使用共享密钥跨服务器加密 DAOS 对象

HCL Domino 12® 开始,您可以创建供启用 DAOS 的多个服务器用于加密对象的共享密钥。

如果您使用 DAOS 第 2 层存储,那么使用共享密钥跨服务器加密对象对于节省第 2 层存储空间非常有用。使用共享密钥时,每个唯一 DAOS 附件对象解析为第 2 层存储中的单个对象,使用共享密钥加密该对象的所有服务器都引用该对象。

即使您不使用第 2 层存储,使用共享密钥进行对象加密也可以简化第 1 层备份策略。在这种情况下,每个唯一附件对象具有相同的名称和键,因此一个对象只需进行一次备份,就可以将该对象还原到使用共享密钥的任何服务器上。

下图显示的是在不通过共享密钥共享对象时使用 DAOS 第 2 层的情况。每个服务器使用单独的密钥来加密对象。对象 1(在 DAOS 第 1 层中的服务器 A 和服务器 B 上处于非活动状态)的两个副本均移至第 2 层。


通过共享密钥共享对象时,DAOS 第 1 层中的对象 1 的一个副本将移至第 2 层,如下图中所示。


要启用使用共享密钥加密 DAOS 对象,您需要在服务器使用的凭证库中创建共享密钥。可以使用 AES-128 或 AES-256 加密算法。然后,修改参与服务器的“服务器”文档以启用使用共享密钥进行加密。

如果并非启用了 DAOS 的所有服务器都使用同一凭证库,您可以将共享密钥从一个凭证库导出,然后再将其导入到另一个凭证库。

启用使用共享密钥加密附件对象后,当在本地 Domino 服务器的第 1 层中创建 DAOS 对象时,会使用共享密钥加密该对象。如果启用对象共享之前创建的第 1 层对象推送到第 2 层存储,那么会使用共享密钥对这些对象进行加密。

由于 DAOS 对象的“存在时间”在不同服务器中依据它们在每个服务器中的上次访问时间不同而异,因此一个附件对象可以在某些服务器中位于第 1 层,而在其他服务器中位于第 2 层。

如果从特定服务器中删除对使用共享密钥加密的某个第 2 层对象的所有引用,那么 DAOS 会根据 DAOS 设置将对象删除延迟 n除去该服务器中对该对象的第 2 层引用。如果这是最后一个引用该对象的服务器,那么该第 2 层对象本身也将从第 2 层存储器中删除,并且该对象的生命周期已结束。

DAOS 会跟踪哪些服务器引用了每个第 2 层对象,并协调这些对象在不同服务器之间的创建(推送)和删除(修剪)以避免任何争用情况。

注: 所有使用共享加密密钥的服务器都必须运行 Domino 12 或更高版本。请勿在可能需要降级到 Domino 12 之前版本的 Domino 服务器上启用使用共享密钥加密对象。
要配置跨服务器的附件对象共享,请完成下列步骤:
  1. 在凭证库中创建共享密钥
  2. 将共享密钥导入到另一个凭证库
  3. 使用共享密钥加密新附件对象
  4. 验证共享对象的使用