生成新的加密密钥

This site will be decommissioned on December 31st 2024. After that date content will be available at techdocs.broadcom.com.

如果密钥到期或信誉受到损害，可以生成新的加密密钥。

关于此任务

为 vSAN 群集生成新的加密密钥时，以下选项可用。

如果您生成新的 KEK，vSAN 群集中的所有主机将收到来自 KMS 的新的 KEK。已使用新的 KEK 重新加密每个主机的 DEK。
如果您选择使用新的密钥重新加密所有数据，将生成新的 KEK 和新的 DEK。需要执行回滚磁盘重新格式化操作才能重新加密数据。

先决条件

所需特权：
- 主机 > 清单 > 编辑群集
- 密码员 > 管理密钥
您必须设置 KMS 群集并在 vCenter Server 和 KMS 之间建立信任连接。

过程

在 vSphere Web Client 中，导航到 vSAN 主机群集。
单击配置选项卡。
在“vSAN”下，选择常规。
在“vSAN 已打开”窗格中，单击生成新的加密密钥按钮。
要生成新的 KEK，请单击确定。将使用新的 KEK 重新加密 DEK。
- 要生成新的 KEK 和新的 DEK，并重新加密 vSAN 群集中的所有数据，请选中以下复选框：同时使用新的密钥重新加密存储器上的所有数据。
- 如果 vSAN 群集的资源有限，请选中允许精简冗余复选框。如果允许减少冗余，执行磁盘重新格式化操作过程中数据可能会处于风险中。