Utilisation d'une clé partagée pour chiffrer des objets DAOS sur plusieurs serveurs

A partir de HCL Domino 12®, vous pouvez créer une clé partagée que plusieurs serveurs activés pour DAOS peuvent utiliser pour chiffrer des objets.

Si vous utilisez le stockage DAOS niveau 2, l'utilisation d'une clé partagée pour chiffrer des objets sur plusieurs serveurs est utile pour conserver l'espace de stockage niveau 2. Avec l'utilisation d'une clé partagée, chaque objet de pièce jointe DAOS unique a pour résultat un objet unique dans le stockage niveau 2 que partagent tous les serveurs qui chiffrent l'objet avec la référence de clé partagée.

Même si vous n'utilisez pas le stockage niveau 2, l'utilisation d'une clé partagée pour le chiffrement des objets peut simplifier votre stratégie de sauvegarde niveau 1. Dans ce cas, chaque objet de pièce jointe unique a le même nom et la même clé, de sorte qu'une seule sauvegarde d'un objet est requise et que l'objet peut être restauré sur n'importe quel serveur qui utilise la clé partagée.

Dans la figure suivante, DAOS niveau 2 est utilisé sans partage d'objets via une clé partagée. Chaque serveur utilise une clé distincte pour chiffrer les objets. Les deux copies de l'objet 1, inactives sur le serveur A et le serveur B dans DAOS niveau 1, sont déplacées vers le niveau 2.


Lorsque le partage d'objets via une clé partagée est utilisé, une copie de l'objet 1 depuis DAOS niveau 1 est déplacée vers le niveau 2, comme illustré dans la figure suivante.


Pour activer le chiffrement des objets DAOS avec une clé partagée, vous créez une clé partagée dans un magasin de données d'identification utilisé par les serveurs. L'algorithme de chiffrement AES-128 ou AES-256 peut être utilisé. Modifiez ensuite les documents Serveur des serveurs participants pour activer le chiffrement avec la clé partagée.

Si tous les serveurs activés pour DAOS n'utilisent pas le même magasin de données d'identification, vous pouvez exporter une clé partagée à partir d'un magasin de données d'identification et l'importer dans un autre.

Une fois que vous avez activé le chiffrement des objets de pièce jointe avec une clé partagée, lorsqu'un objet DAOS est créé dans le niveau 1 (sur le serveur Domino local), il est chiffré avec la clé partagée. Les objets niveau 1 créés avant l'activation du partage d'objets sont chiffrés avec la clé partagée s'ils sont envoyés vers le stockage niveau 2.

Etant donné que les objets DAOS "vieillissent" indépendamment d'un serveur à l'autre en fonction du moment de leur dernier accès sur chaque serveur, un objet de pièce jointe peut se trouver dans le niveau 1 sur certains serveurs et dans le niveau 2 sur d'autres.

Si toutes les références à un objet niveau 2 chiffré à l'aide d'une clé partagée sont supprimées d'un serveur spécifique, DAOS supprime la référence de niveau 2 à l'objet pour ce serveur en fonction du paramètre DAOS Différer la suppression d'objet pendant n jours. S'il s'agit du dernier serveur qui a référencé l'objet, l'objet niveau 2 lui-même est supprimé du stockage niveau 2 et le cycle de vie de l'objet est terminé.

DAOS suit les serveurs qui font référence à chaque objet niveau 2 et coordonne la création (envoi) et la suppression (élagage) des objets entre les serveurs afin d'éviter toute condition d'indétermination.

Remarque : Tous les serveurs qui utilisent une clé de chiffrement partagée doivent exécuter Domino 12 ou version ultérieure. N'activez pas le chiffrement des objets avec des clés partagées sur un serveur Domino que vous devrez peut-être rétromigrer vers une version de Domino antérieure à la version 12.
Pour configurer le partage d'objets de pièce jointe entre les serveurs, vous pouvez effectuer les étapes suivantes :
  1. Création d'une clé partagée dans un magasin de données d'identification
  2. Importation de clés partagées dans un autre magasin de données d'identification.
  3. Chiffrement de nouveaux objets de pièce jointe avec une clé partagée
  4. Vérification de l'utilisation d'objets partagés