9.6. Despliegue de un cliente de encriptación para un sistema NBDE con Tang

El siguiente procedimiento contiene los pasos para configurar el desbloqueo automático de un volumen cifrado con un servidor de red Tang.

Requisitos previos

Procedimiento

Para vincular un cliente de encriptación Clevis a un servidor Tang, utilice el subcomando clevis encrypt tang:
```
$ clevis encrypt tang '{"url":"http://tang.srv:port"}' < input-plain.txt > secret.jwe
The advertisement contains the following signing keys:

_OsIk0T-E2l6qjfdDiwVmidoZjA

Do you wish to trust these keys? [ynYN] y
```
Cambie la URL de http://tang.srv:port en el ejemplo anterior para que coincida con la URL del servidor donde está instalado tang. El archivo de salida secret.jwe contiene su texto cifrado en el formato JSON Web Encryption. Este texto cifrado se lee desde el archivo de entrada input-plain.txt.
Alternativamente, si su configuración requiere una comunicación no interactiva con un servidor Tang sin acceso SSH, puede descargar un anuncio y guardarlo en un archivo:
```
$ curl -sfg http://tang.srv:port/adv -o adv.jws
```
Utilice el anuncio en el archivo adv.jws para cualquier tarea siguiente, como la encriptación de archivos o mensajes:
```
$ echo 'hello' | clevis encrypt tang '{"url":"http://tang.srv:port","adv":"adv.jws"}'
```
Para descifrar los datos, utilice el comando clevis decrypt y proporcione el texto cifrado (JWE):
```
$ clevis decrypt < secret.jwe > output-plain.txt
```

Recursos adicionales

Para obtener una referencia rápida, consulte la página man clevis-encrypt-tang(1) o utilice la ayuda incorporada de la CLI:
```
$ clevis
$ clevis decrypt
$ clevis encrypt tang
Usage: clevis encrypt tang CONFIG < PLAINTEXT > JWE
...
```
Para más información, consulte las siguientes páginas de manual:
- clevis(1)
- clevis-luks-unlockers(7)