Integrated Dell Remote Access Controller 9 User's Guide

以下是 iDRAC 中提供的 SEKM 功能：

1. SEKM 密钥清除策略 — iDRAC 提供了一个策略设置，允许您将 iDRAC 配置为在执行重新加密操作时清除密钥管理服务器 (KMS) 中旧的未使用密钥。您可以将 iDRAC 可读写属性 KMSKeyPurgePolicy 设置为以下值之一：
   • Keep All Keys — 这是默认设置以及现有行为，即 iDRAC 在执行重新加密操作时保持 KMS 上的所有密钥不变。
   • Keep N and N-1 keys — 在执行重新加密操作时，iDRAC 删除 KMS 中除当前 (N) 和上一个密钥 (N-1) 以外的所有密钥。
2. 禁用 SEKM 上的 KMS 密钥清除 — 作为 Secure Enterprise Key Manager (SEKM) 解决方案的一部分，iDRAC 允许您禁用 iDRAC 上的 SEKM。禁用 SEKM 后，iDRAC 在 KMS 中生成的密钥将不会被使用，并保留在 KMS 中。此功能用于允许 iDRAC 在 SEKM 被禁用时删除这些密钥。iDRAC 为现有的传统命令“racadm sekm disable”提供新的选项“-purgeKMSKeys”，这将允许您在 iDRAC 上的 SEKM 被禁用时清除 KMS 中的密钥。
   注: 如果 SEKM 已被禁用，并且您想要清除旧密钥，您必须重新启用 SEKM，然后禁用传入选项 -purgeKMSKeys。
3. 密钥创建策略 — 在此版本中，iDRAC 预配置了密钥创建策略。属性 KeyCreationPolicy 为只读，并且设置为“Key per iDRAC”值。
   • iDRAC 只读属性 iDRAC.SEKM.KeyIdentifierN 报告由 KMS 创建的密钥标识符。

     racadm get iDRAC.SEKM.KeyIdentifierN

   • iDRAC 只读属性 iDRAC.SEKM.KeyIdentifierNMinusOne 在执行重新加密操作后报告之前的密钥标识符。

     racadm get iDRAC.SEKM.KeyIdentifierNMinusOne

4. SEKM 重新加密 — iDRAC 提供了两个选项来重新加密 SEKM 解决方案，即重新加密 iDRAC 或 PERC。建议重新加密 iDRAC，因为这会重新加密所有支持/启用 SEKM 安全的设备。
   • SEKM iDRAC 重新加密 [iDRAC.Embedded.1 FQDD 上的重新加密] — 在执行 racadm sekm rekey iDRAC.Embedded.1 时，所有支持/启用 SEKM 安全的设备都通过来自 KMS 的新密钥重新加密，这是所有启用了 SEKM 的设备的通用密钥。还可以从 iDRAC GUI iDRAC 设置 > 服务 > SEKM 配置 > 重新加密执行 iDRAC 重新加密操作。执行此操作后，可以通过读取 KeyIdentifierN 和 KeyIdentifierNMinusOne 属性来验证密钥更改。
   • SEKM PERC 重新加密（控制器 [示例 RAID.Slot.1-1] FQDD 上的重新加密） — 在执行 racadm sekm rekey <controller FQDD> 时，相应的启用 SEKM 的控制器将通过从 KMS 创建的当前活动 iDRAC 通用密钥进行重新加密。还可以从 iDRAC GUI 存储 > 控制器 > <控制器 FQDD> > 操作 > 编辑 > 安全 > 安全（加密） > 重新加密执行存储控制器重新加密操作。