20.3. 대규모 조직에서 volume_key 사용

절차 20.3. 준비

1. X509 인증서/개인 쌍을 만듭니다.
2. 개인 키를 손상시키지 않을 신뢰할 수 있는 사용자를 지정합니다. 이러한 사용자는 에스크로 패킷의 암호를 해독할 수 있습니다.
3. 에스크로 패킷을 해독하는 데 사용할 시스템을 선택합니다. 이러한 시스템에서 개인 키가 포함된 NSS 데이터베이스를 설정합니다.
   개인 키가 NSS 데이터베이스에 생성되지 않은 경우 다음 단계를 따르십시오.
   • PKCS#12 파일에 인증서 및 개인 키를 저장합니다.
   • 다음을 실행합니다.

     certutil -d /the/nss/directory -N

     이 시점에서 NSS 데이터베이스 암호를 선택할 수 있습니다. NSS 데이터베이스는 각각 다른 암호를 가질 수 있으므로 지정된 사용자가 각 사용자가 별도의 NSS 데이터베이스를 사용하는 경우 단일 암호를 공유할 필요가 없습니다.
   • 다음을 실행합니다.

     pk12util -d /the/nss/directory -i the-pkcs12-file

4. 시스템을 설치하거나 기존 시스템에 키를 저장하는 모든 사람에게 인증서를 배포합니다.
5. 저장된 개인 키의 경우 머신 및 볼륨에서 조회할 수 있는 스토리지를 준비합니다. 예를 들어 시스템당 하나의 하위 디렉터리가 있는 간단한 디렉터리이거나 다른 시스템 관리 작업에 사용되는 데이터베이스도 될 수 있습니다.