Encryption centos上通过kickstart的磁盘加密托管文件_Encryption_Redhat_Luks

Encryption centos上通过kickstart的磁盘加密托管文件

encryption

Encryption centos上通过kickstart的磁盘加密托管文件,encryption,redhat,luks,Encryption,Redhat,Luks,我正试图通过PXE和kickstart通过加密文件系统自动安装centos。如果我们误用了密码，我们希望使用托管文件，并使用从web服务器获得的x509证书附带的公钥对其进行加密。kickstart文件中的相关行是 logvol /home --fstype ext4 --name=lv02 --vgname=vg01 --size=1 --grow --encrypted --escrowcert=http://10.0.2.2:8080/escrow.crt --passphrase=XXX

我正试图通过PXE和kickstart通过加密文件系统自动安装centos。如果我们误用了密码，我们希望使用托管文件，并使用从web服务器获得的x509证书附带的公钥对其进行加密。kickstart文件中的相关行是

logvol /home --fstype ext4 --name=lv02 --vgname=vg01 --size=1 --grow --encrypted --escrowcert=http://10.0.2.2:8080/escrow.crt --passphrase=XXXX --backuppassphrase

将证书保留为web服务器上的PEM编码而不是DER似乎并不重要，也可以在一定程度上起作用

文件系统是使用提供的密码短语创建和加密的，可以在重新启动时打开，不会出现任何问题。两个托管文件按预期生成，如果使用包含私钥的NSS数据库和第一个托管文件，我会获得我认为是密码短语的内容，但不会解锁磁盘。例如：

# volume_key --secrets -d /tmp/nss e04a93fc-555b-430b-a962-1cdf921e320f-escrow
    Data encryption key:<span class="whitespace other" title="Tab">»</span>817E65AC37C1EC802E3663322BFE818D47BDD477678482E78986C25731B343C221CC1D2505EA8D76FBB50C5C5E98B28CAD440349DC0842407B46B8F116E50B34

当出现提示时，我粘贴长数字字符串，但收到“无可用键”消息。但是，如果使用kickstart文件或备份托管文件中指定的密码短语，磁盘将解锁

# volume_key --secrets -d /tmp/nss e04a93fc-555b-430b-a962-1cdf921e320f-escrow-backup-passphrase 
Passphrase:<span class="whitespace other" title="Tab">»</span>QII.q-ImgpN-0oy0Y-RC5qa

#卷#密钥-机密-d/tmp/nss e04a93fc-555b-430b-a962-1cdf921e320f-托管-备份-密码短语
密码短语：»QII.q-ImgpN-0oy0Y-RC5qa

然后在crypsetup命令中使用字符串QII.q-ImgpN-0oy0Y-RC5qa可以工作

有人知道我错过了什么吗？为什么这两个托管文件都不起作用？

我读了更多的内容，以托管结尾的文件不是luks卷的替代密码，但它包含加密密钥，当然是加密的。解密时，长字符串是加密密钥，在文本的其余部分有一条线索，我承认我读得不太好

# volume_key --secrets -d /tmp/nss e04a93fc-555b-430b-a962-1cdf921e320f-escrow-backup-passphrase 
Passphrase:<span class="whitespace other" title="Tab">»</span>QII.q-ImgpN-0oy0Y-RC5qa