使 DAOS 对象加密密钥保持一致
使用 DAOS 加密管理器任务 (daosencmgr) 使服务器上的所有 DAOS 对象使用相同的加密强度和加密密钥。
关于此任务
- 列出与 Domino 服务器相关联的所有 DAOS 对象所使用的加密密钥相关信息。
- 转换对象加密密钥以匹配 Domino 目录中“服务器”文档的 DAOS 选项卡上的 DAOS 对象加密设置(如果它们当前不匹配)。
例如,使用 daosencmgr 来以共享加密密钥重新加密对象,以便可以在配置为使用同一共享密钥的任何服务器上使用这些对象。利用共享加密密钥,可以将对象从一台服务器复制到另一台服务器,或者对多个 Domino 服务器使用单个备份。
您很可能仅在有限时间内使用 daosencmgr,并且在转换密钥以匹配服务器 DAOS 对象加密设置之后,您将不需要定期运行它。
| 选项 | 描述 |
|---|---|
| list -O <outfile> all |
在服务器控制台上列出以下信息:
此外,使用 all 选项以列出 S3 存储中与服务器当前 DAOS 加密设置不匹配的第 2 层对象。如果有许多第 2 层对象,那么该命令可能需要很长时间才能完成。 使用 -O <outfile> 选项以列出在文件中而在不是服务器控制台中输出的 DAOS 对象文件。指定显式文件路径或相对于数据目录的文件路径。 |
| convert-O <outfile> -t <hours> -k <nlokey> -V |
重新加密服务器上与服务器当前 DAOS 对象加密设置不匹配的本地对象,以使用已配置的加密强度和加密密钥。
注: 不支持重新加密第 2 层对象(S3 存储中的对象)。 消息指示对象是否无法重新加密。如果凭证库中不再提供加密密钥、对象位于第 2 层存储中或者当前加密信息由于其他原因而不可用,就会发生这种情况。 使用 -t <hours> 以将 convert 运行指定的小时数。如果有许多对象需要重新加密,请使用此选项以分批交错进行重新加密。没有 -t,就没有时间限制。 使用 -k <nlokey> 选项重新加密单个 .nlo 文件,以匹配服务器的当前 DAOS 对象加密设置。请勿指定 .nlo 扩展名。 使用 -O <outfile> 选项在文件中而不是在服务器控制台中列出已转换的 .nlo 文件。指定显式文件路径或相对于数据目录的文件路径。 使用 -V 选项启用详细输出,以显示每次尝试进行的转换的状态。 |
示例
后面有编号图例说明- 1 “服务器”文档中的 DAOS 对象加密设置。
- 2 用于对此服务器上的 DAOS 对象进行加密的加密方法和密钥的摘要,以及使用每个唯一加密方法和密钥的对象数量。
- 3 具有与 DAOS 对象加密设置不匹配的密钥的 DAOS 对象,可以使用 convert 重新加密。按加密密钥标识分组。
- 4 具有与 DAOS 对象加密设置不匹配但无法使用 convert 重新加密的密钥的 DAOS 对象。
