使用共用金鑰跨伺服器加密 DAOS 物件

HCL Domino 12® 開始,您可以建立共用金鑰,針對 DAOS 啟用的多部伺服器可以使用該共用金鑰來加密物件。

如果您使用 DAOS 第 2 層儲存體,則使用共用金鑰跨伺服器加密物件有助於保留第 2 層儲存空間。透過使用共用金鑰,每一個唯一的 DAOS 附件檔物件都會解析為第 2 層儲存體中的單一物件,而利用共用金鑰加密物件的所有伺服器都會參照該單一物件。

即使您不使用第 2 層儲存體,使用共用金鑰進行物件加密也可能簡化您的第 1 層備份策略。在此情況下,每一個唯一的附件檔物件都具有相同的名稱及金鑰,因此只需要單一的物件備份,而且物件可以還原到使用共用金鑰的任何伺服器。

在下圖中,使用 DAOS 第 2 層,沒有透過共用金鑰共用的物件。每一部伺服器都會使用個別金鑰來加密物件。物件 1 的兩個副本(在 DAOS 第 1 層中的「伺服器 A」及「伺服器 B」 上處於閒置狀態)都會移到第 2 層。


使用透過共用金鑰共用的物件時,來自 DAOS 第 1 層的「物件 1」副本會移到第 2 層,如下圖所示。


若要使用共用金鑰啟用 DAOS 物件的加密,請在伺服器使用的認證儲存庫中建立共用金鑰。可以使用 AES-128 或 AES-256 加密演算法。然後修改參與伺服器的「伺服器」文件,以使用共用金鑰啟用加密。

如果並非所有針對 DAOS 啟用的伺服器都使用相同的認證儲存庫,則您可以從某個認證儲存庫匯出共用金鑰,並將其匯入至另一個認證儲存庫。

在您讓附件檔物件可以使用共用金鑰進行加密之後,當 DAOS 物件在第 1 層(在本端 Domino 伺服器上)中建立時,它會使用共用金鑰進行加密。在啟用物件共用之前建立的第 1 層物件,若被推送至第 2 層儲存體,則會使用共用金鑰進行加密。

因為 DAOS 物件會根據上次在每部伺服器上存取它們的時間,跨伺服器獨立「變老」,所以某個附件檔物件可能在某些伺服器上的第 1 層中,以及在其他伺服器上的第 2 層中。

如果從特定伺服器中刪除了使用共用金鑰加密之第 2 層物件的所有參照,DAOS 會根據 DAOS 設定延遲 n 天刪除物件,移除該伺服器物件的第 2 層參照。如果這是最後一部參照物件的伺服器,則第 2 層物件本身會從第 2 層儲存體中刪除,並且物件的生命週期已完成。

DAOS 會追蹤哪些伺服器參照每一個第 2 層物件,並協調跨伺服器的物件建立(推送)及刪除(刪改),以避免任何競爭狀況。

註: 所有使用共用加密金鑰的伺服器必須執行 Domino 12 或更新版本。不要在可能需要降級至 Domino 12 之前版本的 Domino 伺服器上,使用共用金鑰啟用物件加密。
若要配置跨伺服器共用的附件檔物件,請完成下列步驟:
  1. 在認證儲存庫中建立共用金鑰
  2. 將共用金鑰匯入至另一個認證儲存庫
  3. 使用共用金鑰加密新的附件檔物件
  4. 驗證共用物件的使用