Podrobný postup migrace

Infineon Security Platform

previous page next page

Řešení Infineon Security Platform

Podrobný postup migrace

Proces migrace pověření má dvě části – kroky správy a uživatelské kroky. První část se skládá z ověření, nastavení a správy procesu migrace a provádí je správce. Jakmile jsou kroky správy dokončeny, uživatelé jednoduše musí exportovat nebo importovat své klíče a pověření ze zdroje do cíle.

V serverovém režimu migraci klíčů a certifikátů specifických pro uživatele zpracovává server Trusted Computing Management Server, to znamená, že kroky migrace nemusíte provádět (s výjimkou kroku 3 a 4).

Kroky správy

Krok 1 – Export identity cílového počítače Postup:
Provedení migrace vyžaduje, aby byl nejdříve identifikován cílový počítač, do kterého zamýšlíte migrovat uživatelské klíče a certifikáty. Aby to bylo možné, správce cílového počítače musí zpřístupnit (exportovat) veřejný klíč identifikující cílový počítač. Tento klíč se následně použije k ochraně uživatelských klíčů a certifikátů zdrojového (tohoto) počítače. (Poznámka: Když je obsah chráněn veřejným klíčem cílového systému, pouze soukromý klíč počítače chráněný čipem Trusted Platform Module může přistupovat k migrovaným klíčům a certifikátům.) Tento krok je nutný k vytvoření kořenu důvěry v operaci migrace – zajištěním, že pouze zamýšlené cílové systémy mohou přistupovat k uživatelským pověřením.

Správce platformy Security Platform cílového systému musí exportovat certifikát počítače (veřejný klíč) do souboru. Postupujte podle zmíněných kroků:

  • Vyberte v Nástroji nastavení platformy Infineon Security Platform položku Migrace.
  • Zaškrtněte možnost Toto je cílová platforma a klikněte na tlačítko Uložit....
  • Přejděte k umístění úložiště souboru vaší volby, do kterého lze přistupovat z obou počítačů. Soubor se uloží s výchozím názvem SpPubKeyArchive.xml.

    Přijatelná média úložiště: Vyměnitelné médium nebo mapovaná síťová jednotka.

Poznačte si umístění a název souboru exportovaného klíče, protože tyto informace budou vyžadovány v dalším kroku.

Krok 2 – Ověření vlastníkem zdrojového počítače
 		 Postup:
Další krok migrace vyžaduje, aby vlastník zdrojového počítače (který bude migrován) ověřil migraci uživatelských klíčů a certifikátů do určitého cílového počítače. To vyžaduje, aby vlastník měl přístup k veřejnému klíči cílového počítače. Jde o veřejný klíč, který byl v předchozím kroku exportován správcem cílového počítače (viz krok 1 výše). Ověření cílového počítače vlastníkem platformy Infineon Security Platform je zapotřebí, aby zabezpečovací softwarový balík zajistil, že uživatelské klíče a certifikáty mohou být asociovány pouze s určeným cílovým počítačem.

Vlastník platformy Infineon Security Platform zdrojového počítače (počítače, který má být migrován) musí ověřit export uživatelských pověření do zamýšleného cílového počítače. Postupujte podle zmíněných kroků:

  • Vyberte v nástroji Nastavení platformy Infineon Security Platform položku Migrace.
  • Zaškrtněte možnost Toto je zdrojová platforma a klikněte na tlačítko Ověřit.
  • Na stránce Ověření migrace klikněte na tlačítko Importovat... .
  • Přejděte k umístění souboru veřejného klíče SpPubKeyArchive.xml a klikněte na tlačítko Otevřít.
  • Napište heslo vlastníka zdrojového počítače nebo poskytněte záložní soubor hesla vlastníka a klikněte na tlačítko OK.
  • Ověřte, že je vypsán název hostitele cílového počítače spolu s jedinečným ID platformy, a potom klikněte na tlačítko Zavřít.

Kombinace kroků 1 a 2 – Automatický export a ověření Postup:
Alternativní způsob kombinující a provádějící výše uvedené dva kroky je automatický export a ověření, což obejde výše uvedený krok 1, a je velmi podobný kroku 2. Vlastník platformy Infineon Security Platform zdrojového počítače ověří migraci uživatelských klíčů a certifikátů z určitého počítače do určitého cílového počítače. Rozdíl je v tom, že namísto ruční identifikace souboru s pověřeními cílového počítače se cílová platforma identifikuje sama pomocí standardního dialogového okna procházení sítě. Jakmile je systém identifikován, platforma Infineon Security Platform se pokusí dynamicky kontaktovat cílový počítač (pomocí modelu DCOM) a vyžádá klíče a certifikáty platformy. Je-li cílový systém vybaven platformou Infineon Security Platform, informace o migraci se mezi těmito dvěma počítači automaticky přenese.

Předpoklady:

  • Zdrojový počítač: Aktuální uživatel (vlastník platformy Infineon Security Platform) musí být členem skupiny správců cílového počítače.
  • Cílový počítač: Platforma Infineon Security Platform je nainstalována a zapnuta.
  • Cílový počítač: Je zapnutá zásada Povolit správcům vzdálené načtení veřejného klíče SRK.
  • Cílový počítač: Žádná brána firewall neblokuje příchozí požadavky modelu DCOM (například brána firewall integrovaná v systému Microsoft Windows XP nebo libovolná jiná brána firewall).
  • Síť je konfigurována, aby povolila požadavky modelu DCOM.
  • Zdrojový i cílový počítač musí být členy domén, které sobě vzájemně důvěřují.

V případech, kdy automatické ověření není možné, musí být provedeny výše uvedené ruční kroky (1 a 2).

Vlastník platformy Infineon Security Platform zdrojového počítače (počítače, který má být migrován) musí ověřit export uživatelských klíčů pověření do zamýšleného cílového počítače. Postupujte podle zmíněných kroků:
  • Vyberte v Nástroji nastavení platformy Infineon Security Platform položku Migrace.
  • Zaškrtněte možnost Toto je zdrojová platforma a klikněte na tlačítko Ověřit.
  • Na stránce Ověření migrace klikněte na tlačítko Procházet.... Tím se otevře dialogové okno procházení sítě.
  • Vyhledejte cílový počítač a klikněte na tlačítko OK.
  • Tím se spustí automatický přenos informací migrace ze zdrojového počítače do cílového počítače.

 

Kroky uživatele

Pokud uživatel konfiguroval jednotky Personal Secure Drive na zdrojovém počítači, je důležité zálohovat veškeré soubory bitové kopie jednotky Personal Secure Drive, které mají být migrovány, a uložit záložní soubory bitové kopie (výchozí název souboru: SpPSDBackup.fsb) zdrojového počítače do umístění, ke kterému mohou oba počítače přistupovat. Chcete-li použít kopie zdrojových souborů bitové kopie jednotky PSD v cílovém počítači, musí být zpřístupněny záložní soubory bitové kopie zdrojového počítače.

Krok 1 – Export uživatelských klíčů a certifikátů ze zdrojového počítače Postup:
Po dokončení kroků správy je jednotlivým uživatelům platformy Infineon Security Platform povoleno bezpečně exportovat své klíče a certifikáty (chráněné veřejným klíčem cílového systému a tedy čitelným pouze cílovou platformou).

Uživatelé platformy Infineon Security Platform cílového počítače exportují své klíče a certifikáty pro migraci. Postupujte podle zmíněných kroků:

  • Vyberte v Nástroji nastavení platformy Infineon Security Platform položku Migrace.
  • Zaškrtněte možnost Toto je zdrojová platforma a klikněte na tlačítko Exportovat....
  • Vyberte ze seznamu cílový počítač a klikněte na tlačítko Další.
  • Přejděte k umístění úložiště souboru vaší volby, do kterého lze přistupovat z obou počítačů. Soubor se uloží s výchozím názvem SpMigrationArchive.xml. Klikněte na tlačítko Další.
  • Zadejte základní uživatelské heslo pro zdrojový počítač a klikněte na tlačítko Další.
  • Potvrďte nastavení a klikněte na tlačítko Další.
  • Na obrazovce Souhrn ověřte, že export uživatelských klíčů a certifikátů proběhl úspěšně, a klikněte na tlačítko Dokončit.

Poznačte si umístění a název souboru archivu, protože tyto informace budou vyžadovány v dalším kroku.

Krok 2 – Import uživatelských klíčů a certifikátů do cílového počítače
 		 Postup:
Následně se vyžaduje, aby uživatelé importovali klíče a certifikáty do cílových počítačů, dokud vlastní uživatelský účet.

Uživatelé platformy Infineon Security Platform mohou do cílového počítače importovat své klíče a certifikáty. Postupujte podle zmíněných kroků:

  • Vyberte v Nástroji nastavení platformy Infineon Security Platform položku Migrace.
  • Zaškrtněte možnost Toto je cílová platforma a klikněte na tlačítko Importovat....
  • Přejděte k umístění souboru archivu SpMigrationArchive.xml a klikněte na tlačítko Další.
  • Zadejte základní uživatelské heslo, které bylo nastaveno ve zdrojovém počítači, a klikněte na tlačítko Další.
  • Potvrďte nastavení a klikněte na tlačítko Další.
  • Pokud byly funkce platformy Security Platform na cílové platformě dříve konfigurovány, zobrazí se upozornění. Pozorně si upozornění přečtěte a klikněte na tlačítko Ano.
  • Na obrazovce Souhrn ověřte, že migrace uživatelských klíčů a certifikátů proběhla úspěšně a klikněte na tlačítko Dokončit.
  • Na konečné stránce průvodce budete mít příležitost automaticky přejít k dalšímu kroku výběrem možnosti Spustit průvodce inicializací uživatele platformy Infineon Security Platform.

Všimněte si rad na stránce Migrace a jednotky Personal Secure Drive.

Krok 3 – Konfigurace aplikací, aby používaly migrované klíče a certifikáty Postup:
Jakmile je migrace klíčů a certifikátů dokončena, je důležité asociovat tato nová pověření s jednotlivými aplikacemi, které uživatel zamýšlí na cílovém počítači používat.

Protože pověření lze použít mezi několika aplikacemi, aktuální metoda importu migrovaných klíčů a certifikátů bude jedinečná pro jednotlivé poskytovatele aplikací. Uživatelé například mohou konfigurovat systém souborů Encrypting File System, aby používal migrovaný certifikát. Postupujte podle zmíněných kroků:

  • Vyberte v Nástroji nastavení platformy Infineon Security Platform položku Uživatelské nastavení.
  • Klikněte na tlačítko Konfigurovat... .
  • Postupujte podle pokynů na obrazovce a klikněte na stránce Funkce platformy Security Platform – certifikát šifrování na tlačítko Vybrat.
  • Vyberte migrovaný certifikát, klikněte na tlačítko OK a pokračujte na další stránku průvodce.

Krok 4 – Překonfigurování uživatelských funkcí – Personal Secure Drive Postup:
Jakmile je migrace klíčů a certifikátů dokončena, uživatel musí na cílovém počítači překonfigurovat nastavení jednotky Personal Secure Drive. Pokud byla na zdrojovém počítači konfigurována jedna nebo více jednotek Personal Secure Drive, je potřeba migrované jednotky Personal Secure Drive na cílovém počítači překonfigurovat (viz Správa jednotek Personal Secure Drive). Chcete-li jednotku Personal Secure Drive překonfigurovat, zaškrtněte možnost Chci změnit nastavení jednotky Personal Secure Drive a postupujte podle pokynů na obrazovce. Chcete-li použít kopii zdrojové jednotky Personal Secure Drive na cílovém počítači, musíte obnovit příslušný záložní soubor bitové kopie zdrojového počítače (výchozí název souboru: SpPSDBackup.fsb). Po obnovení budete mít na zdrojovém a cílovém počítači dvě nezávislé jednotky Personal Secure Drive.


©Infineon Technologies AG

previous page start next page