EKM 變更之后AS400 上磁帶驗(yàn)證EKM磁帶加密

tomroom

EKM  磁帶加密的服務(wù)器 若有變更之后  需要AS400 上測(cè)試驗(yàn)證下磁帶加密是否正常。
下面場(chǎng)景: EKM變更 維護(hù)了DR端的EKM服務(wù)器，需要通過(guò)AS400驗(yàn)證EKM加密有效性，AS400 SE 變更生產(chǎn)AS400上磁帶庫(kù)設(shè)置指向DR端 EKM服務(wù)器，用生產(chǎn)磁帶庫(kù)里磁帶（OP用作當(dāng)晚跑批備份2盤(pán)已經(jīng)加密初始化的磁帶）來(lái)驗(yàn)證DR EKM有效性（生產(chǎn)和DR 的EKM用相同的密鑰）。


1.        WEB登陸生產(chǎn)磁帶庫(kù)  https  
ID: admin
2.        把生產(chǎn)磁帶庫(kù)里磁帶從Drive驅(qū)動(dòng)器里，move到空槽位
（磁帶已經(jīng)挪到Drive驅(qū)動(dòng)器里的，會(huì)導(dǎo)致系統(tǒng)已經(jīng)認(rèn)證過(guò)加密，導(dǎo)致EKM變更后直接去讀此之前已經(jīng)在驅(qū)動(dòng)器里的磁帶無(wú)法驗(yàn)證DR EKM 是否有效）
3.        檢查確認(rèn)當(dāng)前磁帶庫(kù)里磁帶是加密方式。
磁帶庫(kù)Web頁(yè)面左側(cè)Mointor Library –>Inventory  察看右側(cè)磁帶list中comment 是Encrypted 證明磁帶是加密的，可以用來(lái)驗(yàn)證


4.        記錄下當(dāng)前EKM 配置
Configure Library->Encryption 右邊 記錄下指向生產(chǎn)EKM配置EKM Server IP：10.223.128.33




5.        修改帶庫(kù)EKM配置指向DR EKM
以上2處EKM   IP  address兩處IP都修改為 DR EKM 服務(wù)器地址 10.222.128.17 （生產(chǎn)磁帶庫(kù)到DR EKM 10.222.128.17   3801端口防火墻之前已經(jīng)開(kāi)通）



6.        登陸AS400  tap01 從vary  on狀態(tài)變?yōu)?vary off
sgsecofr登陸生產(chǎn)AS400  WRKDEVD把磁帶機(jī)的DEVD ：tap01 從vary  on狀態(tài)變?yōu)?vary off。
這個(gè)很重要（讓AS400后續(xù)刷新 EKM變更）

7.        在磁帶庫(kù)里WEB界面重新啟動(dòng)磁帶庫(kù)
（為了刷新磁帶機(jī)EKM磁帶設(shè)置變更）。
如下圖：Sevice Library  —>Reboot


8.        等待磁帶機(jī)重新啟動(dòng)之后初始化和Scan  ready（web界面有進(jìn)度條）
9.        磁帶庫(kù)里把一盤(pán)磁帶move到Drive驅(qū)動(dòng)器里（選擇Before卷標(biāo)）。
10.        把AS400 TAP01   VERY ON
11.        運(yùn)行命令chktap  tap01 檢查對(duì)加密的磁帶讀。
若提示如下磁帶卷標(biāo)found on device TAP01 表明EKM正常，若正常就把磁帶機(jī)vary off



12.        AS400 TAP01  Device狀態(tài)變?yōu)閂ARY OFF。若磁帶無(wú)法識(shí)別需要關(guān)閉WRKPRB報(bào)錯(cuò)
我們這次遇到DR EKM變更后不正常。提示TAP01 NOT READY  就是DR EKM不正常。（DR EKM 豆會(huì)回退） DR EKM不正常WRKPRB里會(huì)有一個(gè)報(bào)錯(cuò)，需要立即關(guān)閉close，不然會(huì)觸發(fā)報(bào)警。 同時(shí)TAP01  Device狀態(tài)變?yōu)镕ail狀態(tài)需要VARY OFF

13.        恢復(fù)生產(chǎn)磁帶機(jī)EKM配置.
把生產(chǎn)磁帶庫(kù)里EKM 恢復(fù)指向 生產(chǎn)EKM  IP
14.        把磁帶從Drive里挪到帶庫(kù)空槽。
15.        REBOOT重啟動(dòng)磁帶庫(kù).等待磁帶庫(kù)狀態(tài)ready和磁帶Scan完成。
16.        帶庫(kù)里Move磁帶到驅(qū)動(dòng)器Drive 。
17.         AS400 vary on 磁帶庫(kù) 帶機(jī)TAP01
18.        CHKTAP TAP01  檢測(cè) 磁帶機(jī)讀加密過(guò)磁帶  
As400 5250提示 ：識(shí)別出磁帶 Volume xxx found on device TAP01