Création d'une clé partagée dans un magasin de données d'identification

Pour partager une clé à utiliser pour chiffrer des objets DAOS entre les serveurs, créez une clé partagée dans un magasin de données d'identification.

Avant de commencer

  • Assurez-vous que la conception de la base de données du magasin de données d'identification Domino (credstore.nsf) dans l'annuaire IBM_CredStore a été actualisée avec le modèle websecuritystore.ntf fourni avec Domino 12 ou une version ultérieure.
  • Un magasin de données d'identification est une partie requise de la configuration du stockage DAOS niveau 2. Si vous n'utilisez pas le stockage niveau 2 et que vous n'utilisez pas déjà un magasin de données d'identification, créez un magasin de données d'identification sur les serveurs participants. Pour plus d'informations, voir Utilisation d'un magasin de données d'identification pour stocker des données d'identification.
  • Un magasin de données d'identification peut être limité à un seul serveur ou à un cluster. Dans ce dernier cas, assurez-vous que le serveur sur lequel le magasin de données d'identification est créé fait déjà partie d'un cluster au moment de la création du magasin de données d'identification. En supposant que le magasin de données d'identification est en cluster, si la portée de votre partage d'objets DAOS se trouve également dans ce cluster, vous n'avez besoin de créer la clé partagée que dans une réplique du magasin de données d'identification. Elle sera ensuite répliquée dans le cluster. Si la portée du partage d'objets DAOS est plus large (par exemple dans plusieurs clusters), vous devez créer une clé partagée dans un magasin de données d'identification, puis exporter les clés partagées et les importer dans un autre magasin de données d'identification.
  • Si le magasin de données d'identification est utilisé dans un cluster, veillez à répliquer credstore.nsf sur tous les serveurs du cluster.

Pourquoi et quand exécuter cette tâche

Vous pouvez choisir le chiffrement AES-128 ou AES-256 pour la clé partagée. AES-128 offre une sécurité renforcée. AES-256 offre une sécurité renforcée, mais peut entraîner une légère diminution des performances lors du chiffrement et du déchiffrement des objets.

Procédure

  1. Pour créer la clé partagée dans credstore.nsf, entrez l'une des commandes suivantes à partir de la console de n'importe quel serveur Domino qui utilise le magasin de données d'identification :
    Pour utiliser le chiffrement AES-128 :
    keymgmt create sharedkey <keyname>
    Pour utiliser le chiffrement AES-256 :
    keymgmt create sharedkey <keyname> 256
    Par exemple, pour créer une clé partagée appelée MyCluster_AES_128 qui utilise le chiffrement AES 128 bits, entrez : 
    keymgmt create sharedkey MyCluster_AES_128
  2. La sortie de la commande affiche le hachage de la clé partagée qui l'identifie de manière unique dans le code DAOS. Vous avez également la possibilité d'entrer la commande suivante pour vérifier que la clé partagée est créée : 
    keymgmt show sharedkey <keyname>
    Vous pouvez également entrer la commande ci-après pour vérifier toutes les clés partagées en cours :
    keymgmt show sharedkey all

Que faire ensuite