla de unidades se guardan en lugar seguro, separadas de Encryption Key Manager, para que pueda reconstruirse su función en un servidor de sustitución si se pierden las copias del servidor.

Figura 2-4. Configuración de servidor individual

Configuraciones de dos servidores

Se recomienda una configuración de dos servidores. Esta configuración de Encryption Key Manager realizará automáticamente una migración tras error al gestor de claves secundario si no puede accederse al primario por cualquier motivo.

Nota: Cuando se utilizan distintos servidores Encryption Key Manager para

gestionar solicitudes del mismo conjunto de unidades de cintas, la información asociada en los almacenes de claves DEBE ser idéntica. Esto es necesario para que, al margen del servidor del gestor de claves con el que se establezca contacto, la información necesaria esté disponible para dar soporte a las solicitudes de las unidades de cintas.

2-8 Dell Encryption Key Mgr Guía del usuario

Page 31

Configuraciones idénticas: En un entorno con dos servidores Encryption Key

Manager con configuraciones idénticas, como los que aparecen en la Figura 2-5, el proceso realizará automáticamente una migración tras error al gestor de claves secundario si el primario falla. En una configuración de este tipo, es fundamental que los dos servidores del gestor de claves estén sincronizados. Las actualizaciones sobre el archivo de configuración y la tabla de unidades de un servidor del gestor de claves se pueden reproducir en el otro automáticamente, utilizando el mandato sync, pero las actualizaciones de un almacén de claves se deben copiar en el otro utilizando métodos específicos de los almacenes de claves que se están utilizando. El archivo XML de los almacenes de claves y los grupos de claves deben copiarse manualmente. Consulte el apartado “Sincronización de datos entre dos servidores del gestor de claves” en la página 4-2 para obtener más información.

Figura 2-5. Dos servidores con configuraciones compartidas

Configuraciones individuales: Dos servidores Encryption Key Manager pueden compartir un almacén de claves y tabla de unidades común y tener dos archivos de configuración diferentes y dos conjuntos distintos de grupos de claves definidos en sus archivos XML. El único requisito es que las claves utilizadas para dar servicio a las unidades de cintas comunes sean las mismas para cada servidor. Esto permite que cada servidor del gestor de claves tenga su propio conjunto de propiedades. En este tipo de configuración, que se ve en la Figura 2-6, sólo se debe sincronizar la tabla de unidades entre los servidores del gestor de claves. (Consulte el apartado “Sincronización de datos entre dos servidores del gestor de claves” en la página 4-2 para obtener más información). Asegúrese de especificar sync.type = drivetab (no especifique config o all) para evitar que se sobrescriban los archivos de configuración.

Nota: No hay manera de compartir parcialmente la configuración entre servidores.

Figura 2-6. Dos servidores con configuraciones distintas accediendo a los mismos dispositivos

Capítulo 2. Planificación del entorno de Encryption Key Manager 2-9

Page 32

Consideraciones sobre el sitio de recuperación en caso de error

Si planea utilizar un sitio de recuperación en caso de error (DR), Encryption Key Manager proporciona un número de opciones para permitir que dicho sitio pueda leer y grabar cintas cifradas. Son las siguientes:

v Cree un Encryption Key Manager duplicado en el sitio DR.

Establezca un Encryption Key Manager duplicado en el sitio DR con la misma información que en el Encryption Key Manager local (archivo de configuración, tabla de unidades de cintas, archivo XML de grupos de claves y el almacén de claves). Este gestor de claves está ahora preparado para encargarse de que uno de los gestores de claves de producción existentes lea y grabe cintas cifradas.

v Cree una copia de seguridad de los tres archivos de datos de Encryption Key

Manager para poder recuperarlos en caso necesario. Si crea una copia actual de los cuatro elementos de datos necesarios para

Encryption Key Manager (archivo de configuración, tabla de unidades de cintas, archivo XML de grupos clave y almacén de claves), podrá iniciar un gestor de claves en cualquier momento para que actúe como duplicado en el sitio DR. (Recuerde que no debe utilizar Encryption Key Manager para cifrar las copias de estos archivos ya que no podrá cifrarlas sin un gestor de claves operativo). Si el sitio de recuperación en caso de error utiliza distintas unidades de cintas del sitio primario, el archivo de configuración y la tabla de unidades deben contener la información correcta para el sitio de recuperación en caso de error.

Consideraciones para compartir cintas cifradas fuera del sitio

Nota: Es importante verificar la validez de los certificados recibidos de un

business partner comprobando la cadena de confianza de dicho certificado hasta la entidad emisora de certificados (CA) que lo firmó. Si confía en la CA, puede fiarse del certificado. La validez del certificado también se puede verificar si se ha protegido con seguridad durante el tránsito. Si no se verifica la validez de un certificado de una de estas maneras se puede recibir un ataque de tipo “Man-in-the-Middle”.

Compartir cintas LTO4yLTO5

Para compartir datos cifrados en una cinta LTO4oLTO5,esnecesario que la otra organización disponga de una copia de la clave simétrica utilizada para cifrar los datos en la cinta, lo que le permitirá leer la cinta. Para compartir la clave simétrica, la otra organización debe compartir su clave pública con usted. Esta clave pública será utilizada para empaquetar la clave simétrica cuando se exporta desde el almacén de claves de Encryption Key Manager utilizando keytool (consulte el apartado “Exportación de claves de datos utilizando Keytool -exportseckey ” en la página 3-13). Cuando la otra organización importa la clave simétrica en su almacén de claves de Encryption Key Manager, será desempaquetada utilizando su clave privada correspondiente (consulte el apartado “Importación de claves de datos utilizando Keytool -importseckey ” en la página 3-12). Así se garantiza que la clave simétrica esté segura durante el tránsito, dado que sólo el poseedor de la clave privada puede desempaquetar la clave simétrica. Con la clave simétrica utilizada para cifrar los datos en su almacén de claves de Encryption Key Manager, la otra organización podrá leer los datos en la cinta.

2-10 Dell Encryption Key Mgr Guía del usuario

Page 33

Consideraciones sobre el Estándar federal de procesamiento de la información (FIPS) 140-2

El Estándar federal de procesamiento de la información 140-2 ha ganado importancia ahora que el gobierno federal exige que todos sus proveedores de criptografía posean el certificado FIPS 140. Este estándar también se adopta cada vez en más empresas del sector privado. La certificación de las funciones criptográficas por parte de un tercero de acuerdo con los estándares gubernamentales ha mejorado la calidad en un mundo preocupado por la seguridad.

Encryption Key Manager no proporciona funciones criptográficas por sí mismo y, por lo tanto, no necesita ni puede obtener la certificación FIPS 140-2. Sin embargo, Encryption Key Manager utiliza las funciones criptográficas de IBM JVM en el componente IBM Java Cryptographic Extension y permite la selección y uso del proveedor criptográfico IBMJCEFIPS, que cuenta con una certificación FIPS 140-2 de nivel 1. Al establecer el parámetro de configuración fips en on en el archivo de propiedades de configuración, Encryption Key Manager utilizará el proveedor IBMJCEFIPS para todas las funciones criptográficas.

Consulte la documentación de proveedores específicos de hardware y software para obtener información sobre si sus productos han sido certificados por FIPS 140-2.

Capítulo 2. Planificación del entorno de Encryption Key Manager 2-11

Page 34

2-12 Dell Encryption Key Mgr Guía del usuario

Page 35

Capítulo 3. Instalación de Encryption Key Manager y almacenes de claves

Encryption Key Manager incluye la instalación de IBM Java Virtual Machine y requiere IBM Software Developer Kit para Linux, e IBM Runtime Environment para Windows (consulte el apartado “Requisitos de hardware y software” en la página 2-2). Siga el procedimiento indicado para el sistema operativo:

v “Instalación de Encryption Key Manager en Linux” v “Instalación de Encryption Key Manager en Windows” en la página 3-2

Si no está seguro de tener la última versión de Encryption Key Manager, “Descarga de la última versión de la imagen ISO del gestor de claves” explica cómo determinar si existe una versión más reciente. Es una buena idea obtener la versión más reciente de Encryption Key Manager, que puede que no esté en su instalación de Java. Visite http://support.dell.com para obtener más información.

Descarga de la última versión de la imagen ISO del gestor de claves

Para descargar la última versión de la imagen ISO de Dell, vaya a http://support.dell.com.

Instalación de Encryption Key Manager en Linux

Instalación de Encryption Key Manager en Linux desde el CD

1. Inserte el CD de Dell Encryption Key Manager y especifique Install_Linux desde el directorio raíz del CD.

La instalación copia todo el contenido (documentación, archivos de la GUI y archivos de propiedades de configuración) correspondiente al sistema operativo

3-1

Page 36

desde el CD a la unidad de disco duro. Durante la instalación, se revisa el sistema para buscar el IBM Java Runtime Environment correcto. Si no se encuentra, se instala automáticamente.

Cuando la instalación se haya completado, se inicia la interfaz gráfica de usuario (GUI).

Instalación manual del Software Developer Kit en Linux

Siga estos pasos si no está realizando la instalación desde el CD.

1. Desde http://support.dell.com, descargue el entorno de ejecución correcto de para Java en función del sistema operativo:

v Java 6 SR 5 (32 bits) o posterior v Java 6 SR 5 (64 bits) o posterior

2. Coloque el archivo rpm linux de Java en un directorio de trabajo:

mordor:~ #/tape/Encryption/java/1.6.0# pwd /tape/Encryption/java/1.6.0 mordor:~ #/tape/Encryption/java/1.6.0# ls ibm-java-i386-jre-6.0-5.0.i386.rpm

3. Instale el paquete rpm:

mordor:~ #rpm -ivh -nodeps ibm-java-i386-jre-6.0-5.0.i386.rpm

Así, los archivos se colocarán en el directorio /opt/ibm/java-i386-60/:

mordor:~ #/opt/ibm/java-i386-60/jre # ls .systemPrefs bin javaws lib

4. Edite el archivo /etc/profile.local (o créelo si fuese necesario) con las variables JAVA_HOME, CLASSPATH y el directorio bin de la versión de Java instalada. Añada estas tres líneas:

JAVA_HOME=/opt/ibm/java-i386-60/jre CLASSPATH=/opt/ibm/java-i386-60/jre/lib PATH=$JAVA_HOME:opt/ibm/java-i386-60/jre/bin/:$PATH

5. Cierre la sesión y vuelva a iniciarla el host para que las entradas

/etc/profile.local entren en vigor o emitan los mandatos de exportación de la línea de mandatos:

mordor:~ # export JAVA_HOME=/opt/ibm/java-i386-60/jre mordor:~ # export CLASSPATH=/opt/ibm/java-i386-60/jre/lib mordor:~ # export PATH=/opt/ibm/java-i386-60/jre/bin/:$PATH

6. Después de volver a iniciar sesión, emita el mandato java -version. Debería obtener estos resultados:

mordor:~ # java -version java version "1.6.0" Java(TM) SE Runtime Environment (build pmz60sr5-20090529(SR5)) IBM J9 VM (build 2.4, J2RE 1.6.0 IBM J9 2.4 Linux x86-32 jvmxi3260-20090519_35743 (JIT enabled) ... mordor:~ # which java /opt/ibm/java-i386-60/jre/bin/java

Instalación de Encryption Key Manager en Windows

1. Inserte el CD Dell Encryption Key Manager CD. La instalación copia todo el contenido (documentación, archivos de la GUI y

archivos de propiedades de configuración) correspondiente al sistema operativo desde el CD a la unidad de disco duro. Durante la instalación, se revisa el sistema para buscar el IBM Java Runtime Environment correcto. Si no se encuentra, se instala automáticamente.

3-2 Dell Encryption Key Mgr Guía del usuario

Page 37

Cuando la instalación se haya completado, se inicia la interfaz gráfica de usuario (GUI).

2. Cuando se abra el asistente InstallShield Wizard, pulse Next.

3. Lea el Acuerdo de licencia y pulse Yes .

4. Cuando se abra la ventana Choose Destination Location (Figura 3-1),

seleccione una carpeta y recuérdela. Necesitará esta vía de acceso de Java para iniciar Encryption Key Manager.

Figura 3-1. Ventana Choose Destination Location

Pulse Next.

5. Se abre una ventana que le pregunta si desea este Java Runtime Environment como JVM predeterminada del sistema (Figura 3-2).

Figura 3-2. Establezca esta versión de JVM como predeterminada

Capítulo 3. Instalación de Encryption Key Manager y almacenes de claves 3-3

a14m0257

a14m0232

Page 38

Pulse No.

6. Se abre la ventana Start Copying Files (Figura 3-3). Asegúrese de haber tomado nota del directorio de destino.

Figura 3-3. Ventana Start Copying Files

Pulse Next.

7. La ventana de estado indica el progreso de la instalación.

8. Se abre la ventana Browser Registration. Seleccione un navegador que utilizar

con Encryption Key Manager. Pulse Next.

9. Cuando se abra la ventana InstallShield Wizard Complete, pulse Finalizar. Tras la instalación, puede abrir un indicador de mandatos para consultar la

versión de Java instalada:

C:\WinEKM>C:\"Archivos de programa"\IBM\Java60\jre\bin\java -version java version "1.6.0" Java(TM) SE Runtime Environment (build pwi3260sr5-20090529_04(SR5)) IBM J9 VM (build 2.4, J2RE 1.6.0 IBM J9 2.4 Windows Server 2003 x86-32 j9vmwi3223-20090 519_35743 (JIT enabled, AOT enabled) ...

10. Actualice la variable PATH de la forma siguiente (necesario para Encryption Key Manager 2.1 pero opcional para si la fecha de compilación es 05032007 o anterior):

Si va a invocar el SDK de Java desde una ventana de mandatos, es posible que desee establecer la variable PATH si desea tener la posibilidad de ejecutar los archivos ejecutables de JRE de Java (java.exe) desde cualquier directorio,

3-4 Dell Encryption Key Mgr Guía del usuario

a14m0258

Page 39

sin necesidad de especificar la vía de acceso completa del mandato. Si no establece la variable PATH, debe especificar la vía de acceso completa en el ejecutable cada vez que lo ejecute, como por ejemplo:

C:>\Archivos de programa\IBM\Java60\jre\bin\java ...

Para establecer PATH permanentemente (requerido para Encryption Key Manager 2.1), añada la vía de acceso completa al directorio bin de java a la variable PATH. Por lo general, esta vía de acceso completa tiene el siguiente aspecto:

C:\Archivos de programa\IBM\Java60\jre\bin

Para establecer la variable PATH de manera permanente en Microsoft Windows 2003, 2008 y 2008 R2:

Nota: El establecimiento de la variable PATH desde la línea de mandatos no

funcionará.

a. En el menú Inicio, seleccione Configuración y, a continuación, Panel de

control.

b. Efectúe una doble pulsación en Sistema. c. Pulse en la pestaña Avanzadas. d. Pulse Variables de entorno. e. Desplace hacia abajo la lista Variables del sistema hasta encontrar la

variable Path y pulse Editar.

f. Añada la vía de acceso de IBM JVM al principio de la variable PATH.

El directorio de instalación predeterminado es C:\PROGRA~1\IBM\ Java60\jre\bin.

IMPORTANTE: inserte un punto y coma al final de la vía de acceso para diferenciarla del resto de los directorios en la lista de vías de acceso.

g. Pulse Aceptar.

Uso de la GUI para crear un archivo de configuración, un almacén de claves y certificados

Antes de iniciar Encryption Key Manager, deberá cerrar al menos un nuevo almacén de claves y al menos un certificado autofirmado. Puede utilizar la interfaz gráfica de usuario (GUI) de Dell Encryption Key Manager para crear el archivo de propiedades de configuración de Encryption Key Manager, un almacén de claves, certificado(s) y clave(s). También se crea un archivo de propiedades de configuración CLI sencillo como resultado de este proceso.

1. Abra la GUI si todavía no la ha iniciado:

En Windows

Vaya a c:\ekm\gui y pulse LaunchEKMGui.bat

En plataformas Linux

Vaya a /var/ekm/gui y especifique . ./LaunchEKMGui.sh

2. Seleccione Configuración de EKM en el navegador de la izquierda de la interfaz gráfica de usuario (GUI).

Capítulo 3. Instalación de Encryption Key Manager y almacenes de claves 3-5

Page 40

3. En la página “EKM Server Configuration” (Figura 3-4), especifique los datos en todos los campos obligatorios (indicados con un asterisco *). Algunos campos ya se han rellenado, por su comodidad. Pulse el signo de interrogación a la derecha de cualquier campo de datos para obtener una descripción. Pulse Next.

Nota: Una vez que haya establecido la contraseña del almacén de claves, no la

cambie, salvo que su seguridad haya sido vulnerada. Las contraseñas se

ocultan para eliminar los riesgos de seguridad. El cambio de la contraseña del almacén de claves exige que cada contraseña de dicho almacén de claves se cambie individualmente utilizando el mandato keytool. Consulte el apartado “Cambio de contraseñas del almacén de claves” en la página 3-12.

Figura 3-4. Página de configuración del servidor EKM

Aunque el número de claves que pueden generarse para el almacén de claves de Dell Encryption Key Manager es ilimitado, el tiempo necesario para generar las claves aumentará dependiendo del número de claves requerido. Encryption Key Manager tarda 15 segundos en generar 10 claves y unos 30 minutos en generar 10.000 claves. Tenga en cuenta que el número de claves está limitado por los recursos del servidor host (memoria en el servidor). La aplicación Encryption Key Manager mantiene la lista del almacén de claves en la memoria del sistema mientras se ejecuta para poder acceder rápidamente a las claves cuando la biblioteca envía una solicitud desde la unidad.

Nota: Interrumpir la GUI de Encryption Key Manager durante la generación

de claves requerirá la reinstalación de Encryption Key Manager.

3-6 Dell Encryption Key Mgr Guía del usuario

a14m0247

Page 41

El archivo del almacén de claves resultará dañado si detiene el proceso de generación de claves de Encryption Key Manager antes de que termine. Para recuperarse de este suceso, siga estos pasos:

v Si se ha interrumpido Encryption Key Manager durante la instalación

inicial de Encryption Key Manager, navegue hasta el directorio donde se encuentra Encryption Key Manager (por ejemplo, x:\ekm). Suprima este directorio y reinicie la instalación.

v Si Encryption Key Manager ha sido interrumpido cuando estaba

añadiendo un nuevo grupo de claves, detenga el servidor Encryption Key Manager, restaure el archivo del almacén de claves con el almacén de claves de copia de seguridad más reciente (este archivo se encuentra en la carpeta x:\ekm\gui\backupfiles). Tenga en cuenta que el archivo de copia de seguridad contiene la indicación de la fecha y hora como parte del nombre de archivo (por ejemplo, 2007_11_19_16_38_31_EKMKeys.jck). La indicación de la fecha y hora deberá eliminarse una vez se copie el archivo en el directorio x:\ekm\gui. Reinicie el servidor Encryption Key Manager y añada el grupo de claves interrumpido anteriormente.

4. En la página “EKM Server Certificate Configuration”, (Figura 3-5), especifique el alias del almacén de claves y cualquier otra información adicional que desee incluir. Pulse Submit and Restart Server.

Figura 3-5. Página de configuración del certificado del servidor EKM

5. Se abrirá una ventana “Backup Critical Files” (Figura 3-6 en la página 3-8) que le recordará que debe realizar una copia de seguridad de sus archivos de datos de Encryption Key Manager.

Capítulo 3. Instalación de Encryption Key Manager y almacenes de claves 3-7

a14m0243

Page 42

Figura 3-6. Ventana de copia de seguridad de archivos fundamentales

Verifique la vía de acceso y pulse Backup. El servidor Dell Encryption Key Manager se inicia en segundo plano.

Encryption Key Manager genera un conjunto de archivos de copia de seguridad cada vez que se pulsa OK al cambiar la configuración del servidor Encryption Key Manager o Backup en la ventana “Backup Critical Files”. Los archivos listados como Files to be Archived se guardan en el directorio c:/ekm/gui/BackupFlies. Cada nombre de archivo lleva antepuesto la fecha y hora. Por ejemplo, un conjunto de archivos creados el 26 de noviembre de 2007 a las 14:58 y 46 segundos mostrará la siguiente indicación fecha y hora al antes de su nombre “2007_11_26_14_58_46_NombreArchivo. Los archivos de copia de seguridad no se sobregraban.

6. Seleccione Server Health Monitor en la ventana del navegador de la GUI para verificar que el servidor Encryption Key Manager está activo.

Para añadir claves a un almacén de claves existente, consulte el apartado “Utilización de la GUI para definir grupos de claves y crear claves” en la página 3-15.

Cómo encontrar la dirección IP del host correcta:

Es posible que las limitaciones en la GUI actual de Encryption Key Manager impidan que aparezca la dirección IP del host de Encryption Key Manager en Server Health Monitor:

v Si el host está configurado con una dirección IPv6, la aplicación Encryption Key

Manager no podrá mostrar la dirección IP.

v Si la aplicación Encryption Key Manager está instalada en un sistema Linux, la

aplicación Encryption Key Manager mostrará la dirección del host local y no el puerto IP activo real.

1. Para recuperar la dirección IP real del sistema host, encuentre la dirección del puerto IP accediendo a la configuración de red.

v En un sistema Windows, abra una ventana de mandatos y escriba ipconfig.

a14m0251

3-8 Dell Encryption Key Mgr Guía del usuario

Page 43

v En Linux, escriba isconfig.

Cómo identificar el puerto SSL de EKM

1. Inicie el servidor Encryption Key Manager utilizando la línea de mandatos.

v En Windows, haga cd c:\ekm y pulse startServer.bat v En las plataformas Linux, navegue a /var/ekm y especifique startServer.sh v Consulte el apartado “Inicio, Renovación y Detención del Servidor del gestor

de claves” en la página 5-1 para obtener más información.

2. Inicie el cliente CLI utilizando la línea de mandatos.

v En Windows, haga cd c:\ekm y seleccione startClient.bat v En las plataformas Linux, navegue a /var/ekm y especifique startClient.sh v Consulte el apartado “Cliente de la interfaz de línea de mandatos” en la

página 5-5 para obtener más información.

3. Inicie sesión en un cliente CLI en el servidor Encryption Key Manager utilizando el siguiente mandato:

donde ID_usuario = EKMAdmin y contraseña = changeME (esta es la contraseña predeterminada. Si ha cambiado anteriormente la contraseña predeterminada, utilice la nueva contraseña).

Una vez haya iniciado correctamente la sesión, aparece el mensaje User successfully logged in.

4. Identifique el puerto SSL especificando el siguiente mandato:

status

La respuesta en pantalla debería ser similar a la siguiente: server is running. TCP port: 3801, SSL port: 443.

Anote el puerto configurado SSL y compruebe que es el puerto utilizado para configurar los valores de cifrado de gestionados por biblioteca.

5. Cierre la sesión de la línea de mandatos. Especifique el siguiente mandato:

exit

Cierre la ventana de mandatos.

Generación de claves y alias para el cifrado en LTO4yLTO5

La GUI del servidor Dell Encryption Key Manager es la manera más sencilla de generar claves de cifrado simétricas (consulte el apartado “Uso de la GUI para crear un archivo de configuración, un almacén de claves y certificados” en la página 3-5). También puede utilizar el programa de utilidad Keytool para generar las claves de cifrado simétrico. La solución Keytool resulta especialmente útil para importar y exportar claves entre distintos almacenes de claves. Consulte los apartados “Importación de claves de datos utilizando Keytool -importseckey ” en la página 3-12 y “Exportación de claves de datos utilizando Keytool -exportseckey ” en la página 3-13 para obtener información.

Keytool es un programa de utilidad para gestionar claves, certificados y alias. Le permite generar, importar y exportar las claves de datos de cifrado y almacenarlas en un almacén de claves.

A cada clave de datos del almacén de claves se accede mediante un alias exclusivo. Un alias es una serie de caracteres, como 123456tape. En almacenes de claves

Capítulo 3. Instalación de Encryption Key Manager y almacenes de claves 3-9

Page 44

JCEKS, 123456Tape sería equivalente a 123456tape y permite acceder a la misma entrada en el almacén de claves. Cuando utilice el mandato keytool -genseckey para generar una clave de datos, especifique el alias correspondiente en el mismo mandato. El alias le permite identificar la clave correcta, en el grupo de claves y el almacén de claves correctos, para utilizarla en los datos cifrados de grabación y lectura en la cinta LTO4yLTO5.

Nota: Los alias individuales y los intervalos de alias deben ser exclusivos. Esta

condición se fuerza cuando se generan claves en una instancia de almacén de claves/Encryption Key Manager determinada. Sin embargo, en un entorno con varios Encryption Key Manager/almacenes de claves, debe utilizar un convenio de denominación que mantenga la exclusividad de los nombres en varias instancias en caso de que desee transportar claves entre instancias manteniendo la exclusividad de la referencia.

Después de generar claves y alias, actualizar la propiedad symmetricKeySet en el archivo KeyManagerConfig.properties para especificar el nuevo alias, el intervalo de alias o el GroupID del grupo de claves, el nombre de archivo bajo el que se almacenan las claves simétricas y el nombre de archivo en el que se definen los grupos de claves. (Consulte el apartado “Creación y gestión de grupos de claves” en la página 3-14 para obtener más información). Sólo las claves designadas en symmetricKeySet se validarán (se comprobará si hay un alias y una clave simétrica con el tamaño y el algoritmo adecuados). Si se especifica una clave no válida en esta propiedad, el gestor de claves no se inicia y se crea un registro de auditoría.

El programa de utilidad keytool facilita también la importación y exportación de claves de datos a otros almacenes de claves y desde ellos. A continuación se muestra una visión general de cada tarea. Puede emitir keytool -ekmhelp para visualizar todos los parámetros relacionados con el gestor de claves de los que se habla en los temas siguientes.

Edición de archivos de propiedades de configuración

Para realizar cambios en el archivo KeyManagerConfig.properties o ClientKeyManagerConfig.properties:

1. Detenga el servidor Encryption Key Manager.

2. Utilizando su editor de texto preferido, abra el archivo

KeyManagerConfig.properties para realizar cambios en la configuración del servidor o el archivo ClientKeyManagerConfig.properties para realizar cambios en la configuración del cliente. No utilice Windows para editar el archivo de una máquina Linux debido a ^M. Si utiliza Windows, edite el archivo con gvim/vim.

3. Cambie el o los valores de propiedad de acuerdo con las instrucciones proporcionadas en este documento.

4. Guarde el archivo.

5. Reinicie el servidor Encryption Key Manager.

Si no utiliza Keytool

Si no utiliza keytool ni la GUI para generar claves y alias, no puede generar intervalos de claves compatibles con Encryption Key Manager. Para generar claves individuales compatibles con Encryption Key Manager, asegúrese de especificar los alias utilizando uno de los formatos siguientes:

v 12 caracteres imprimibles o menos (por ejemplo, abcdefghijk)

3-10 Dell Encryption Key Mgr Guía del usuario

Page 45

v 3 caracteres imprimibles, seguidos de dos ceros, seguidos de 16 dígitos

hexadecimales (por ejemplo, ABC000000000000000001) para alcanzar un total de exactamente 21 caracteres

Generación de claves de datos y alias utilizando Keytool

-genseckey

Nota: Antes de utilizar el mandato keytool por primera vez en una sesión, ejecute

el script updatePath para establecer el entorno correcto.

En Windows

Vaya a cd c:\ekm y pulse updatePath.bat

En plataformas Linux

Vaya a /var/ekm y especifique . ./updatePath.sh

El programa de utilidad Keytool genera alias y claves simétricas para el cifrado en unidades de cintas LTO4yLTO5utilizando una cinta LTO4yLTO5.Utilice el mandato keytool -genseckey para generar una o varias claves secretas y almacenarlas en un almacén de claves específico. keytool -genseckey adopta los siguientes parámetros:

-genseckey [-v] [-protected] [-alias <alias> | aliasrange <intervalo_alias>] [-keypass <ctr_clave>] [-keyalg <alg_clave>] [-keysize <tmñ_clave>] [-keystore <almacén_claves>] [-storepass <ctr_almacén>] [-storetype <tipo_almacén>] [-providerName <nombre>] [-providerClass <nombre_clase_proveedor> [-providerArg <arg>] ... [-providerPath <lista_vías_acceso>]

Estos parámetros son especialmente importantes al generar claves de datos para que Encryption Key Manager las sirva a las unidades LTO4yLTO5para el cifrado de cintas:

-alias

Especifique un valor alias para una única clave de datos con hasta 12 caracteres de impresión (por ejemplo, abcfrg o key123tape).

-aliasrange

Cuando se generan varias claves de datos, aliasrange se especifica como un prefijo alfabético de 3 caracteres seguido de límites inferiores y superiores para una serie de cadenas de 16 caracteres (hexadecimales) con los ceros iniciales colocados automáticamente para crear alias de 21 caracteres de longitud. Por ejemplo, al especificar key1-a se produciría una serie de alias de KEY000000000000000001 a KEY00000000000000000A. Al especificar un valor

aliasrange de xyz01-FF se produciría XYZ000000000000000001 a XYZ0000000000000000FF, lo que generaría 255 claves simétricas.

-keypass

Especifica una contraseña utilizada para proteger la clave de datos. Esta contraseña debe ser idéntica a la contraseña del almacén de claves. Si no especifica ninguna contraseña, se le solicitará. Si pulsa Intro en la solicitud, la contraseña de la clave se establecerá en la misma contraseña utilizada para el almacén de claves. keypass debe tener al menos seis caracteres de longitud.

Capítulo 3. Instalación de Encryption Key Manager y almacenes de claves 3-11

Page 46

Nota: Una vez que haya establecido la contraseña del almacén de claves, no la

cambie, salvo que su seguridad haya sido vulnerada. Consulte el

apartado “Cambio de contraseñas del almacén de claves”.

-keyalg

Especifica el algoritmo que se utilizará para generar la clave de datos. Este valor se debe especificar como AES.

-keysize

Especifica el tamaño de la clave de datos que se generará. como 256.

Algunos ejemplos de alias aceptables que se pueden asociar con las claves simétricas son los siguientes:

abc000000000000000001 abc00a0120fa000000001

Algunos ejemplos de alias que no aceptará el gestor de claves son los siguientes:

abcefghij1234567 ? wrong length abcg0000000000000001 ? prefix is longer than 3 characters

Si ya existe un alias en el almacén de claves, keytool genera una excepción y se detiene.

Cambio de contraseñas del almacén de claves

Nota: Una vez que haya establecido la contraseña del almacén de claves, no la

cambie, salvo que su seguridad haya sido vulnerada. Las contraseñas se

ocultan para eliminar los riesgos de seguridad. El cambio de la contraseña del almacén de claves exige que la contraseña de cada clave en dicho almacén de claves se cambie individualmente utilizando el siguiente mandato keytool.

Para cambiar la contraseña del almacén de claves, especifique:

keytool -keypasswd -keypass antigua_contraseña -new nueva_contraseña -alias alias

-keystore nombre_almacén_claves -storetype tipo_almacén_claves

Debe editar también el archivo KeyManagerConfig.properties para cambiar la contraseña del almacén de claves en cada archivo de configuración del servidor en el que se haya especificado utilizando uno de estos métodos:

v Suprima toda la contraseña oculta y permita que Encryption Key Manager le

solicite una durante el siguiente inicio.

v Suprima la contraseña oculta completa y escriba la nueva contraseña en el

espacio en blanco. Se ocultará la próxima vez que se inicie.

Importación de claves de datos utilizando Keytool -importseckey

Utilice el mandato keytool -importseckey para importar una clave secreta o un lote de claves secretas de un archivo de importación. keytool -importseckey adopta los siguientes parámetros:

-importseckey [-v] [-keyalias <alias_clave>] [-keypass <cnt_clave>] [-keystore <almacén_claves>] [-storepass <ctr_almacén>]

3-12 Dell Encryption Key Mgr Guía del usuario

Page 47

[-storetype <tipo_almacén>] [-providerName <nombre>] [-importfile <archivo_importación>] [-providerClass <nombre_clase_proveedor>] [providerArg <arg>]

Estos parámetros son especialmente importantes al importar claves de datos para que Encryption Key Manager las sirva a las unidades LTO4yLTO5para el cifrado de cintas:

-keyalias

Especifica el alias de una clave privada del almacén de claves para descifrar todas las claves de datos de importfile.

-importfile

Especifica el archivo que contiene las claves de datos que se importarán.

Exportación de claves de datos utilizando Keytool -exportseckey

Utilice el mandato keytool -exportseckey para exportar una clave secreta o un lote de claves secretas a un archivo de exportación. keytool -exportseckey adopta los siguientes parámetros:

-exportseckey [-v] [-alias <alias> | aliasrange <intervalo_alias>] [-keyalias <ctr_clave>] [-keystore <almacén_claves>] [-storepass <ctr_almacén>] [-storetype <tipo_almacén>] [-providerName <nombre>] [-exportfile <archivo_exportación>] [-providerClass <nombre_clase_proveedor>] [providerArg <arg>]

Estos parámetros son especialmente importantes al exportar claves de datos para que Encryption Key Manager las sirva a las unidades LTO4yLTO5para el cifrado de cintas:

-alias

Especifique un valor alias para una única clave de datos con hasta 12 caracteres de impresión (por ejemplo, abcfrg o key123tape).

-aliasrange

Cuando se exportan varias claves de datos, aliasrange se especifica como un prefijo alfabético de 3 caracteres seguido de límites inferiores y superiores para una serie de cadenas de 16 caracteres (hexadecimales) con los ceros iniciales colocados automáticamente para crear alias de 21 caracteres de longitud. Por ejemplo, al especificar key1-a se produciría una serie de alias de KEY000000000000000001 a KEY00000000000000000A. Al especificar un valor

aliasrange de xyz01-FF se produciría XYZ000000000000000001 a XYZ0000000000000000FF

-exportfile

Especifica el archivo donde almacenar las claves de datos cuando se exportan.

-keyalias

Especifica el alias de una clave pública en el almacén de claves para cifrar todas las claves de datos. Asegúrese de que el almacén de claves al que se van a importar las claves (datos) simétricas contenga la clave privada correspondiente.

Configuración de alias de ejemplo y clave simétrica para el cifrado LTO4yLTO5utilizando un almacén de claves JCEKS

Invoque KeyTool con la opción -aliasrange.

Capítulo 3. Instalación de Encryption Key Manager y almacenes de claves 3-13

Page 48

Tenga en cuenta que se debe especificar el algoritmo de clave (-keyalg) como AES y el tamaño de clave (–keysize) se debe especificar como 256, tal y como se indica a continuación:

/bin/keytool –genseckey –v –aliasrange AES01-FF –keyalg AES –keysize 256 –keypass contraseña -storetype jceks –keystore vía_acceso/nombre_archivo.jceks

Estas invocaciones de KeyTool generan 255 alias secuenciales en el intervalo AES000000000000000001 a AES0000000000000000FF y claves simétricas AES asociadas de 256 bits. Se pueden repetir de manera acumulativa tantas veces como sea necesario para configurar el número completo de alias de claves autónomos del intervalo que se desea obtener para un funcionamiento sólido del gestor de claves. Por ejemplo, para generar un alias adicional y una clave simétrica para LTO 4 y LTO 5:

/bin/keytool –genseckey –v –alias abcfrg –keyalg AES –keysize 256 –keypass contraseña -storetype jceks –keystore vía_acceso/nombre_archivo.jceks

Esta invocación añade el alias autónomo abcfrg de manera acumulativa al almacén de claves designado, que ya contiene 255 alias de la invocación anterior, lo que produce que haya 256 claves simétricas en el archivo jceks designado en la opción –keystore.

Actualice la propiedad symmetricKeySet del archivo KeyManagerConfig.properties para añadir la siguiente línea y que coincida con alguno o con todos los intervalos de alias utilizados más arriba, y el nombre de archivo bajo el que se almacenaron las claves simétricas. Tenga en cuenta que es posible que Encryption Key Manager no se inicie si se especifica un alias no válido. Otros motivos para que falle la comprobación de validación pueden ser un tamaño de bits incorrecto (para AES el tamaño de clave DEBE ser 256) o un algoritmo no válido para la plataforma.

-keyalg debe ser AES y -keysize debe ser 256. El nombre de archivo especificado en config.keystore.file debe coincidir con el nombre especificado en –keystore <nombre_archivo> en la invocación de KeyTool:

symmetricKeySet = AES01-FF,abcfrg config.keystore.file = <nombre_archivo>.jceks

Sólo las claves designadas en symmetricKeySet se validarán (se comprobará si hay un alias y una clave simétrica con el tamaño y el algoritmo adecuados). Si se especifica una clave no válida en esta propiedad, Encryption Key Manager no se iniciará y se creará un registro de auditoría.

Creación y gestión de grupos de claves

Encryption Key Manager proporciona la capacidad de organizar las claves simétricas para el cifrado de LTO4yLTO5engrupos de claves. De este modo, puede agrupar las claves según el tipo de datos que cifren, los usuarios que tengan acceso a ellas, o por otras características significativas. Cuando se crea un grupo de claves, se puede asociar con una unidad de cintas específica utilizando la palabra clave -symrec en el mandato adddrive. Consulte el mandato “adddrive” en la página 5-8 para ver la sintaxis.

Para crear un grupo de claves, debe definirlo en el archivo KeyGroups.xml. Si ha seguido el procedimiento del apartado “Uso de la GUI para crear un archivo de configuración, un almacén de claves y certificados” en la página 3-5, la ubicación de este archivo se habrá especificado en la página de configuración de EKM. Si

3-14 Dell Encryption Key Mgr Guía del usuario

Page 49

está creando el archivo de configuración de manera manual, la ubicación del archivo KeyGroups.xml se especifica en el archivo de propiedades de configuración tal y como se indica a continuación:

config.keygroup.xml.file = FILE:KeyGroups.xml

Si no se especifica este parámetro, el comportamiento predeterminado es utilizar el archivo KeyGroups.xml en el directorio de trabajo de la ubicación de inicio de Encryption Key Manager. Si este archivo no existe, se creará un archivo KeyGroups.xml vacío. En los siguientes inicios del servidor Encryption Key Manager, es posible que aparezca el siguiente mensaje en native_stderr.log: [Fatal Error] :-1:-1: Premature end of file. Este es un error que se produce al analizar el archivo KeyGroups.xml vacío y no impide que el servidor Encryption Key Manager se inicie a no ser que el servidor Encryption Key Manager haya sido configurado para utilizar grupos de claves.

Los grupos de claves se crean utilizando la GUI del servidor Dell Encryption Key Manager o utilizando los siguientes mandatos del cliente CLI (consulte el apartado “Mandatos CLI” en la página 5-8 para obtener la sintaxis):

Utilización de la GUI para definir grupos de claves y crear claves

Puede utilizar la GUI para realizar todas las tareas necesarias para gestionar grupos de claves. También puede utilizarla para crear claves adicionales.

Nota: Si pulsa Submit Changes al realizar cualquiera de las siguientes tareas, se

abrirá una ventana de diálogo de copias de seguridad (Figura 3-6 en la página 3-8) recordándole que realice una copia de seguridad de sus archivos de datos de Encryption Key Manager. Especifique una vía de acceso para guardar los datos de la copia de seguridad. Pulse Submit. A continuación, verifique la vía de acceso de la copia de seguridad y pulse OK.

Para crear un grupo de claves y llenarlo con claves, o para añadir claves a un grupo de claves existente:

1. Abra la GUI si todavía no la ha iniciado:

En Windows

Vaya a c:\ekm\gui y pulse LaunchEKMGui.bat

En plataformas Linux

Vaya a /var/ekm/gui y especifique . ./LaunchEKMGui.sh

2. Seleccione Administration Commands en el navegador situado a la izquierda

de la GUI.

3. Pulse Create a Group of Keys en la parte inferior de la ventana (Figura 3-7 en

la página 3-16).

Capítulo 3. Instalación de Encryption Key Manager y almacenes de claves 3-15

Page 50

Figura 3-7. Creación de un grupo de claves

4. Especifique el nombre del nuevo grupo de claves, el prefijo que se utilizará para los alias de claves y el número de claves que va a contener el grupo. Pulse

Submit Changes.

Para cambiar el grupo de claves predeterminado

1. Seleccione Administration Commands en el navegador situado a la izquierda de la GUI.

2. Pulse Change Default Write Key Group en la parte inferior de la ventana (Figura 3-8 en la página 3-17).

a14m0248

3-16 Dell Encryption Key Mgr Guía del usuario

Page 51

Figura 3-8. Cambio del grupo de claves de escritura predeterminado

3. Seleccione el nuevo grupo de claves predeterminado de la lista Group List, a la derecha.

4. Verifique el grupo de claves actual y el nuevo y predeterminado, en la parte inferior de la ventana, y pulse Submit Changes.

Para asignar un grupo de claves específico a una unidad de cintas específica:

1. Seleccione Administration Commands en el navegador situado a la izquierda de la GUI.

2. Pulse Assign Group to Drive en la parte inferior de la ventana (Figura 3-9 en la página 3-18).

a14m0244

Capítulo 3. Instalación de Encryption Key Manager y almacenes de claves 3-17

Page 52

Figura 3-9. Asignación de un grupo a una unidad

3. Seleccione la unidad de cintas de la lista Drive List.

4. Seleccione el grupo de claves de la lista Group List.

5. Verifique el grupo de unidades y claves en la parte inferior de la ventana y

pulse Submit Changes.

Para suprimir una unidad de cintas de la tabla de unidades:

1. Seleccione Administration Commands en el navegador situado a la izquierda de la GUI.

2. Pulse Delete Drive en la parte inferior de la ventana (Figura 3-10 en la página 3-19).

a14m0246

3-18 Dell Encryption Key Mgr Guía del usuario

Page 53

Figura 3-10. Supresión de una unidad

3. Seleccione la unidad de cintas de la lista Drive List.

4. Verifique el nombre de la unidad en la parte inferior de la ventana y pulse

Submit Changes.

Utilización de los mandatos CLI para definir grupos de claves

Encryption Key Manager tiene una característica de grupo de claves que permite agrupar conjuntos de claves.

Una vez instalada y configurada la aplicación Encryption Key Manager (almacén de claves y claves generadas) y se ha iniciado el servidor Encryption Key Manager, inicie la sesión en el servidor utilizando el cliente y siga estos pasos:

1. Ejecute el mandato createkeygroup. Este mandato crea el objeto de grupo de claves inicial en el archivo

KeyGroups.xml. Ejecútelo sólo una vez. Sintaxis: createkeygroup -password contraseña

-password

Contraseña utilizada para cifrar la contraseña del almacén de claves en el archivo KeyGroups.xml, con el fin de recuperarla más adelante. El almacén de claves cifra la clave del grupo de claves, que cifra a cambio cada contraseña del alias de grupo de claves individual. Por lo tanto, ninguna de las claves del archivo KeyGroups.xml se encuentra en la copia no cifrada.

Ejemplo: createkeygroup -password a75xynrd

2. Ejecute el mandato addkeygroup.

a14m0245

Capítulo 3. Instalación de Encryption Key Manager y almacenes de claves 3-19

Page 54

Este mandato crea una instancia de un grupo de claves con un ID de grupo exclusivo en el archivo KeyGroups.xml.

Sintaxis: addkeygroup -groupID nombre_grupo

-groupID

Nombre_grupo exclusivo utilizado para identificar el grupo en el archivo KeyGroups.xml.

Ejemplo: addkeygroup -groupID keygroup1

3. Ejecute el mandato addkeygroupalias. Este mandato crea un nuevo alias para un alias de clave existente en el almacén

de claves, para añadirlo a un ID de grupo de claves específico. Sintaxis: addkeygroupalias -alias nombre_alias -groupID nombre_grupo

-alias

Nuevo nombre_alias de la clave. Debe ser el nombre de clave completo, es decir Key00 se debe especificar como key000000000000000000.

-groupID

Nombre_grupo exclusivo utilizado para identificar el grupo en el archivo KeyGroups.xml.

Ejemplo: addkeygroupalias -alias key000000000000000000 -groupID keygroup1

Nota: Si utiliza el mandato CLI sólo puede añadir una clave a la vez. Este

mandato se debe ejecutar para cada clave individual que necesite añadirse al grupo de claves.

4. Asocie un grupo de claves a una unidad de cintas nueva o existente. a. Ejecute el mandato moddrive para asociar un grupo de claves a una unidad

de cintas existente. Este mandato modifica la información de la unidad de cintas en la tabla de

unidades. Sintaxis: moddrive -drivename nombre_unidad -symrec alias

-drivename

nombre_unidad especifica el número de serie de la unidad de cintas.

-symrec

Especifica un alias (de la clave simétrica) o un nombre de grupo de claves para la unidad de cintas.

Ejemplo: moddrive -drivename 000123456789 -symrec keygroup1

b. Ejecute el mandato adddrive para añadir una unidad de cintas a la tabla de

unidades y asociarla a un grupo de claves. Este mandato le permite añadir una unidad y asociarla a un grupo de

claves específico. Sintaxis: adddrive -drivename nombre_unidad -symrec alias

-drivename

nombre_unidad especifica el número de serie de 12 dígitos de la unidad que se va a añadir.

Nota: Debe añadir dos ceros (0) iniciales delante del número de serie de

10 dígitos para alcanzar un total de 12 dígitos.

-symrec

Especifica un alias (de la clave simétrica) o un ID de grupo para la unidad de cintas.

Ejemplo: adddrive -drivename 000123456789 -symrec keygroup1

3-20 Dell Encryption Key Mgr Guía del usuario

Page 55

Para especificar un grupo de claves como predeterminado para su uso cuando no se haya definido ningún alias para una unidad de cintas, establezca la propiedad symmetrickeySet del archivo de propiedades de configuración en el GroupID del grupo de claves que desee utilizar. Por ejemplo,

symmetricKeySet = keygroup1

GroupID debe coincidir con un ID de grupo de claves existente en el archivo KeyGroups.xml. De lo contrario, el servidor Encryption Key Manager no se iniciará. Encryption Key Manager rastrea el uso de las claves dentro de un grupo de claves. Si especifica un GroupID válido, Encryption Key Manager registrará qué clave fue utilizada por última vez y, a continuación, selecciona una clave aleatoria en el interior del grupo de claves.

Copia de claves de un grupo de claves a otro

Ejecute el mandato addaliastogroup.

Este mandato copia un alias específico de un grupo de claves existente (origen) a un nuevo grupo de claves (destino).

Sintaxis: addaliastogroup -aliasID nombre_alias -sourceGroupID nombre_grupo

-targetGroupID nombre_grupo

-aliasID

Nombre_alias de la clave que se va a añadir.

-sourceGroupID

Nombre_grupo exclusivo utilizado para identificar el grupo desde el que se va a copiar el alias.

-targetGroupID

Nombre_grupo exclusivo utilizado para identificar el grupo al que se va a añadir el alias.

Ejemplo: addaliastogroup -aliasID aliasname -sourceGroupID keygroup1

-targetGroupID keygroup2

Nota: La clave está disponible en ambos grupos de claves.

Capítulo 3. Instalación de Encryption Key Manager y almacenes de claves 3-21

Page 56

3-22 Dell Encryption Key Mgr Guía del usuario

Page 57

Capítulo 4. Configuración de Encryption Key Manager

Utilización de la GUI para configurar Encryption Key Manager

La manera más sencilla de crear su archivo de propiedades de configuración es utilizar la GUI de Dell Encryption Key Manager siguiendo el procedimiento del apartado “Uso de la GUI para crear un archivo de configuración, un almacén de claves y certificados” en la página 3-5. Si lo ha hecho, ya ha creado el archivo de configuración y no necesita realizar ninguna tarea de configuración adicional. La siguiente información puede resultarle útil si desea utilizar opciones de configuración adicionales de Encryption Key Manager.

Estrategias de configuración

Algunos valores de configuración del archivo KeyManagerConfig.properties ofrecen atajos que pueden tener efectos que el usuario debe conocer.

Actualización automática de la tabla de unidades de cintas

Encryption Key Manager proporciona una variable en el archivo de configuración (drive.acceptUnknownDrives) que, cuando se establece en un valor de true, rellena automáticamente la tabla de unidades de cintas cuando una nueva unidad de cintas contacta con Dell Encryption Key Manager. Así se elimina la necesidad de utilizar el mandato adddrive para cada biblioteca o unidad de cintas. De este modo, no es necesario especificar el número de serie de 10 dígitos de cada uno de estos dispositivos utilizando los mandatos de cliente CLI. Las nuevas unidades pasan por el intercambio normal de criptografía de clave pública/privada para verificar la identidad del dispositivo de cintas. Cuando se haya completado esta verificación, el nuevo dispositivo podrá leer las cintas existentes en función de los ID de clave almacenados en ellas (se presupone que la información de clave correspondiente se encuentra en el almacén de claves configurado).

Nota: El servidor Encryption Key Manager se debe renovar utilizando la GUI o el

mandato “refresh” en la página 5-14 después de añadir automáticamente unidades para comprobar que se han almacenado en la tabla de unidades.

Para las unidades LTO4yLTO5,puede establecer la agrupación de clave simétrica predeterminada (symmetricKeySet) para el cifrado de los dispositivos recién añadidos. En otras palabras, puede hacer que Encryption Key Manager configure completamente el dispositivo con el material de claves asociado cuando el dispositivo realiza el contacto. Si decide no hacer esto cuando el dispositivo se añada a la tabla de unidades, puede hacerlo después de añadir la unidad de cintas a la tabla de unidades de cintas, utilizando el mandato moddrive.

Además de evitar que el administrador tenga que especificar el número de serie de 10 dígitos para cada una de las unidades de cintas a las que dará servicio Encryption Key Manager, también permite crear un entorno predeterminado para configuraciones de sistemas de gran tamaño.

Debe tenerse en cuenta que este tipo de comodidad se obtiene a cambio de una seguridad menor. Dado que los dispositivos se añaden automáticamente y se pueden asociar con un alias de certificado (capaz de grabar una cinta con dicho alias de certificado), la comprobación de seguridad añadida verifica que la tarea

4-1

Page 58

que el administrador realizaría al añadir dispositivos manualmente se omita. Es importante que evalúe las ventajas y desventajas de esta opción para determinar si añadir automáticamente la información de la unidad de cintas a la tabla de unidades y otorgar implícitamente a los nuevos dispositivos acceso a la información del certificado es un riesgo de seguridad aceptable.

Nota: La propiedad drive.acceptUnknownDrives se establece, de manera

predeterminada, en false. Por lo tanto, Encryption Key Manager no añadirá nuevas unidades a la tabla de unidades automáticamente. Seleccione la modalidad en la que desee trabajar y cambie la configuración en consecuencia. Consulte el Apéndice B para obtener más información.

Sincronización de datos entre dos servidores del gestor de claves

Es posible sincronizar la tabla de unidades y el archivo de propiedades de configuración entre dos servidores Encryption Key Manager. Esto se puede hacer de manera manual utilizando el mandato sync del cliente CLI, o automáticamente, estableciendo cuatro propiedades en el archivo KeyManagerConfig.properties.

Notas

Ningún método de sincronización actúa en el archivo XML del almacén de claves o el grupo de claves. Se deben copiar a mano.

La función de sincronización automática sólo se habilita cuando se especifica una dirección IP válida en la propiedad sync.ipaddress del archivo KeyManagerConfig.properties. Consulte el apartado “Sincronización automática” en la página 4-3.

Sincronización manual

El método manual implica la ejecución del mandato sync del cliente CLI. La sintaxis es la siguiente:

sync {-all | -config | -drivetab} -ipaddr dir_ip :puerto_ssl [-merge | -rewrite]

Este mandato envía las propiedades del archivo de configuración, la información de la tabla de unidades, o ambas, desde el servidor de origen (o emisor) al servidor de destino (o receptor) especificado por el parámetro –ipaddr. El servidor Encryption Key Manager receptor debe estar activo y en ejecución.

Campos obligatorios

-all

Enviar el archivo de propiedades de configuración y la información de la tabla de unidades al servidor especificado por -ipaddr.

-config

Enviar sólo el archivo de propiedades de configuración al servidor especificado por -ipaddr.

-drivetab

Enviar solo la información de la unidad de tabla al servidor especificado por

-ipaddr.

-ipaddr

dir_ip:puertossl especifica la dirección y el puerto ssl del servidor receptor.

4-2 Dell Encryption Key Mgr Guía del usuario

Page 59

puertossl debe coincidir con el valor especificado para “TransportListener.ssl.port” en el archivo KeyManagerConfig.properties del servidor receptor.

Campos opcionales

-merge

Fusionar (añadir) los nuevos datos de la tabla de unidades con los datos actuales en el servidor receptor. (El archivo de configuración siempre es una regrabación). Este es el valor predeterminado.

-rewrite

Sustituir los datos actuales del servidor receptor por datos nuevos

Sincronización automática

La tabla de unidades y el archivo de propiedades se pueden enviar automáticamente desde un servidor del gestor de claves primario a un servidor secundario. El servidor secundario se debe estar ejecutando para que se produzca la sincronización de datos. Para sincronizar automáticamente los datos del servidor primario al secundario, se deben especificar las cuatro siguientes propiedades en el archivo KeyManagerConfig.properties del servidor primario. No es necesario realizar cambios sobre el archivo de propiedades del servidor secundario o receptor.

sync.ipaddress

Especifica la dirección y el puerto SSL del servidor receptor, por ejemplo,

sync.ipaddress = backupekm.server.ibm.com:1443

Si esta propiedad no se especifica o se especifica de manera incorrecta, se inhabilita la sincronización automática.

sync.action

Fusionar o regrabar los datos existentes en el servidor receptor. Los valores válidos son merge (predeterminado) y rewrite. La sincronización de las propiedades de configuración siempre produce una regrabación.

sync.timeinhours

Frecuencia con la que deben enviarse los datos. El valor se especifica en números enteros (horas). El intervalo de tiempo empieza cuando se inicia el servidor, es decir, la sincronización se producirá después de que el servidor se haya ejecutado durante un determinado número de horas. El valor predeterminado es 24.

sync.type

Datos que se deben enviar. Los valores válidos son drivetab (predeterminado), config y all.

Datos generales de la configuración

Nota: Si ha seguido el procedimiento del apartado “Uso de la GUI para crear un

archivo de configuración, un almacén de claves y certificados” en la página 3-5, se habrá creado una configuración básica y no es necesario realizar ninguno de estos pasos. Esta información muestra cómo realizar estas tareas sin utilizar la GUI, y puede ser útil si desea sacar provecho de las opciones de configuración adicionales.

Capítulo 4. Configuración de Encryption Key Manager 4-3

Page 60

Nota para los usuarios de Windows: Windows no acepta mandatos con vías de

acceso de directorios que contienen espacios en blanco. Cuando se especifican mandatos, puede que sea necesario especificar el nombre abreviado generado para dichos directorios, por ejemplo Archiv~1 en lugar de Archivos de programa. Para listar los nombres abreviados de directorios, emita el mandato dir /x.

Este procedimiento contiene los pasos mínimos necesarios para configurar Encryption Key Manager. El Apéndice A incluye ejemplos de los archivos de propiedades de configuración del servidor. Consulte el Apéndice B para obtener una lista completa de todas las propiedades de configuración del cliente y del servidor.

1. Utilice keytool para gestionar los almacenes de claves JCEKS. Cuando cree el almacén de claves, tome nota de la vía de acceso y del nombre de archivo, así como de los nombres dados a los certificados y las claves. Esta información se utilizará más adelante.

2. Cree un almacén de claves si no existe. Añada o importe los certificados y las claves que utilizarán las unidades de cintas a este nuevo almacén de claves. (Consulte el apartado “Generación de claves y alias para el cifrado en LTO 4 y LTO 5” en la página 3-9). Tome nota de los nombres dados a los certificados y las claves. Esta información se utilizará más adelante.

3. Cree grupos de claves y rellénelos con alias de claves. Consulte el apartado “Creación y gestión de grupos de claves” en la página 3-14.

4. Utilizando su editor de texto preferido, abra el archivo KeyManagerConfig.properties para especificar las siguientes propiedades. Tenga en cuenta que el diseño actual del servidor es muy estricto. No utilice Windows para editar el archivo para una máquina de Linux, debido a ^M. Si utiliza Windows, edite el archivo con gvim/vim.

Nota para los usuarios de Windows: El SDK de Java utiliza barras inclinadas,

a. Audit.Handler.File.Directory: especifique una ubicación para almacenar

los registros de auditoría.

b. Audit.metadata.file.name: especifique un nombre de archivo y una vía de

acceso completos para el archivo XML de metadatos.

c. Config.drivetable.file.url – especifique una ubicación para la información

sobre unidades conocidas para Encryption Key Manager. Este archivo no es necesario antes de iniciar el servidor o el cliente CLI. Si no existe, será creado durante el cierre del servidor Encryption Key Manager .

d. TransportListener.ssl.keystore.name: especifique la vía de acceso y el

nombre de archivo del almacén de claves creado en el paso 1.

e. TransportListener.ssl.truststore.name: especifique la vía de acceso y el

nombre de archivo del almacén de claves creados en el paso 1.

4-4 Dell Encryption Key Mgr Guía del usuario

incluso cuando se ejecuta en Windows. Cuando especifique vías de acceso en el archivo KeyManagerConfig.properties, asegúrese de utilizar barras inclinadas. Cuando especifique un nombre completo de vía de acceso en la ventana de mandatos, utilice barras inclinadas invertidas de la manera habitual en Windows.

Page 61

f. Admin.ssl.keystore.name: especifique la vía de acceso y el nombre de

archivo del almacén de claves creado en el paso 1.

g. Admin.ssl.truststore.name: especifique la vía de acceso y el nombre de

archivo del almacén de claves creado en el paso 1.

h. config.keystore.file: especifique la vía de acceso y el nombre de archivo

del almacén de claves creado en el paso 1.

i. drive.acceptUnknownDrives: especifique true o false. Un valor true

permite que las nuevas unidades de cintas que contacten con Encryption Key Manager sean añadidas automáticamente a la tabla de unidades. El valor predeterminado es false.

5. Las siguientes entradas opcionales de contraseña se pueden añadir u omitir. Si estas entradas no se especifican en KeyManagerConfig.properties, Encryption Key Manager solicitará la clave del almacén de claves durante el arranque del servidor.

a. Admin.ssl.keystore.password: especifique la contraseña del almacén de

claves creado en el paso 1.

b. config.keystore.password: especifique la contraseña del almacén de claves

creado en el paso 1.

c. TransportListener.ssl.keystore.password: especifique la contraseña del

almacén de claves creado en el paso 1.

Cuando se añade al archivo KeyManagerConfig.properties, Encryption Key Manager oculta estas contraseñas por motivos de seguridad.

6. Si lo desea, puede establecer la propiedad Server.authMechanism en el valor LocalOS si la autenticación de cliente CLI se va a realizar contra el registro del sistema operativo local. Si no se ha especificado (o se establece en EKM), el valor predeterminado es que el cliente CLI inicie sesión en el servidor del gestor de claves utilizando EKMAdmin/changeME como usr/passwd. (Esta contraseña se puede cambiar con el mandato chgpasswd).

Cuando la propiedad Server.authMechanism está establecida en LocalOS, será necesaria una configuración adicional para las plataformas Linux. Para obtener más información, consulte el archivo Readme en http://support.dell.com oel soporte de Dell Encryption Key Manager proporcionado con el producto. El apartado “Autenticación de usuarios del cliente CLI” en la página 5-5 contiene más información.

7. Guarde los cambios en KeyManagerConfig.properties.

8. Inicie el servidor Encryption Key Manager. Para iniciar el servidor sin la GUI,

En Windows

Vaya a cd c:\ekm\ekmserver y pulse startServer.bat

En plataformas Linux

Vaya a /var/ekm/ekmserver y especifique . ./startServer.sh

Consulte el apartado “Inicio, Renovación y Detención del Servidor del gestor de claves” en la página 5-1 para obtener más información.

9. Inicie el cliente CLI:

En Windows

Vaya a cd c:\ekm\ekmclient y pulse startClient.bat

En plataformas Linux

Vaya a /var/ekm/ekmclient y especifique . ./startClient.sh

Capítulo 4. Configuración de Encryption Key Manager 4-5

Page 62

Consulte el apartado “Cliente de la interfaz de línea de mandatos” en la página 5-5 para obtener más información.

10. Si ha especificado drive.acceptUnknownDrives = false en el paso 4(i), configure una unidad especificando lo siguiente en la solicitud #:

adddrive -drivename nombre_unidad -recl nombre_cert -rec2 nombre_cert

Por ejemplo:

# adddrive -drivename 000001365054 -rec1 key1c1 -rec2 key1c2

seguido de

# listdrives -drivename 000001365054

resulta en

Entry Key: SerialNumber = 000001365054

Entry Key: AliasTwo = key1c2

Entry Key: AliasOne = key1c1

Deleted : false Updated : true TimeStamp : Sun Jul 03 17:34:44 MST 2007

11. Especifique el mandato listdrives en la solicitud # para asegurarse de que la

unidad se ha añadido correctamente.

4-6 Dell Encryption Key Mgr Guía del usuario

Page 63

Capítulo 5. Administración de Encryption Key Manager

Inicio, Renovación y Detención del Servidor del gestor de claves

El servidor Encryption Key Manager es muy fácil de iniciar y detener.

Renovar el servidor hace que Encryption Key Manager vuelve el contenido actual del almacén de claves, tabla de unidades e información de configuración que tiene en su memoria a los archivos correspondientes y, a continuación, lo recarga en la memoria. Realizar una renovación es útil después de realizar cambios sobre estos componentes utilizando el cliente CLI. Aunque tales cambios se guardan automáticamente al cerrar el servidor Encryption Key Manager, renovar el servidor evita que estos cambios se pierdan en caso de que se produzca un cuelgue del sistema o un fallo en la alimentación.

Inicie el servidor Encryption Key Manager desde la GUI de Dell Encryption Key Manager:

1. Abra la GUI si todavía no la ha iniciado:

En Windows

Vaya a c:\ekm\gui y pulse LaunchEKMGui.bat

En plataformas Linux

Vaya a /var/ekm/gui y especifique . ./LaunchEKMGui.sh

2. Pulse Server Health Monitor > en el navegador situado a la izquierda de la GUI.

3. En la página “Server Status” (Figura 5-1), pulse Start Server o Refresh Server.

Figura 5-1. Estado del servidor

4. El cambio en el estado del servidor se refleja en la ventana Server Status.

a14m0249

Consulte el apartado Figura 5-1.

5-1

Page 64

5. Aparece la ventana Login (Figura 5-2).

Figura 5-2. Ventana de inicio de sesión

a14m0250

Especifique EKMAdmin como User Name. La contraseña inicial es changeME. Después de haberse registrado, puede utilizar el mandato chgpasswd para cambiar la contraseña. Consulte el mandato “chgpasswd” en la página 5-9.

Nota: v Es posible que la GUI de Dell Encryption Key Manager no pueda

mostrar la dirección IP del servidor

Existen dos limitaciones en la GUI actual que impiden que se muestre la dirección IP de host actual de Encryption Key Manager en Server Health Monitor :

v La aplicación actual no reconoce IPV6. Si el host está configurado con

una dirección IPV6, la aplicación Encryption Key Manager no podrá mostrar la dirección IP.

v Si la aplicación Encryption Key Manager está instalada en un sistema

Linux, la aplicación mostrará la dirección del host local y no el puerto IP activo real.

Para recuperar la dirección IP real del sistema host, encuentre la dirección del puerto IP accediendo a la configuración de red. En un sistema Windows, abra una ventana de mandatos y escriba ipconfig.En Linux, escriba isconfig.

6. Pulse Login.

Utilice la misma página, Server Status, para detener el servidor.

Inicio del Servidor del gestor de claves utilizando un script

En Windows

Vaya a cd c:\ekm\ekmserver y pulse startServer.bat

En plataformas Linux

Vaya a /var/ekm/ekmserver y especifique . ./startServer.sh

5-2 Dell Encryption Key Mgr Guía del usuario

Page 65

Para detener el servidor, emita el mandato stopekm utilizando cualquiera de los métodos descritos a continuación en el apartado “Cliente de la interfaz de línea de mandatos” en la página 5-5. Otro método consiste en enviar sigterm al proceso del gestor de claves. Esto permitirá al servidor cerrarse y terminar de una manera limpia. No envíe sigkill al proceso del gestor de claves. sigkill no cerrará el proceso de una manera limpia. Por ejemplo, en los sistemas Linux, especifique kill -SIGTERM pid o kill -15 pid.

Inicio y detención del Servidor del gestor de claves desde el indicador de mandatos

Para iniciar el servidor Encryption Key Manager desde cualquier ventana de mandatos o shell , especifique:

java com.ibm.keymanager.EKMLaunch KeymanagerConfig.properties

Esto inicia el servidor Encryption Key Manager en segundo plano. Cuando se ha iniciado correctamente, puede mostrar el proceso Java de Encryption Key Manager con el mandato ps -ef | grep java (plataformas Linux) o bien utilizando el Administrador de tareas de Windows. Cuando se ejecuta como servicio de Windows, aparece como LaunchEKMService.

En plataformas Windows, cuando se ha iniciado Dell Encryption Key Manager como un servicio de Windows, puede detenerse desde el Panel de control.

Instalación del Servidor del gestor de claves como servicio de Windows

Instalar el servidor Encryption Key Manager como un servicio en el servidor host asegura que la aplicación del servidor Encryption Key Manager se iniciará cuando se reinicie el servidor host.

1. Extraiga el archivo ejecutable LaunchEKMService.exe del release descargado del sitio web de soporte de Dell (http://support.dell.com) a un directorio temporal.

2. Para que el servicio se ejecute correctamente, es necesario establecer algunas variables de entorno:

a. En el menú Inicio, pulse en Panel de control. b. Pulse dos veces en Sistema. c. Pulse la pestaña Avanzadas. d. Pulse Variables de entorno. e. En la lista variables del sistema, pulse Nuevo. f. Especifique JAVA_HOME como el nombre de la variable y escriba el directorio

de IBM JVM. El directorio de instalación predeterminado es

C:\PROGRA~1\IBM\Java60

g. Pulse Aceptar.

3. Edite la variable PATH del sistema utilizando este procedimiento.

Capítulo 5. Administración de Encryption Key Manager 5-3

Page 66

Nota: El establecimiento de la variable PATH desde la línea de mandatos no

funcionará.

a. En el menú Inicio, pulse en Panel de control. b. Pulse dos veces en Sistema. c. Pulse en la pestaña Avanzadas. d. Pulse Variables de entorno. e. Desplácese por la lista Variables del sistema hasta la variable Path y pulse

Editar.

f. Añada la vía de acceso de IBM JVM al principio de la variable Path. El

directorio de instalación predeterminado es C:\PROGRA~1\IBM\Java60\jre\bin

Nota: Inserte un punto y coma al final de la vía de acceso para diferenciarla

del resto de los directorios en la lista de vías de acceso.

g. Pulse Aceptar.

4. Compruebe que las vías de acceso en el archivo de configuración del servidor

Encryption Key Manager son completas. Este archivo se llama KeyManagerConfig.properties y se encuentra en el directorio C:\ekm\gui. Deberán comprobarse y actualizarse todas las vías de acceso siguientes en el archivo para asegurarse de que tiene una vía de acceso completa (por ejemplo, utilice c:\ekm\gui\EKMKeys.jck ynogui\EKMKeys.jck). Consulte los siguientes ejemplos para ver cómo cambiar las vías de acceso al utilizar una instalación predeterminada.

Estas son las propiedades y las vías de acceso completas a las que deben apuntar cuando se utiliza la instalación predeterminada y los nombres de almacén de claves. Encontrará cada una de estas entradas en el archivo KeyManagerConfig.properties.

config.keygroup.xml.file

Deberá cambiar la vía de acceso a: FILE:C:/ekm/gui/keygroups/ KeyGroups.xml

Admin.ssl.keystore.name

Deberá cambiar la vía de acceso a: C:/ekm/gui/EKMKeys.jck

TransportListener.ssl.truststore.name

Deberá cambiar la vía de acceso a: C:/ekm/gui/EKMKeys.jck

Audit.metadata.file.name

Deberá cambiar la vía de acceso a: C:/ekm/gui/metadata/ ekm_metadata.xml

Audit.handler.file.directory

Deberá cambiar la vía de acceso a: C:/ekm/gui/audit

config.keystore.file

Deberá cambiar la vía de acceso a: C:/ekm/gui/EKMKeys.jck

TransportListener.ssl.keystore.name

Deberá cambiar la vía de acceso a: C:/ekm/gui/EKMKeys.jck

config.drivetable.file.url

Deberá cambiar la vía de acceso a: FILE:C:/ekm/gui/drivetable/ ekm_drivetable.dt

Admin.ssl.truststore.name

Deberá cambiar la vía de acceso a: C:/ekm/gui/EKMKeys.jck

5-4 Dell Encryption Key Mgr Guía del usuario

Page 67

5. El archivo LaunchEKMServices.exe debe ejecutarse desde un indicador de mandatos. En Windows, lo encontrará en Inicio > Programas > Accesorios > Indicador de mandatos.

6. Desde el indicador de mandatos, navegue hasta el directorio temporal donde se ha extraído LaunchEKMService.exe. Ejecute el archivo LaunchEKMService.exe utilizando las siguientes opciones como referencia.

LaunchEKMService {-help | -i archivo_config | -u}

-help

Muestra la información de uso.

-i Instala Encryption Key Manager como un servicio Windows. Esta opción

necesita que se pase como un argumento el nombre de vía de acceso completo del archivo de propiedades de configuración. La vía de acceso y nombre de archivo son C:\ekm\gui\KeyManagerConfig.properties.

-u Desinstala el servicio de Windows del gestor de claves si ya no necesita

ejecutarlo como un servicio. Tenga en cuenta que debe detenerse el servicio EKMServer antes de desinstalarlo. Cuando se ejecuta este mandato, puede que también vea el siguiente mensaje de error: Could not remove EKMServer. Error 0. El servicio habrá sido, no obstante, desinstalado.

Para instalar Encryption Key Manager como un servicio Windows, emita:

LaunchEKMService.exe -i archivo_config

7. Una vez instalado el servicio con el mandato anterior, EKMServer aparecerá en el panel de control de servicios y podrá iniciar y detener Encryption Key Manager utilizando el panel de control de servicios.

Nota: Deberá iniciar el servicio manualmente la primera vez que se utilice

usando el panel de control.

Cliente de la interfaz de línea de mandatos

Una vez iniciado el servidor Encryption Key Manager, puede emitir mandatos CLI utilizando la interfaz cliente local o remotamente. Para emitir mandatos CLI, antes debe iniciar el cliente CLI.

Autenticación de usuarios del cliente CLI

La propiedad Server.authMechanism del archivo de configuración especifica el mecanismo de autenticación que se utilizará con los clientes locales/remotos. Cuando el valor se establezca en EKM, el usuario del cliente CLI debe iniciar la sesión en el servidor utilizando EKMAdmin/changeME como usuario/contraseña. (Esta contraseña se puede cambiar con el mandato chgpasswd. Consulte el apartado “chgpasswd” en la página 5-9). El valor predeterminado de la propiedad Server.authMechanism es EKM.

Cuando el valor de la propiedad Server.authMechanism se especifica como LocalOS en el archivo KeyManagerConfig.properties, la autenticación del cliente se realiza contra el registro del sistema operativo local. El usuario de cliente CLI debe iniciar la sesión en el servidor con los valores de usuario/contraseña del sistema operativo. Tenga en cuenta que el único ID de usuario/contraseña que puede iniciar la sesión y enviar mandatos al servidor es el ID de usuario con el que el servidor se está ejecutando y que tenga también autorización de superusuario/root.

Capítulo 5. Administración de Encryption Key Manager 5-5

Page 68

Importante: el servidor Encryption Key Manager debe estar desactivado y la GUI debe estar cerrada al realizar estos cambios en el archivo de configuración de Encryption Key Manager

Para la autenticación local basada en el SO en Windows, establezca Server.authMechanism=LocalOS en el archivo KeyManagerConfig.properties como se describe a continuación:

1. Encuentre el archivo KeyManagerConfig.properties (directorio c:\ekm\gui).

2. Abra el archivo con su editor de texto preferido (es recomendable usar

WordPad).

3. Encuentre la serie Server.authMechanism. Si esta serie no está presente, añádala al archivo exactamente de esta manera Server.authMechanism=LocalOS.

4. Guarde el archivo.

Ahora su ID de usuario y contraseña para el servidor Encryption Key Manager coinciden con la cuenta de usuario del sistema operativo. Tenga en cuenta que aquellos usuarios que tienen autorización para iniciar sesión y emitir mandatos en el servidor y que cuentan con privilegios de administrador pueden gestionar el servidor Encryption Key Manager

Para la autenticación local basada en sistema operativo en plataformas Linux , es necesario realizar pasos adicionales:

1. Descargue Dell Release R175158 (EKMServicesAndSamples) desde http://support.dell.com y extraiga los archivos en un directorio de su elección.

2. Encuentre el directorio LocalOS en la descarga.

3. Copie el archivo libjaasauth.so desde el directorio JVM-JaasSetup

correspondiente a su plataforma en java_home/jre/bin. v En entornos Linux Intel de 32 bits, copie el archivo LocalOS-setup/

linux_ia32/libjaasauth.so al directorio java_home/jre/bin/, donde java_home suele ser java_install_path/IBMJava-i386-60 para un kernel Linux Intel de 32 bits ejecutando la versión 1.6 de JVM.

v En entornos Linux AMD64 de 64 bits, copie el archivo LocalOS-setup/linux-

x86_64/libjaasauth.so al directorio java_home/jre/bin/, donde java_home suele ser java_install_path/IBMJava-x86_64-60 para un kernel Linux de 64 bits ejecutando la versión 1.6 de JVM.

Para plataformas Windows este archivo no es necesario.

Una vez terminada la instalación puede iniciar el servidor Encryption Key Manager. El cliente Encryption Key Manager puede ahora iniciar la sesión utilizando un nombre de usuario/contraseña del sistema operativo. Tenga en cuenta que el único ID de usuario que puede iniciar la sesión y enviar mandatos al servidor es el ID de usuario con el que el servidor se está ejecutando y que tenga también autorización de superusuario/root.

El soporte de su producto Dell incluye un archivo readme , también está disponible en http://support.dell.com, proporciona más detalles sobre la instalación.

Inicio del cliente de la interfaz de línea de mandatos

Nota: Las propiedades TransportListener.ssl.port en el servidor Encryption Key

Manager y en los archivos de propiedades del cliente CLI de Encryption Key Manager deben estar establecidas con el mismo valor o no podrán

5-6 Dell Encryption Key Mgr Guía del usuario

Page 69

comunicarse. Consulte el apartado “Depuración de problemas de comunicación entre el cliente CLI y el servidor EKM” en la página 6-2 si se producen problemas.

El cliente CLI de Encryption Key Manager y el servidor Encryption Key Manager utilizan SSL para proteger sus comunicaciones. Cuando se utiliza la configuración JSSE predeterminada de no utilizar autenticación cliente, los certificados en TransportListener.ssl.keystore en el servidor Encryption Key Manager deben estar presentes en TransportListener.ssl.truststore. De esta manera, el cliente sabe que puede confiar en el servidor. Si el cliente CLI de Encryption Key Manager se está ejecutando en el mismo sistema que el servidor Encryption Key Manager, podrá utilizarse el mismo archivo de propiedades de configuración. Esto permite que el cliente CLI de Encryption Key Manager utilice la misma configuración de almacén de claves/almacén de confianza que el servidor Encryption Key Manager. Si no está en el mismo sistema o si desea que el cliente utilice distintos almacenes de claves, deberá exportar los certificados desde TransportListener.ssl.keystore especificados en el archivo de propiedades de configuración del servidor Encryption Key Manager. Estos certificados deben importarse en el almacén de confianza especificado por TransportListener.ssl.truststore en el archivo de propiedades CLI de Encryption Key Manager.

Puede iniciar el cliente CLI y emitir mandatos CLI de cuatro maneras. Independientemente de la que seleccione, debe especificar el nombre de un archivo de configuración de CLI. Consulte el Apéndice B para obtener información.

Con un script

En Windows

Vaya a cd c:\ekm\ekmclient y pulse startClient.bat

En plataformas Linux

Vaya a /var/ekm/ekmclient y especifique . ./startClient.sh

De manera interactiva

Para ejecutar los mandatos de manera interactiva desde cualquier shell o ventana de mandatos, especifique:

java com.ibm.keymanager.KMSAdminCmd CLIconfiglfile_name -i

Aparece la solicitud #. Antes de enviar mandatos, debe registrar el cliente CLI en el servidor del gestor de claves con el siguiente mandato:

#login –ekmuser EKMAdmin –ekmpassword changeME

Cuando el cliente CLI esté correctamente registrado en el servidor del gestor de claves, podrá ejecutar cualquier mandato CLI. Utilice el mandato quit o logout para cerrar el cliente CLI cuando haya acabado. De forma predeterminada, el servidor Encryption Key Manager cierra el socket de comunicación con un cliente que no se utilice transcurridos diez minutos. Cualquier intento de especificar un mandato después de diez minutos provocará la salida del cliente. Para especificar un periodo de tiempo de espera más largo para el socket cliente-servidor de Encryption Key Manager, modifique la propiedad theTransportListener.ssl.timeout en el archivo KeyManagerConfig.properties.

Con un archivo de mandato

Para enviar un lote de mandatos de un archivo al servidor del gestor de claves, cree un archivo que contenga los mandatos que desea emitir, por ejemplo, clifile. El primer mandato de este archivo debe ser el mandato login, porque es

Capítulo 5. Administración de Encryption Key Manager 5-7

Page 70

Mandatos CLI

necesario que el cliente inicie la sesión antes de ejecutar algún mandato. Por ejemplo, clifile puede contener lo siguiente:

Para ejecutar este archivo de mandato, inicie el cliente CLI:

java com.ibm.keymanager.admin.KMSAdminCmd CLIconfiglfile_name –filename clifile

Con un mandato cada vez

Puede ejecutar un único mandato cada vez si especifica la contraseña y el ID de usuario de CLI de cada mandato. Desde cualquier shell o ventana de mandatos, especifique:

java com.ibm.keymanager.KMSAdminCmd ClientConfig.properties_name -listdrives

-ekmuser EKMAdmin -ekmpassword changeME

(Esta contraseña se puede cambiar con el mandato chgpasswd). El mandato se ejecutará y terminará la sesión de cliente.

Encryption Key Manager proporciona un conjunto de mandatos que puede utilizarse para interactuar con el servidor Encryption Key Manager desde un cliente de interfaz de línea de mandatos, que incluye los siguientes mandatos.

addaliastogroup

Copiar un alias específico de un grupo de claves existente (origen) a un nuevo grupo de claves (destino). Esto resulta útil cuando se desea añadir un alias que ya existe en un grupo de claves a un grupo de claves distinto.

addaliastogroup -aliasID nombre_alias -sourceGroupID nombre_grupo

-targetGroupID nombre_grupo

-aliasID

Nombre_alias de la clave que se va a añadir.

-sourceGroupID

Nombre_grupo exclusivo utilizado para identificar el grupo desde el que se va a copiar el alias.

-targetGroupID

Nombre_grupo exclusivo utilizado para identificar el grupo al que se va a añadir el alias.

Ejemplo: addaliastogroup -aliasID aliasname -sourceGroupID keygroup1

-targetGroupID keygroup2

adddrive

Añadir una nueva unidad a la tabla de unidades del gestor de claves. Consulte el apartado “Actualización automática de la tabla de unidades de cintas” en la página 4-1 para obtener información sobre cómo añadir automáticamente unidades de cintas a la tabla de unidades. Consulte los apartados “Claves de cifrado y las unidades de cintas LTO4yLTO5”enlapágina 2-4 para obtener información sobre los requisitos de alias.

adddrive -drivename nombre_unidad [ -rec1 alias][-rec2 alias][-symrec alias]

5-8 Dell Encryption Key Mgr Guía del usuario

Page 71

-drivename

nombre_unidad especifica el número de serie de 12 dígitos de la unidad que se va a añadir.

Nota: Debe añadir dos ceros (0) iniciales delante del número de serie de 10

dígitos para alcanzar un total de 12 dígitos.

-rec1

Especifica el alias (o etiqueta de clave) del certificado de la unidad.

-rec2

Especifica un segundo alias (o etiqueta de clave) del certificado de la unidad.

-symrec

Especifica un alias (de la clave simétrica) o un nombre de grupo de claves para la unidad de cintas.

Ejemplo: adddrive -drivename 000123456789 -rec1 alias1 -rec2 alias2

addkeygroup

Crear una instancia de un grupo de claves con un ID de grupo exclusivo en el archivo XML KeyGroup.

addkeygroup -groupID nombre_grupo

-groupID

Nombre_grupo exclusivo utilizado para identificar el grupo en el archivo XML KeyGroup.

Ejemplo: addkeygroup -groupID keygroup1

addkeygroupalias

Crear un nuevo alias para un alias de clave existente en el almacén de claves para añadirlo a un ID de grupo de claves específico.

addkeygroupalias -alias nombre_alias -groupID nombre_grupo

-alias

Nuevo nombre_alias de la clave.

-groupID

Nombre_grupo exclusivo utilizado para identificar el grupo en el archivo XML KeyGroup.

Ejemplo: addkeygroupalias -alias aliasname -groupID keygroup1

chgpasswd

Cambiar la contraseña predeterminada del usuario del cliente CLI (EKMAdmin).

chgpasswd -new contraseña

-new

Nueva contraseña que sustituye a la contraseña anterior.

Ejemplo: chgpasswd -new ebw74jxr

Capítulo 5. Administración de Encryption Key Manager 5-9

Page 72

createkeygroup

Crear el objeto de grupo de claves inicial en el archivo KeyGroups.xml. Ejecútelo sólo una vez.

createkeygroup -password contraseña

-password

Ejemplo: createkeygroup -password password

deletedrive

Suprimir una unidad de la tabla de unidades del gestor de claves. Los mandatos equivalentes son deldrive y removedrive.

deletedrive -drivename nombre_unidad

-drivename

Nombre_unidad especifica el número de serie de la unidad que se va a suprimir.

Ejemplo: deletedrive -drivename 000123456789

delgroupalias

Suprimir un alias de clave del grupo de claves.

delgroupalias -groupID nombre_grupo -alias nombre_alias

-groupID

Nombre_grupo exclusivo utilizado para identificar el grupo en el archivo KeyGroups.xml.

-alias

Nombre_alias del alias de clave que se eliminará.

Ejemplo: delgroupalias -groupID keygroup1 -alias aliasname

delkeygroup

Suprimir un grupo de claves completo.

delkeygroup -groupID nombre_grupo

-groupID

Nombre_grupo exclusivo utilizado para identificar el grupo en el archivo KeyGroups.xml.

Ejemplo: delkeygroup -groupID keygroup1

5-10 Dell Encryption Key Mgr Guía del usuario

Page 73

exit

Salga del cliente CLI y detenga el servidor Encryption Key Manager. Un mandato equivalente es quit.

Ejemplo: exit

export

Exportar una tabla de unidades o un archivo de configuración de un servidor Encryption Key Manager a un URL especificado.

export {-drivetab|-config} -url nombre_url

-drivetab

Exportar la tabla de unidades.

-config

Exportar el archivo de configuración del servidor Encryption Key Manager.

-url

nombre_url especifica la ubicación en la que se va a escribir el archivo.

Ejemplo: export -drivetab -url FILE:///keymanager/data/export.table

help

Visualizar la sintaxis y los nombres de mandato de la interfaz de línea de mandatos. El mandato equivalente es ?.

help

import

Importar una tabla de unidades o un archivo de configuración de un URL especificado.

import {-merge|-rewrite}{-drivetab|-config} -url nombre_url

-merge

Fusionar los nuevos datos con los datos actuales.

-rewrite

Sustituir los datos actuales con datos nuevos.

-drivetab

Importar la tabla de unidades.

-config

Importar el archivo de configuración.

-url

nombre_url especifica la ubicación de la que se tomarán los nuevos datos.

Ejemplo: import -merge -drivetab -url FILE:///keymanager/data/export.table

list

Listar los certificados contenidos en el almacén de claves designado por la propiedad config.keystore.file.

Capítulo 5. Administración de Encryption Key Manager 5-11

Page 74

list [-cert |-key|-keysym][-alias alias -verbose |-v]

-cert

Listar los certificados del almacén de claves especificado.

-key

Listar todas las claves del almacén de claves especificado.

-keysym

Listar las claves simétricas del almacén de claves especificado.

-alias

alias especifica un certificado específico que listar.

-verbose|-v

Mostrar más información sobre los certificados.

Ejemplos:

list -v lista todo lo que aparece en el almacén de claves. list -alias mycert -v lista todos los datos de variables del alias mycert si

este existe en el almacén de claves config.keystore.file.

listcerts

Listar los certificados contenidos en el almacén de claves designado por la propiedad config.keystore.file.

listcerts [-alias alias -verbose |-v]

-alias

alias especifica un certificado específico que listar.

-verbose|-v

Mostrar más información sobre los certificados.

Ejemplo: listcerts -alias alias1 -v

listconfig

Lista las propiedades de configuración del servidor Encryption Key Manager en memoria, reflejando el contenido actual del archivo KeyManagerConfig.properties así como cualquier actualización realizada con el mandato modconfig.

listconfig

listdrives

Listar las unidades de la tabla de unidades.

listdrives [-drivename nombre_unidad ]

-drivename

Nombre_unidad especifica el número de serie de la unidad de cintas que listar.

-verbose|-v

Mostrar más información sobre las unidades de cintas.

Ejemplo: listdrives -drivename 000123456789

5-12 Dell Encryption Key Mgr Guía del usuario

Page 75

Iniciar sesión en un cliente CLI en el servidor Encryption Key Manager.

-ekmuser

Especifique el valor de ID de usuario EKMadmin o localOS para ID_usuario,en función del tipo de autenticación utilizado (consulte el apartado “Autenticación de usuarios del cliente CLI” en la página 5-5).

-ekmpassword

Contraseña válida para el ID de usuario.

Ejemplo: login -ekmuser EKMAdmin -ekmpassword changeME

logout

Termina la sesión del usuario actual. Un mandato equivalente es logoff. Estos mandatos sólo son útiles cuando la sesión de cliente está habilitada.

Ejemplo: logout

modconfig

Modificar una propiedad en el archivo de propiedades de configuración del servidor Encryption Key Manager, KeyManagerConfig.properties. Un mandato equivalente es modifyconfig.

modconfig {-set | -unset} -property nombre -value valor

-set

Establezca la propiedad especificada en el valor especificado.

-unset

Elimine la propiedad especificada.

-property

nombre especifica el nombre de la propiedad de destino.

-value

valor especifica el nuevo valor de la propiedad de destino cuando se especifica

-set.

Ejemplo: modconfig -set -property sync.timeinhours -value 24

moddrive

Modifique la información de la unidad en la tabla de unidades. Un mandato equivalente es modifydrive.

moddrive -drivename nombre_unidad {-rec1 [alias]|-rec2 [alias]| -symrec [alias]}

-drivename

Nombre_unidad especifica el número de serie de la unidad de cintas.

-rec1

Especifica el alias (o etiqueta de clave) del certificado de la unidad.

Capítulo 5. Administración de Encryption Key Manager 5-13

Page 76

-rec2

Especifica un segundo alias (o etiqueta de clave) del certificado de la unidad.

-symrec

Especifica un alias (de la clave simétrica) o un nombre de grupo de claves para la unidad de cintas.

Ejemplo: moddrive -drivename 000123456789 -rec1 newalias1

refresh

Indica a Encryption Key Manager que renueve los valores de auditoría, depuración y tabla de unidades con los parámetros de configuración más recientes.

Ejemplo: refresh

refreshks

Renueva el almacén de claves. Utilice esta opción para recargar el almacén de claves especificado en config.keystore.file si ha sido modificado mientras se estaba ejecutando el servidor Encryption Key Manager. Utilice este mandato sólo cuando sea necesario, ya que puede empeorar el rendimiento.

Ejemplo: refreshks

status

Muestra si el servidor del gestor de claves está iniciado o detenido.

Ejemplo: status

stopekm

Detiene el servidor Encryption Key Manager.

Ejemplo: stopekm

sync

Sincroniza las propiedades del archivo de configuración, la información de tabla de unidades o ambas en otro servidor Encryption Key Manager con las del servidor del gestor de claves que emiten el mandato.

Nota: Ningún método de sincronización actúa en el almacén de claves o en el

archivo KeyGroups.xml. Se deben copiar manualmente.

sync {-all | -config | -drivetab} -ipaddr dir_ip :ssl:puerto [-merge | -rewrite]

-all

Envía el archivo de propiedades de configuración y la información de tabla de unidades al servidor Encryption Key Manager especificado por -ipaddr.

-config

Enviar sólo el archivo de propiedades de configuración al servidor Encryption Key Manager especificado por -ipaddr.

5-14 Dell Encryption Key Mgr Guía del usuario

Page 77

-drivetab

Envía sólo la información de tabla de unidades al servidor Encryption Key Manager especificado por -ipaddr.

-ipaddr

dir_ip:ssl:puerto especifica la dirección y puerto SSL del servidor Encryption Key Manager receptor. ssl:puerto debe coincidir con el valor especificado para “TransportListener.ssl.port” en el archivo KeyManagerConfig.properties del servidor receptor.

-merge

Fusionar la nueva tabla de unidades con los datos actuales. (El archivo de configuración siempre es una regrabación). Este es el valor predeterminado.

-rewrite

Sustituir los datos actuales con datos nuevos.

Ejemplo: sync -drivetab -ipaddr remoteekm.ibm.com:443 -merge

version

Muestra la versión del servidor Encryption Key Manager.

Ejemplo: version

Capítulo 5. Administración de Encryption Key Manager 5-15

Page 78

5-16 Dell Encryption Key Mgr Guía del usuario

Page 79

Capítulo 6. Determinación de problemas

Puede habilitar la depuración para un componente individual, varios componentes o todos los componentes de Encryption Key Manager.

Archivos importantes que comprobar para solucionar problemas del servidor Encryption Key Manager

Cuando Encryption Key Manager no se inicia, existen tres archivos que comprobar para determinar la causa del problema.

v native_stdout.log y native_stderr.log

– El servidor Encryption Key Manager se ejecuta en un proceso en segundo

plano por lo que no tiene ninguna consola que muestra sus mensajes normales informativos y los de error. Estos mensajes se registran en estos dos archivos.

– Si el archivo de propiedades del servidor Encryption Key Manager contiene la

propiedad debug.output.file, estos dos archivos serán creados en el mismo directorio que el registro de depuración.

– Si el archivo de propiedades del servidor Encryption Key Manager no

contiene la propiedad debug.output.file, estos dos archivos serán creados en el mismo directorio que el registro de depuración.

– Estos dos archivos se suprimen y vuelven a crear cada vez que se inicia el

servidor Encryption Key Manager.

v Registro de auditorías

– El registro de auditorías contiene registros creados cuando se procesaba

Encryption Key Manager.

– Dos propiedades especifican la ubicación de este archivo en

KeyManagerConfig.properties, el archivo de propiedades de configuración del servidor Encryption Key Manager:

- Audit.handler.file.directory – especifica en qué directorio debe encontrarse el registro de auditorías

- Audit.handler.file.name – especifica el nombre de archivo del registro de auditoría.

– Para obtener más información sobre la auditoría, consulte el Capítulo 7,

“Registros de auditoría”, en la página 7-1.

Entradas de registro para contraseñas de almacén de claves de más de 127 caracteres

Cuando Encryption Key Manager se instale como servicio de Windows y las contraseñas de almacén de claves del archivo KeyManagerConfig.properties tengan 128 caracteres de longitud o más, Encryption Key Manager no podrá iniciarse porque no puede solicitar una contraseña de longitud aceptable. Los registros nativos de Encryption Key Manager incluirán entradas similares a las siguientes:

native_stdout.log

Server initialized Default keystore failed to load

native_stderr.log

6-1

Page 80

at com.ibm.keymanager.KeyManagerException: Default keystore failed to load at com.ibm.keymanager.keygroups.KeyGroupManager.loadDefaultKeyStore(KeyGroupManager.java:145) at com.ibm.keymanager.keygroups.KeyGroupManager.init(KeyGroupManager.java:605) at com.ibm.keymanager.EKMServer.c(EKMServer.java:243) at com.ibm.keymanager.EKMServer.<init>(EKMServer.java:753) at com.ibm.keymanager.EKMServer.a(EKMServer.java:716) at com.ibm.keymanager.EKMServer.main(EKMServer.java:129)

Depuración de problemas de comunicación entre el cliente CLI y el servidor EKM

La comunicación entre el cliente CLI de EKM y el servidor EKM se realiza a través de los puertos especificados en la propiedad TransportListener.ssl.port en los archivos de propiedades de configuración del cliente y el servidor, y está protegido por SSL.

A continuación, se muestra una lista de las posibles razones por las que es posible que el cliente no conecte con el servidor EKM. Incluye pasos que muestran cómo determinar el problema y cómo corregirlo.

v El servidor EKM no se está ejecutando, por lo que el cliente no tiene con quién

comunicarse.

1. Emita netstat –an desde una ventana de mandatos y confirme que se visualicen los puertos especificados por las propiedades TransportListener.ssl.port y TransportListener.tcp.port del archivo de propiedades del servidor EKM. Si los puertos no se visualizan, el servidor no se está ejecutando

v La propiedad TransportListener.ssl.host del archivo de propiedades del cliente

CLI de EKM no señala al host correcto en el que se está ejecutando el servidor EKM.

1. El valor de la propiedad TransportListener.ssl.host en el archivo de propiedades del cliente CLI de EKM se establece de manera predeterminada en localhost. Modifique el valor de esta propiedad para que señale al host correcto.

v El servidor EKM y el cliente CLI de EKM no se encuentran en el mismo puerto.

1. Compruebe las propiedades TransportListener.ssl.port de los archivos de propiedades del servidor EKM y el cliente CLI de EKM para asegurarse de que están establecidos en el mismo valor.

v El servidor EKM y el cliente CLI de EKM no pueden encontrar un certificado

común para utilizarlo y proteger la comunicación.

1. Asegúrese de que los almacenes de claves especificados en las propiedades TransportListener.ssl.keystore y TransportListener.ssl.truststore del cliente CLI contengan los mismos certificados que los almacenes de claves Admin.ssl.keystore y Admin.ssl.truststore en las propiedades del servidor.

2. Asegúrese de que la contraseña TransportListener.ssl.keystore.password de las propiedades de cliente sea la correcta.

3. Asegúrese de que ninguno de los certificados de estos almacenes de claves haya caducado. JSSE no utilizará certificados caducados para proteger las comunicaciones.

v El archivo de propiedades del cliente CLI de EKM es de sólo lectura.

1. Revise los atributos o los permisos del archivo para asegurarse de que el usuario que ejecuta el cliente CLI de EKM CLI tiene permiso para acceder al archivo y modificarlo.

6-2 Dell Encryption Key Mgr Guía del usuario

Page 81

v El archivo de propiedades del servidor EKM tiene Server.authMechanism =

LocalOS, pero el archivo necesario del paquete EKMServicesAndSamples no ha sido instalado o se ha instalado en la ubicación equivocada.

1. Consulte el archivo léame incluido en el paquete EKMServiceAndSamples para obtener más información sobre la autenticación.

Depuración de problemas del servidor del gestor de claves

La mayoría de los problemas relacionados con el gestor de claves implican la configuración o el arranque del servidor del gestor de claves. Consulte el Apéndice B, Archivo de configuración predeterminado, para obtener información sobre cómo especificar la propiedad de depuración.

Si Encryption Key Manager falla al arrancarse, compruebe si existe un cortafuegos.

Es posible que un cortafuegos de software o de hardware estén bloqueando el acceso al puerto de Encryption Key Manager.

El servidor EKM no se ha iniciado. El archivo de configuración EKM.properties no se ha cargado o encontrado.

1. Este error se produce al iniciar KMSAdminCmd o EKMLaunch sin especificar la vía de acceso completa de KeyManagerConfig.properties cuando el archivo de propiedades no se encuentra en la vía de acceso predeterminada.

La vía de acceso predeterminada en Windows es C:/Archivos de

programa/IBM/KeyManagerServer/

La vía de acceso predeterminada en plataformas Linux es

/opt/ibm/KeyManagerServer/

2. Vuelva a especificar el mandato para iniciar KMSAdminCmd e incluya la vía de acceso completa del archivo KeyManagerConfig.properties. Consulte el Apéndice B, “Encryption Key Manager Archivos de propiedades de configuración” para obtener más información.

El servidor EKM no se ha iniciado. El nombre de archivo del archivo de metadatos XML se tiene que especificar en el archivo de configuración.

Falta la entrada Audit.metadata.file.name del archivo de configuración.

Para corregir este problema, añada la propiedad Audit.metadata.file.name al archivo de configuración KeyManagerConfig.properties.

No se ha podido iniciar EKM.Mykeys. El sistema no puede encontrar el archivo especificado.

1. Este mensaje de error se produce cuando las entradas del almacén de claves en

KeyManagerConfig.properties no señalan a un archivo existente.

2. Para corregir este problema, asegúrese de que las siguientes entradas del archivo KeyManagerConfig.properties señalen a archivos de almacén de claves existentes y válidos:

Admin.ssl.keystore.name TransportListener.ssl.truststore.name TransportListener.ssl.keystore.name Admin.ssl.truststore.name

Capítulo 6. Determinación de problemas 6-3

Page 82

Consulte el Apéndice B, “Encryption Key Manager Archivos de propiedades de configuración” para obtener más información.

No se ha podido iniciar EKM. El archivo no existe = safkeyring://xxx/yyy

El error puede estar causado por haber especificado el proveedor incorrecto en la variable IJO en el script de shell del entorno de Encryption Key Manager.

Para almacenes de claves JCECCARACFKS, utilice:

-Djava.protocol.handler.pkgs=com.ibm.crypto.hdwrCCA.provider

y para los almacenes de claves JCERACFKS, utilice:

-Djava.protocol.handler.pkgs=com.ibm.crypto.provider

No se ha podido iniciar EKM. Se ha intentado forzar el almacén de claves o la contraseña no es válida.

1. Este error se produce si una o más de estas entradas en el archivo de propiedades (consulte el Apéndice B, “Encryption Key Manager Archivos de propiedades de configuración”) tiene el valor incorrecto:

config.keystore.password (corresponde a config.keystore.file) admin.keystore.password (corresponde a admin.keystore.name) transportListener.keystore.password (corresponde a

transportListener.keystore.name)

2. Este error también se puede producir si se especifica la contraseña equivocada en el indicador de solicitud de contraseña o al iniciar el servidor.

3. Si ninguna de las contraseñas está en la configuración, se le preguntará hasta tres veces si las tres entradas del almacén de claves del archivo de propiedades son exclusivas. Si todas las entradas de las propiedades son las mismas, se le preguntará una vez.

No se ha podido iniciar EKM. El formato del almacén de claves no es válido

1. Este error se puede producir cuando se especifica el tipo de almacén de claves erróneo para una de las entradas del almacén de claves en el archivo de propiedades.

2. Si todas las entradas de almacenes de claves en el archivo de propiedades apuntan al mismo archivo, Encryption Key Manager utilizará el valor config.keystore.type como el tipo de almacén de claves de todos los almacenes de claves.

3. Cuando no hay ningún tipo de entrada en el archivo de propiedades para un tipo de almacén de claves en particular, Encryption Key Manager asume que el tipo es jceks.

No se ha podido iniciar el servidor. La hebra del escucha no está activa ni en ejecución.

Este error se puede producir por varios motivos:

1. Las dos siguientes entradas del archivo KeyManagerConfig.properties señalan al mismo puerto:

TransportListener.ssl.port TransportListener.tcp.port

6-4 Dell Encryption Key Mgr Guía del usuario

Page 83

Cada uno de los escuchas de transporte debe configurarse para escuchar en su propio puerto.

2. Una o más entradas han sido configuradas en un puerto que ya está utilizando otro servicio que se ejecuta en la misma máquina que el servidor del gestor de claves. Busque los puertos que no esté utilizando otro servicio y utilícelos para configurar el servidor del gestor de claves.

3. En sistemas que ejecuten sistemas operativos Linux de tipo , este error se puede producir si uno o varios puertos están por debajo de 1024 y el usuario que inicia el servidor del gestor de claves no es un usuario raíz. Modifique las entradas del escucha de transporte en el archivo KeyManagerConfig.properties para utilizar puertos por encima de 1024.

Mensaje “[Fatal Error] :-1:-1: Premature end of file.” en native_stderr.log.

Este mensaje se produce cuando Encryption Key Manager carga un archivo de grupos de claves vacío. Este mensaje procede del analizador XML y no impide que Encryption Key Manager se inicie a no ser que esté configurado para utilizar grupos de claves y el archivo especificado por la propiedad config.keygroup.xml.file en KeyManagerConfig.properties, el archivo de propiedades del servidor Encryption Key Manager, esté dañado.

Error: No se ha podido encontrar Secretkey en el almacén de claves de configuración con alias:MyKey.

La entrada symmetricKeySet del archivo de propiedades contiene un alias de clave que no existe en la entrada config.keystore.file.

Para corregir este problema, modifique la entrada symmetricKeySet del archivo de configuración para que sólo contenga aquellos alias que existen en el archivo de almacén de claves designado por la entrada config.keystore.file en KeyManagerConfig.properties O añada la clave simétrica que falta al almacén de claves. Consulte el Apéndice B, “Encryption Key Manager Archivos de propiedades de configuración” para obtener más información.

No hay claves simétricas en symmetricKeySet, no se da soporte a las unidades LTO.

Se trata de un mensaje informativo. El servidor Encryption Key Manager se iniciará, pero las unidades LTO no estarán soportadas en esta instancia de Encryption Key Manager. Esto no supone un problema si no hay ninguna unidad LTO configurada para comunicarse con este Encryption Key Manager.

Errores notificados por Encryption Key Manager

Este apartado define mensajes de error notificados por Encryption Key Manager y devueltos en los datos de detección de la unidad. Por lo general, se denominan códigos de síntoma de anomalía o FSC. La tabla incluye un número de error, una breve descripción de la anomalía y acciones correctivas. Consulte el Apéndice B, Archivo de configuración predeterminado, para obtener información sobre cómo especificar la propiedad de depuración.

Capítulo 6. Determinación de problemas 6-5

Page 84

Tabla 6-1. Errores comunicados por el gestor de claves de cifrado

Número de error Descripción Acción

EE02 Anomalía en el mensaje de lectura de

cifrado: DriverErrorNotifyParameterError: "Bad ASC & ASCQ received. ASC & ASCQ does not match with either of Key Creation/Key Translation/Key Aquisition operation."

EE0F Error de lógica de cifrado: Error interno:

"Unexpected error. Internal programming error in EKM."

Error: Error de hardware de la llamada CSNDDSV returnCode 12 reasonCode 0.

EE23 Anomalía en el mensaje de lectura de

cifrado: Error interno: "Unexpected

error........"

La unidad de cintas ha solicitado una acción no soportada. Compruebe que está ejecutando la versión más reciente de Encryption Key Manager (consulte el apartado “Descarga de la última versión de la imagen ISO del gestor de claves” en la página 3-1 para saber cómo determinar cuál es la versión más reciente). Compruebe las versiones del firmware del servidor proxy o la unidad y actualícelas al último release, si es necesario. Habilite el rastreo de depuración en el servidor del gestor de claves. Intente recrear el problema y recopilar los registros de depuración. Si el problema persiste, en “Contactar con Dell” en el apartado “Lea esto en primer lugar” al comienzo de esta publicación para obtener información sobre cómo obtener asistencia técnica.

Compruebe que está ejecutando la versión más reciente de Encryption Key Manager (consulte el apartado “Descarga de la última versión de la imagen ISO del gestor de claves” en la página 3-1 para saber cómo determinar cuál es la versión más reciente). Compruebe las versiones del firmware del servidor proxy o la unidad y actualícelas al último release, si es necesario. Habilite el rastreo de depuración en el servidor del gestor de claves. Intente recrear el problema y recopilar los registros de depuración. Si el problema persiste, en “Contactar con Dell” en el apartado “Lea esto en primer lugar” al comienzo de esta publicación para obtener información sobre cómo obtener asistencia técnica.

Si utiliza criptografía de hardware, asegúrese de iniciar ICSF.

El mensaje recibido de la unidad o el servidor proxy no se ha podido analizar debido a un error general. Compruebe que está ejecutando la versión más reciente de Encryption Key Manager (consulte el apartado “Descarga de la última versión de la imagen ISO del gestor de claves” en la página 3-1 para saber cómo determinar cuál es la versión más reciente). Habilite la depuración en el servidor del gestor de claves. Intente recrear el problema y recopilar los registros de depuración. Si el problema persiste, en “Contactar con Dell” en el apartado “Lea esto en primer lugar” al comienzo de esta publicación para obtener información sobre cómo obtener asistencia técnica.

6-6 Dell Encryption Key Mgr Guía del usuario

Page 85

Tabla 6-1. Errores comunicados por el gestor de claves de cifrado (continuación)

Número de error Descripción Acción

EE25 Problema de configuración del cifrado: Se

han producido errores relacionados con la tabla de unidades.

Asegúrese de que el parámetro config.drivetable.file.url sea correcto en el archivo KeyManagerConfig.properties, si se ha proporcionado. Ejecute el mandato listdrives -drivename <nombre_unidad> en el servidor Encryption Key Manager para verificar si la unidad está configurada correctamente (por ejemplo, si el número de serie de la unidad, el alias y los certificados son correctos). Compruebe que está ejecutando la versión más reciente de Encryption Key Manager (consulte el apartado “Descarga de la última versión de la imagen ISO del gestor de claves” en la página 3-1 para saber cómo determinar cuál es la versión más reciente). Compruebe las versiones del firmware del servidor proxy o la unidad y actualícelas al último release, si es necesario. Habilite el rastreo de depuración y repita la operación. Si el problema persiste, en “Contactar con Dell” en el apartado “Lea esto en primer lugar” al comienzo de esta publicación para obtener información sobre cómo obtener asistencia técnica.

EE29 Anomalía en el mensaje de lectura de

cifrado: Firma no válida

El mensaje recibido de la unidad o del servidor proxy no coincide con la firma que hay en él. Compruebe que está ejecutando la versión más reciente de Encryption Key Manager (consulte el apartado “Descarga de la última versión de la imagen ISO del gestor de claves” en la página 3-1 para saber cómo determinar cuál es la versión más reciente). Habilite la depuración en el servidor del gestor de claves. Intente recrear el problema y recopilar los registros de depuración. Si el problema persiste, en “Contactar con Dell” en el apartado “Lea esto en primer lugar” al comienzo de esta publicación para obtener información sobre cómo obtener asistencia técnica.

Capítulo 6. Determinación de problemas 6-7

Page 86

Tabla 6-1. Errores comunicados por el gestor de claves de cifrado (continuación)

Número de error Descripción Acción

EE2B Anomalía en el mensaje de lectura de

cifrado: Error interno: "Either no signature in DSK or signature in DSK can not be verified."

EE2C Anomalía en el mensaje de lectura de

cifrado: QueryDSKParameterError: "Error parsing a QueryDSKMessage from a device. Unexpected dsk count or unexpected payload."

EE2D Anomalía en el mensaje de lectura de

cifrado: Tipo de mensaje no válido

La unidad de cintas ha solicitado que Encryption Key Manager lleve a cabo una acción no soportada. Compruebe que está ejecutando la versión más reciente de Encryption Key Manager (consulte el apartado “Descarga de la última versión de la imagen ISO del gestor de claves” en la página 3-1 para saber cómo determinar cuál es la versión más reciente). Compruebe las versiones del firmware del servidor proxy o la unidad y actualícelas al último release, si es necesario. Habilite el rastreo de depuración en el servidor del gestor de claves. Intente recrear el problema y recopilar los registros de depuración. Si el problema persiste, en “Contactar con Dell” en el apartado “Lea esto en primer lugar” al comienzo de esta publicación para obtener información sobre cómo obtener asistencia técnica.

Encryption Key Manager ha recibido un mensaje fuera de secuencia o bien ha recibido un mensaje que no sabe cómo gestionar. Compruebe que está ejecutando la versión más reciente de Encryption Key Manager (consulte el apartado “Descarga de la última versión de la imagen ISO del gestor de claves” en la página 3-1 para saber cómo determinar cuál es la versión más reciente). Habilite la depuración en el servidor del gestor de claves. Intente recrear el problema y recopilar los registros de depuración. Si el problema persiste, en “Contactar con Dell” en el apartado “Lea esto en primer lugar” al comienzo de esta publicación para obtener información sobre cómo obtener asistencia técnica.

6-8 Dell Encryption Key Mgr Guía del usuario

Page 87

Tabla 6-1. Errores comunicados por el gestor de claves de cifrado (continuación)

Número de error Descripción Acción

EE2E Anomalía en el mensaje de lectura de

cifrado: Error interno: Tipo de firma no válido

El mensaje recibido de la unidad o el servidor proxy no tiene un tipo de firma válido. Compruebe que está ejecutando la versión más reciente de Encryption Key Manager (consulte el apartado “Descarga de la última versión de la imagen ISO del gestor de claves” en la página 3-1 para saber cómo determinar cuál es la versión más reciente). Habilite la depuración en el servidor del gestor de claves. Intente recrear el problema y recopilar los registros de depuración. Si el problema persiste, en “Contactar con Dell” en el apartado “Lea esto en primer lugar” al comienzo de esta publicación para obtener información sobre cómo obtener asistencia técnica.

EE30 Solicitud prohibida. Se ha solicitado una operación no soportada

para una unidad de cintas. Especifique el mandato soportado correcto para la unidad de cintas de destino.

EE31 Problema de configuración del cifrado: se

han producido errores relacionados con el almacén de claves.

Compruebe las etiquetas de clave que está intentando utilizar o configurar como predeterminadas. Puede listar los certificados disponibles para Encryption Key Manager utilizando el mandato listcerts. Si sabe que está intentando utilizar los valores predeterminados, ejecute el mandato listdrives -drivename nombre_unidad en el servidor Encryption Key Manager para verificar si la unidad está correctamente configurada (si, por ejemplo, el número de serie de la unidad y los alias asociados y etiquetas de clave sin correctos). Si la unidad en cuestión no tiene etiquetas de clave/alias asociadas, compruebe los valores de default.drive.alias1 y default.drive.alias2. Si esto no le ayuda o el alias/etiqueta de clave no existe, recopile los registros de depuración y póngase en en “Contactar con Dell” en el apartado “Lea esto en primer lugar” al comienzo de esta publicación en el apartado “Lea esto en primer lugar” al principio de esta publicación para obtener información sobre cómo obtener asistencia técnica.

EE32 Problema relacionado con el almacén de

claves.

La causa más probable es que la cinta se cifró utilizando un Encryption Key Manager distinto con claves diferentes o que se ha cambiado el nombre de la clave utilizada para cifrar esta cinta o ha sido suprimida del almacén de claves. Emita el mandato list

-keysym y compruebe que el alias de la solicitud está en el almacén de claves.

Capítulo 6. Determinación de problemas 6-9

Page 88

Tabla 6-1. Errores comunicados por el gestor de claves de cifrado (continuación)

Número de error Descripción Acción

EEE1 Error de lógica de cifrado: Error interno:

"Unexpected error: EK/EEDK flags conflict with subpage."

EF01 Problema de configuración de cifrado: "Drive

not configured."

Compruebe que está ejecutando la versión más reciente de Encryption Key Manager (consulte el apartado “Descarga de la última versión de la imagen ISO del gestor de claves” en la página 3-1 para saber cómo determinar cuál es la versión más reciente). Compruebe las versiones del firmware del servidor proxy o la unidad y actualícelas al último release, si es necesario. Habilite la depuración en el servidor del gestor de claves. Intente recrear el problema y recopilar los registros de depuración. Si el problema persiste, en “Contactar con Dell” en el apartado “Lea esto en primer lugar” al comienzo de esta publicación para obtener información sobre cómo obtener asistencia técnica.

La unidad que está intentando comunicarse con Encryption Key Manager no está presente en la tabla de unidades. Asegúrese de que el parámetro config.drivetable.file.url sea correcto en el archivo KeyManagerConfig.properties, si se ha proporcionado. Ejecute el mandato listdrives para comprobar si la unidad se encuentra en la lista. De no ser así, configure la unidad manualmente utilizando el mandato adddrive con la información de unidad correcta, o establezca la propiedad "drive.acceptUnknownDrives" en true con el mandato modconfig. Habilite el rastreo de depuración y repita la operación. Si el problema persiste, en “Contactar con Dell” en el apartado “Lea esto en primer lugar” al comienzo de esta publicación para obtener información sobre cómo obtener asistencia técnica.

Mensajes

Puede que Encryption Key Manager genere y muestre los siguientes mensajes en la consola del administrador.

No se ha especificado el archivo de configuración

Texto

Configuration file not specified: KeyManager Configuration file not specified when starting EKM.

Explicación

El mandato KMSAdmin necesita que el archivo de configuración se pase como un parámetro de la línea de mandatos.

6-10 Dell Encryption Key Mgr Guía del usuario

Page 89

Respuesta del sistema

El programa se detiene.

Respuesta del operador

Proporcione el archivo de configuración y reintente el mandato.

No se ha podido añadir la unidad

Texto

Failed to add drive. Drive already exists.

Explicación

El mandato adddrive ha fallado porque la unidad ya está configurada con el Encryption Key Manager y existe en la unidad de tabla.

Respuesta del operador

Ejecute el mandato listdrives para ver si la unidad está ya configurada con Encryption Key Manager. Si la unidad ya existe, la configuración de la unidad se puede cambiar utilizando el mandato moddrive. Ejecute help para obtener más información.

No se ha podido archivar el archivo de registro

Texto

Failed to archive the log file.

Explicación

No se ha podido cambiar el nombre del archivo de registro.

Respuesta del operador

Compruebe los permisos del archivo y el espacio en la unidad.

No se ha podido suprimir la configuración

Texto

“modconfig” command failed.

Explicación

No se ha podido suprimir la configuración de Encryption Key Manager utilizando el mandato modconfig.

Respuesta del operador

Verifique la sintaxis del mandato utilizando help y asegúrese de que los parámetros proporcionados sean los correctos. Consulte los registros de auditoría para obtener más información.

Capítulo 6. Determinación de problemas 6-11

Page 90

No se ha podido suprimir la entrada de la unidad

Texto

“deldrive” command failed.

Explicación

El mandato deldrive no ha podido suprimir la entrada de la unidad de la tabla de unidades.

Respuesta del operador

Verifique la sintaxis del mandato utilizando help y asegúrese de que los parámetros proporcionados sean los correctos. Compruebe que esta unidad está configurada con Encryption Key Manager utilizando el mandato listdrives. Consulte los registros de auditoría para obtener más información.

No se ha podido realizar la importación

Texto

“import” command failed.

Explicación

No se ha podido importar la tabla de unidades o los archivos de configuración.

Respuesta del sistema

El servidor Encryption Key Manager no se inicia start.

Respuesta del operador

Asegúrese de que el URL especificado exista y tenga permisos de lectura. Verifique la sintaxis del mandato utilizando help. Asegúrese de que los parámetros sean correctos e inténtelo de nuevo.

No se ha podido modificar la configuración

Texto

“modconfig” command failed.

Explicación

No se ha podido modificar la configuración de Encryption Key Manager utilizando el mandato modconfig.

Respuesta del operador

Verifique la sintaxis del mandato utilizando help y asegúrese de que los parámetros proporcionados sean los correctos. Consulte los registros de auditoría para obtener más información.

6-12 Dell Encryption Key Mgr Guía del usuario

Page 91

El nombre de archivo no puede ser nulo

Texto

File name was not supplied for audit log file.

Explicación

No se ha proporcionado el nombre del archivo de auditoría mediante las propiedades de configuración de Encryption Key Manager. Este parámetro es un parámetro de configuración necesario.

Respuesta del sistema

El programa se detiene.

Respuesta del operador

Compruebe que la propiedad Audit.handler.file.name está definida en el archivo de propiedades de configuración proporcionado a Encryption Key Manager e intente reiniciarlo.

El límite del tamaño de archivos no puede ser un número negativo

Texto

Maximum file size for audit log can not be a negative number.

Explicación

El valor de la propiedad Audit.handler.file.size en el archivo de configuración Encryption Key Manager debe ser un número positivo.

Respuesta del sistema

Encryption Key Manager no se inicia.

Respuesta del operador

Especifique un número válido para Audit.handler.file.size e intente reiniciar Encryption Key Manager.

No hay datos que sincronizar

Texto

No data can be found to be synchronized with “sync”.

Explicación

El mandato de sincronización no puede identificar datos que sincronizar.

Respuesta del operador

Asegúrese de que existe el archivo de configuración proporcionado y de que la tabla de unidades esté correctamente configurada en el archivo de configuración

Capítulo 6. Determinación de problemas 6-13

Page 92

utilizando config.drivetable.file.url. Verifique la sintaxis utilizando help y vuelva a intentar ejecutar el mandato sync.

Entrada no válida

Texto

Invalid input parameters for the CLI.

Explicación

Es posible que la sintaxis del mandato específico no sea correcta.

Respuesta del operador

Asegúrese de que el mandato especificado sea correcto. Verifique la sintaxis del mandato utilizando help. Asegúrese de que los parámetros proporcionados sean los correctos e inténtelo de nuevo.

Número de puerto SSL no válido en el archivo de configuración

Texto

Invalid SSL port number specified in the EKM configuration file.

Explicación

El número de puerto SSL proporcionado en el archivo de configuración no es un número válido.

Respuesta del sistema

Encryption Key Manager no se inicia.

Respuesta del operador

Especifique un número de puerto válido para la propiedad TransportListener.ssl.port en el archivo de configuración al iniciar Encryption Key Manager e intente reiniciar.

Número de puerto TCP no válido en el archivo de configuración

Texto

Invalid TCP port number specified in the EKM configuration file.

Explicación

El número de puerto TCP proporcionado en el archivo de configuración no es un número válido.

Respuesta del sistema

Encryption Key Manager no se inicia.

6-14 Dell Encryption Key Mgr Guía del usuario

Page 93

Respuesta del operador

Especifique un número de puerto válido para la propiedad TransportListener.tcp.port en el archivo de configuración al iniciar Encryption Key Manager e intente reiniciar. El número de puerto TCP predeterminado es 3801.

Se debe especificar el número de puerto SSL en el archivo de configuración

Texto

SSL port number is not configured in the properties file.

Explicación

El número de puerto SSL es una propiedad que se debe configurar en el archivo de propiedades de configuración. Se utiliza para la comunicación entre servidores Encryption Key Manager en un entorno con varios servidores.

Respuesta del sistema

Encryption Key Manager no se inicia.

Respuesta del operador

Especifique un número de puerto válido para la propiedad TransportListener.ssl.port e intente reiniciar Encryption Key Manager.

Se debe especificar el número de puerto TCP en el archivo de configuración

Texto

TCP port number is not configured in the properties file.

Explicación

El número de puerto TCP es una propiedad que se debe configurar en el archivo de propiedades de configuración. Se utiliza para la comunicación entre la unidad y Encryption Key Manager.

Respuesta del sistema

Encryption Key Manager no se inicia.

Respuesta del operador

Especifique un número de puerto válido en la propiedad TransportListener.tcp.port e intente reiniciar Encryption Key Manager. El número de puerto TCP predeterminado es 3801.

No se ha podido iniciar el servidor

Texto

EKM server failed to start.

Capítulo 6. Determinación de problemas 6-15

Page 94

Explicación

El servidor Encryption Key Manager no puede iniciarse debido a problemas de configuración.

Respuesta del operador

Verifique los parámetros en el archivo de configuración proporcionado. Revise los registros para obtener más información.

La sincronización ha fallado

Texto

“sync” command failed.

Explicación

La operación de sincronización de datos entre los dos servidores Encryption Key Manager ha fallado.

Respuesta del operador

Compruebe que la dirección IP especificada para el servidor Encryption Key Manager remoto es la correcta y que puede acceder al sistema. Asegúrese de que el archivo de configuración existe y contiene la información de tabla de unidades correcta. Verifique la sintaxis del mandato sync utilizando help. Revise los registros para obtener más información.

El archivo de registro de auditoría especificado es de sólo lectura

Texto

No es posible abrir el archivo de auditoría para escribir en él.

Explicación

No es posible abrir el archivo de registro de auditoría en la configuración de Encryption Key Manager especificado por la propiedad Audit.handler.file.name para escribir en él.

Respuesta del sistema

Encryption Key Manager no se inicia.

Respuesta del operador

Compruebe los permisos del archivo y directorio de auditoría especificado y vuelva a intentar reiniciar Encryption Key Manager.

No se ha podido cargar el almacén de claves del administrador

Texto

Keystore for Admin cannot be loaded.

6-16 Dell Encryption Key Mgr Guía del usuario

Page 95

Explicación

No puede cargarse el almacén de claves del administrador proporcionado a Encryption Key Manager. El almacén de claves del administrador se utiliza entre servidores Encryption Key Manager para la comunicación por parte del servidor en un entorno con varios servidores.

Respuesta del sistema

Encryption Key Manager no se inicia.

Respuesta del operador

Compruebe los valores del archivo de configuración. Compruebe que las propiedades admin.keystore.file, admin.keystore.provider y admin.keystore.type en el archivo de configuración de Encryption Key Manager son correctas (consulte el Apéndice B) y que el archivo de almacén de claves existe y tiene permiso de lectura. Asegúrese de que la contraseña proporcionada para el almacén de claves del administrador a través de la propiedad admin.keystore.password o de la línea de mandatos sea la correcta. Intente reiniciar Encryption Key Manager.

No se ha podido cargar el almacén de claves

Texto

Keystore for EKM can not be loaded.

Explicación

No puede cargarse el almacén de claves especificado a Encryption Key Manager.

Respuesta del sistema

Encryption Key Manager no se inicia.

Respuesta del operador

Compruebe los valores del archivo de configuración. Compruebe que las propiedades config.keystore.file, config.keystore.provider y config.keystore.type en el archivo de configuración de Encryption Key Manager son correctas y que el archivo del almacén de claves existe y tiene permiso de lectura. Compruebe que la contraseña proporcionada para el almacén de claves de Encryption Key Manager mediante la propiedad config.keystore.password o especificada utilizando la línea de mandatos es correcta. Intente reiniciar.

No se ha podido cargar el almacén de claves de transporte

Texto

Transport keystore cannot be loaded.

Explicación

No es posible cargar el almacén de claves de transporte proporcionado a Encryption Key Manager. El almacén de claves de transporte se utiliza entre

Capítulo 6. Determinación de problemas 6-17

Page 96

servidores Encryption Key Manager para la comunicación por parte del cliente en entornos de varios servidores.

Respuesta del sistema

Encryption Key Manager no se inicia.

Respuesta del operador

Compruebe los valores del archivo de configuración. Compruebe que las propiedades transport.keystore.file, transport.keystore.provider y transport.keystore.type en el archivo de configuración de Encryption Key Manager son correctas y que el archivo de almacén de claves existe y tiene permiso de lectura. Asegúrese de que la contraseña proporcionada para el almacén de claves del administrador a través de la propiedad transport.keystore.password o de la línea de mandatos sea la correcta. Intente reiniciar Encryption Key Manager.

Acción no soportada

Texto

User entered action for the CLI which is not supported for EKM.

Explicación

Encryption Key Manager no soporta o no comprende la acción proporcionada por el mandato sync. Las acciones válidas son fusionar y regrabar.

Respuesta del operador

Verifique la sintaxis del mandato utilizando help y vuelva a intentarlo.

6-18 Dell Encryption Key Mgr Guía del usuario

Page 97

Capítulo 7. Registros de auditoría

Nota: Los formatos del registro de auditoría descritos en este capítulo no se

consideran interfaces de programación. El formato de estos registros puede cambiar de un release a otro. El formato se documenta en este capítulo, por si se desea realizar algún análisis de los registros de auditoría.

Visión general de la auditoría

El subsistema de auditoría graba registros de auditoría textuales en un conjunto de archivos secuenciales a medida que se producen distintos sucesos auditables mientras Encryption Key Manager procesa solicitudes. El subsistema de auditoría se graba en un archivo (el nombre del directorio y el archivo se pueden configurar). El tamaño de estos archivos también se puede configurar. A medida que se escriben registros en el archivo, y que el tamaño del archivo alcanza el tamaño configurable, el archivo se cierra, su nombre se cambia en función de la indicación de fecha y hora actual y se abre otro archivo en el que se graban los nuevos registros. El registro general de registros de auditoría se separa en archivos de tamaño configurable, con nombres separados por la indicación de fecha y hora del momento en que el tamaño del archivo supera el tamaño configurable.

Para evitar que la cantidad de información del registro de auditoría general (distribuyendo todos los archivos secuenciales creados) crezca demasiado y supere el espacio disponible en el sistema de archivos, puede crear un script o un programa para supervisar el conjunto de archivos del directorio/carpeta/ contenedor de auditoría configurado. Según se van cerrando y denominando los archivos en función de la indicación de fecha y hora, el contenido del archivo debera copiarse y adjuntarse en la ubicación de registros continua y duradera y, a continuación, borrarse. Tenga cuidado de no eliminar o alterar el archivo en el que Encryption Key Manager está grabando los registros durante su ejecución (este archivo no tiene una indicación de la hora en el nombre de archivo).

Parámetros de configuración de auditoría

Los siguientes parámetros se utilizan en el archivo de configuración de Encryption Key Manager para controlar qué sucesos se registran en el registro de auditoría, donde se graban los archivos de auditoría, así como el tamaño máximo de los archivos de registro de auditoría.

Audit.event.types

Sintaxis

Audit.event.types={tipo[;tipo]}

Utilización

Se utiliza para especificar los tipos de auditoría que se deben enviar al registro de auditoría. Los valores posibles para el parámetro de configuración son:

all Todos los tipos de sucesos authentication Sucesos de autenticación

7-1

Page 98

data_synchronization Sucesos que se producen durante la sincronización de

runtime Sucesos que se producen como parte de las operaciones de

configuration_management Sucesos que se producen cuando se realizan cambios de

resource_management Sucesos que se producen cuando se modifican valores de

Ejemplos

Una especificación de ejemplo para este valor de configuración es:

Audit.event.types=all

Otro ejemplo es:

Audit.event.types=authentication;runtime;resource_management

Audit.event.outcome

Sintaxis

Audit.event.outcome={resultado[;resultado]}

información entre servidores Encryption Key Manager

proceso y solicitudes enviadas a Encryption Key Manager

configuración

recursos (unidades de cintas) en Encryption Key Manager

Utilización

Se utiliza para indicar si los sucesos se producen como resultado de operaciones correctas, operaciones incorrectas, o si se deben auditar ambos tipos. Especifique correcto para registrar los sucesos que se producen como resultado de operaciones correctas. Especifique anomalía para registrar los sucesos que se producen como resultado de operaciones incorrectas.

Ejemplos

Una especificación de ejemplo para este valor de configuración es:

Audit.event.outcome=failure

Para habilitar los casos correctos e incorrectos:

Audit.event.outcome=success;failure

Audit.eventQueue.max

Sintaxis

Audit.eventQueue.max=número_sucesos

Utilización

Se utiliza para establecer el número máximo de objetos de suceso que se mantienen en la cola de memoria. Este parámetro es opcional, pero se recomienda utilizarlo. El valor predeterminado es cero.

Ejemplo

Audit.eventQueue.max=8

7-2 Dell Encryption Key Mgr Guía del usuario

Page 99

Audit.handler.file.directory

Sintaxis

Audit.handler.file.directory=nombre_directorio

Utilización

Este parámetro se utiliza para indicar en qué directorio se pueden grabar los archivos del registro de auditoría. Tenga en cuenta que si no existe el directorio, Encryption Key Manager intentará crear el directorio. Si no puede hacerlo, sin embargo, no se iniciará Encryption Key Manager. Es recomendable que el directorio exista antes de ejecutar Encryption Key Manager. Tenga en cuenta que el ID de usuario con el que se ejecuta Encryption Key Manager debe tener acceso de grabación al directorio especificado.

Ejemplos

Para establecer el directorio en /var/ekm/ekm1/audit:

Audit.handler.file.directory=/var/ekm/ekm1/audit

Audit.handler.file.size

Sintaxis

Audit.handler.file.size=tamañoEnKiloBytes

Utilización

Este parámetro se utiliza para indicar el límite de tamaño en el que se cierra un archivo de auditoría y se empieza a grabar en un nuevo archivo de auditoría. Tenga en cuenta que el tamaño actual del archivo de auditoría resultante puede superar este valor en varios bytes si el archivo se cierra después de que se supere el límite de tamaño.

Ejemplos

Para establecer el tamaño máximo del archivo en 2 megabytes, especifique:

Audit.handler.file.size=2000

Audit.handler.file.name

Sintaxis

Audit.handler.file.name=nombre_archivo

Utilización

Utilice este parámetro para especificar el nombre de archivo base, en el directorio de auditoría especificado para utilizarlo como nombre base al crear archivos de registro de auditoría. Tenga en cuenta que este parámetro debe contener sólo el nombre de archivo base y no el nombre de vía de acceso calificado al completo. El nombre completo del archivo de registro de auditoría tendrá el valor correspondiente a la hora en la que se grabó el archivo junto al nombre.

Para ilustrar este punto, considere un ejemplo en el que el valor Audit.handler.file.name se establezca en ekm.log. El nombre completo de los

Capítulo 7. Registros de auditoría 7-3

Page 100

archivos será similar a: ekm.log.2315003554. La serie adjunta se puede utilizar para determinar el orden en el que se han creado los archivos de registro de auditoría: los números más altos indican archivos de registro de auditoría más recientes.

Ejemplos

Un ejemplo del establecimiento del nombre base en ekm.log es:

Audit.handler.file.name=ekm.log

Audit.handler.file.multithreads

Sintaxis

Audit.handler.file.multithreads={yes|true|no|false}

Utilización

Si se especifica true, se utiliza una hebra diferente para grabar los datos de sucesos en el registro de auditoría, lo que permite que la hebra actual de ejecución (operación) continúe sin esperar a que se complete la grabación en el registro de auditoría. El comportamiento predeterminado es utilizar varias hebras.

Ejemplos

Un ejemplo del establecimiento del nombre base en true es:

Audit.handler.file.multithreads=true

Audit.handler.file.threadlifespan

Sintaxis

Audit.handler.file.threadlifespan=tiempoEnSegundos

Utilización

Este parámetro se utiliza para especificar el tiempo máximo que debe necesitar una hebra para grabar una entrada en el registro de auditoría. Este valor se utiliza durante el proceso de limpieza para permitir que las hebras completen su trabajo antes de interrumpirlas. Si una hebra de fondo no ha completado su trabajo en el tiempo asignado por el parámetro threadlifespan, la hebra se interrumpirá con el proceso de limpieza.

Ejemplos

Para establecer el tiempo que necesita una hebra para grabar en el registro de auditoría en 10 segundos, especifique:

Audit.handler.file.threadlifespan=10

Formato del registro de auditoría

Todos los registros de auditoría utilizan un formato de resultado parecido, que se describe a continuación. Todos los registros de auditoría contienen información común que incluye la indicación de fecha y hora y el tipo de registro, junto con la información específica del suceso de auditoría que se ha producido. El formato general para los registros de auditoría se muestra a continuación:

7-4 Dell Encryption Key Mgr Guía del usuario