3.4. 轮转 MKEK 和 HMAC 密钥
您可以使用 director 更新来轮转 MKEK 和 HMAC 密钥。
注意
由于 Barbican 中的限制,MKEK 和 HMAC 具有相同的密钥类型。
流程
在部署环境文件中添加以下参数:
BarbicanPkcs11CryptoRewrapKeys: true
更改 MKEK 和 HMAC 密钥上的标签,例如,如果您的标签与以下类似:
BarbicanPkcs11CryptoMKEKLabel: 'barbican_mkek_10' BarbicanPkcs11CryptoHMACLabel: 'barbican_hmac_10'
您可以通过递增值来更改标签:
BarbicanPkcs11CryptoMKEKLabel: 'barbican_mkek_11' BarbicanPkcs11CryptoHMACLabel: 'barbican_hmac_11'
注意不要更改 HMAC 密钥类型。
-
使用 director 重新部署以更新。director 检查为 MKEK 和 HMAC 标记的密钥是否存在,然后创建它们。另外,如果
BarbicanPkcs11CryptoRewrapKeys
参数设置为True
,director 会调用barbican-manage hsm pkek_rewrap
来重新打包所有现有 pKEK。