19.3. 大規模な組織での volume_key の使用
大型の組織では、各システム管理者が認識するパスワード 1 つを使用して、各システムに個別のパスワードを追跡することは難しいため、セキュリティーリスクが伴います。これをカウンターするために、volume_key は非対称暗号を使用して、どのコンピューターで暗号化されたデータへのアクセスに必要なパスワードを知っている人の数を最小限に抑えます。
本セクションでは、暗号化キーの保存、暗号鍵の保存、ボリュームへのアクセスの復元、緊急パスフレーズの設定に必要な手順について説明します。
19.3.1. 暗号化キーを保存するための準備
暗号化キーの保存を開始するために、準備が必要になります。
手順19.3 準備
- X509 証明書/プライベートのペアを作成します。
- 秘密鍵を侵害しないように信頼できるユーザーを指定します。これらのユーザーは escrow パケットを復号化できます。
- escrow パケットの復号に使用するシステムを選択します。このシステムでは、秘密鍵が含まれる NSS データベースを設定します。秘密鍵が NSS データベースに作成されていない場合は、以下の手順に従います。
- 証明書および秘密鍵を
PKCS#12ファイルに保存します。 - 以下を実行します。
certutil -d/the/nss/directory-Nこの時点で、NSS データベースパスワードを選択できます。各 NSS データベースは異なるパスワードを持つことができるため、指定したユーザーは各ユーザーが別の NSS データベースが使用される場合に、単一のパスワードを共有する必要はありません。 - 以下を実行します。
pk12util -d/the/nss/directory-i the-pkcs12-file
- システムのインストールや既存システムに鍵を保存したり、証明書を配布します。
- 保存された秘密鍵については、マシンおよびボリュームで検索できるストレージを準備します。たとえば、マシンごとに 1 つのサブディレクトリーを持つ簡単なディレクトリーや、他のシステム管理タスクに使用されるデータベースも指定できます。
