搜索

3.4. 轮转 MKEK 和 HMAC 密钥

download PDF

您可以使用 director 更新来轮转 MKEK 和 HMAC 密钥。

注意

由于 Barbican 中的限制,MKEK 和 HMAC 具有相同的密钥类型。

流程

  1. 在部署环境文件中添加以下参数:

    BarbicanPkcs11CryptoRewrapKeys:          true
  2. 更改 MKEK 和 HMAC 密钥上的标签,例如,如果您的标签与以下类似:

            BarbicanPkcs11CryptoMKEKLabel: 'barbican_mkek_10'
            BarbicanPkcs11CryptoHMACLabel: 'barbican_hmac_10'

    您可以通过递增值来更改标签:

            BarbicanPkcs11CryptoMKEKLabel: 'barbican_mkek_11'
            BarbicanPkcs11CryptoHMACLabel: 'barbican_hmac_11'
    注意

    不要更改 HMAC 密钥类型。

  3. 使用 director 重新部署以更新。director 检查为 MKEK 和 HMAC 标记的密钥是否存在,然后创建它们。另外,如果 BarbicanPkcs11CryptoRewrapKeys 参数设置为 True,director 会调用 barbican-manage hsm pkek_rewrap 来重新打包所有现有 pKEK。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.