10.3. 轮转 Tang 服务器密钥并更新客户端上的绑定

流程

1. 重命名 /var/db/tang 密钥数据库目录中的所有密钥，使其前面有一个 .，将它们隐藏起来，以防被看到。请注意，以下示例中的文件名与 Tang 服务器的密钥数据库目录中的独特文件名不同：

   # cd /var/db/tang
   # ls -l
   -rw-r--r--. 1 root root 349 Feb  7 14:55 UV6dqXSwe1bRKG3KbJmdiR020hY.jwk
   -rw-r--r--. 1 root root 354 Feb  7 14:55 y9hxLTQSiSB5jSEGWnjhY8fDTJU.jwk
   # mv UV6dqXSwe1bRKG3KbJmdiR020hY.jwk .UV6dqXSwe1bRKG3KbJmdiR020hY.jwk
   # mv y9hxLTQSiSB5jSEGWnjhY8fDTJU.jwk .y9hxLTQSiSB5jSEGWnjhY8fDTJU.jwk

   Copy to Clipboard Toggle word wrap

2. 检查是否重命名了，是否隐藏了 Tang 服务器中的所有密钥：

   # ls -l
   total 0

   Copy to Clipboard Toggle word wrap

3. 使用 /usr/libexec/tangd-keygen 命令，在Tang 服务器上的 /var/db/tang 中生成新的密钥：

   # /usr/libexec/tangd-keygen /var/db/tang
   # ls /var/db/tang
   3ZWS6-cDrCG61UPJS2BMmPU4I54.jwk zyLuX6hijUy_PSeUEFDi7hi38.jwk

   Copy to Clipboard Toggle word wrap

4. 检查您的 Tang 服务器是否可以显示新密钥对的签名密钥，例如：

   # tang-show-keys 7500
   3ZWS6-cDrCG61UPJS2BMmPU4I54

   Copy to Clipboard Toggle word wrap

5. 在 NBDE 客户端上，使用 clevis luks report 命令检查 Tang 服务器显示的密钥是否保持不变。您可以使用 clevis luks list 命令识别带有相关绑定的插槽，例如：

   # clevis luks list -d /dev/sda2
   1: tang '{"url":"http://tang.srv"}'
   # clevis luks report -d /dev/sda2 -s 1
   ...
   Report detected that some keys were rotated.
   Do you want to regenerate luks metadata with "clevis luks regen -d /dev/sda2 -s 1"? [ynYN]

   Copy to Clipboard Toggle word wrap

6. 要为新密钥重新生成 LUKS 元数据，在上一个命令提示时按 y，或使用 clevis luks regen 命令：

   # clevis luks regen -d /dev/sda2 -s 1

   Copy to Clipboard Toggle word wrap

7. 当您确定所有旧客户端都使用新密钥时，您可以从 Tang 服务器中删除旧密钥，例如：

   # cd /var/db/tang
   # rm .*.jwk

   Copy to Clipboard Toggle word wrap