20.3. 在大型机构中使用 volume_key

过程 20.3. 准备

1. 创建 X509 证书/专用对。
2. 指定信任的用户，这些用户可信，不会泄露私钥。这些用户将能够解密托管数据包。
3. 选择将使用哪些系统解密托管数据包。在这些系统上，建立包含私钥的 NSS 数据库。
   如果没有在 NSS 数据库中创建私钥，请按照以下步骤操作：
   • 将证书和私钥存储在 PKCScriu 文件中。
   • 运行：

     certutil -d /the/nss/directory -N

     Copy to Clipboard Toggle word wrap
     此时，可以选择 NSS 数据库密码。每个 NSS 数据库都有不同的密码，因此如果每个用户使用单独的 NSS 数据库，则指定的用户无需共享单个密码。
   • 运行：

     pk12util -d /the/nss/directory -i the-pkcs12-file

     Copy to Clipboard Toggle word wrap
4. 将证书分发给安装系统或将密钥保存在现有系统上的任何人。
5. 对于保存的私钥，准备允许按机器和卷查找它们的存储。例如，这可以是一个简单的目录，每台机器有一个子目录，或者用于其他系统管理任务的数据库。

过程 20.4. 保存加密密钥

1. 运行：

   volume_key --save /path/to/volume -c /path/to/cert escrow-packet

   Copy to Clipboard Toggle word wrap
2. 将生成的 escrow-packet 文件保存到准备好的存储中，将其与系统和卷相关联。

过程 20.5. 恢复对卷的访问

1. 从数据包存储中获取卷的托管数据包，并将其发送到指定用户之一进行解密。
2. 指定的用户运行：

   volume_key --reencrypt -d /the/nss/directory escrow-packet-in -o escrow-packet-out

   Copy to Clipboard Toggle word wrap
   提供 NSS 数据库密码后，指定的用户选择加密 escrow-packet-out 的密码短语。此密语每次都可能会有所不同，且只在加密密钥从指定用户移至目标系统时保护加密密钥。
3. 从指定的用户获取 escrow-packet-out 文件和密码短语。
4. 在可以运行 volume_key 且可以使用 escrow-packet-out 文件的环境中引导目标系统，比如在救援模式下。
5. 运行：

   volume_key --restore /path/to/volume escrow-packet-out

   Copy to Clipboard Toggle word wrap
   将出现一个提示，提示指定用户所选择的数据包密码，以及卷的新密码。
6. 使用所选的卷密语挂载卷。