Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

9.4. 在 web 控制台中使用 Tang 密钥配置自动解锁

您可以使用 Tang 服务器提供的密钥自动配置 LUKS 加密存储设备的自动解锁。

先决条件

流程

  1. 登录到 RHEL 10 web 控制台。

    详情请参阅 登录到 web 控制台

  2. 切换到管理访问,提供您的凭证,然后单击 Storage。在 Storage 表中,点包含您计划添加的加密卷的磁盘,来自动解锁。

  3. 在以下带有所选磁盘详情的页面中,点 Keys 部分中的 + 来添加一个 Tang 密钥:

    RHEL web 控制台:加密

  4. 选择 Tang keyserver 作为 Key source,提供 Tang 服务器的地址,以及解锁 LUKS 加密设备的密码。点击 Add 确认:

    RHEL web 控制台:添加 Tang 密钥

    以下对话框窗口提供了 命令,可用于验证密钥哈希是否匹配。

  5. 在 Tang 服务器上的终端中,使用 tang-show-keys 命令来显示密钥哈希以进行比较。在本例中,Tang 服务器运行在端口 7500 上: 

    # tang-show-keys 7500
x100_1k6GPiDOaMlL3WbpCjHOy9ul1bSfdhI3M08wO0
    Copy to Clipboard

  6. 当 web 控制台中的密钥哈希与之前列出的命令的输出中的密钥哈希相同时,请点击 Trust key

    RHEL web 控制台:验证 Tang 键

选择加密的根文件系统和 Tang 服务器后,您可以跳过将 rd.neednet=1 参数添加到内核命令行中,安装 clevis-dracut 软件包,以及重新生成初始 RAM 磁盘(initrd)。对于非 root 文件系统,web 控制台现在启用 remote-cryptsetup.targetclevis-luks-akspass.path systemd 单元,安装 clevis-systemd 软件包,并将 _netdev 参数添加到 fstabcrypttab 配置文件中。

验证

  1. 检查新添加的 Tang 密钥现在是否在 Keys 部分使用 Keyserver 类型列出:

    RHEL web 控制台:列出 keyserver 键

  2. 验证绑定可用于早期引导,例如: 

    # lsinitrd | grep clevis-luks
lrwxrwxrwx   1 root     root           48 Jan  4 02:56 etc/systemd/system/cryptsetup.target.wants/clevis-luks-askpass.path -> /usr/lib/systemd/system/clevis-luks-askpass.path
…
    Copy to Clipboard
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat