Entsperren von Laufwerken bei Verwendung von externer Schlüsselverwaltung
Wenn Sie die externe Schlüsselverwaltung konfiguriert haben und später sichere Laufwerke von einem Speicher-Array auf ein anderes verschieben, müssen Sie den Sicherheitsschlüssel dem neuen Speicher-Array neu zuweisen, um Zugriff auf die verschlüsselten Daten auf den Laufwerken zu erhalten.
-
Auf dem Quell-Array (dem Array, in dem Sie die Laufwerke entfernen) haben Sie Volume-Gruppen exportiert und die Laufwerke entfernt. Auf dem Ziel-Array haben Sie die Laufwerke neu installiert.
Die Funktion „Exportieren/Importieren“ wird in der Benutzeroberfläche von System Manager nicht unterstützt. Sie müssen die Befehlszeilenschnittstelle (CLI) verwenden, um eine Volume-Gruppe in ein anderes Storage-Array zu exportieren bzw. zu importieren. Detaillierte Anweisungen für die Migration einer Volume-Gruppe finden Sie in "NetApp Knowledge Base". Befolgen Sie die entsprechenden Anweisungen für neuere Arrays, die von System Manager oder für ältere Systeme gemanagt werden.
-
Die Laufwerkssicherheitsfunktion muss aktiviert sein. Andernfalls wird während dieser Aufgabe ein Dialogfeld „Sicherheitsschlüssel nicht erstellen“ geöffnet. Wenden Sie sich bei Bedarf an Ihren Storage-Anbieter, um Anweisungen zur Aktivierung der Laufwerkssicherheitsfunktion zu erhalten.
-
Sie müssen die IP-Adresse und die Port-Nummer des Verschlüsselungsmanagementservers kennen.
-
Sie haben eine signierte Client-Zertifikatdatei für die Controller des Speicher-Arrays und haben diese Datei auf den Host kopiert, auf dem Sie auf System Manager zugreifen. Ein Client-Zertifikat validiert die Controller des Storage-Arrays, damit der wichtige Management-Server seine KMIP-Anforderungen (Key Management Interoperability Protocol) anvertrauen kann.
-
Sie müssen eine Zertifikatdatei vom Schlüsselverwaltungsserver abrufen und diese Datei anschließend auf den Host kopieren, auf den Sie auf System Manager zugreifen. Ein Zertifikat für den Schlüsselmanagementserver validiert den Schlüsselmanagementserver, damit das Storage-Array seiner IP-Adresse vertrauen kann. Sie können für den Schlüsselverwaltungsserver ein Root-, Intermediate- oder Serverzertifikat verwenden.
Weitere Informationen zum Serverzertifikat finden Sie in der Dokumentation für Ihren Schlüsselverwaltungsserver. |
Wenn Sie die externe Schlüsselverwaltung verwenden, wird der Sicherheitsschlüssel extern auf einem Server gespeichert, der zum sicheren Schutz von Sicherheitsschlüsseln entwickelt wurde. Ein Sicherheitsschlüssel ist eine Zeichenkette, die vom Controller und den Laufwerken für Lese-/Schreibzugriff freigegeben wird. Wenn die Laufwerke physisch aus dem Array entfernt und in einem anderen installiert werden, können sie erst betrieben werden, wenn Sie den richtigen Sicherheitsschlüssel angeben.
Sie können entweder einen internen Schlüssel aus dem persistenten Speicher des Controllers oder einen externen Schlüssel von einem Schlüsselmanagementserver erstellen. In diesem Thema wird das Entsperren von Daten beschrieben, wenn External Verschlüsselungsmanagement verwendet wird. Wenn Sie _interne Schlüsselverwaltung verwendet haben, lesen Sie "Entsperren Sie Laufwerke bei Nutzung des internen Verschlüsselungsmanagements". Wenn Sie ein Controller-Upgrade durchführen und alle Controller gegen die neueste Hardware austauschen, müssen Sie die verschiedenen Schritte ausführen, wie im E-Series und SANtricity Dokumentationszentrum in beschrieben "Entsperren von Laufwerken". |
Nach der Neuinstallation von Secure-Enabled-Laufwerken in einem anderen Array erkennt das Array die Laufwerke und zeigt den Zustand „Need Attention“ sowie den Status „Security Key needed“ an. Um die Laufwerkdaten zu entsperren, importieren Sie die Sicherheitsschlüsseldatei und geben den Passphrase für den Schlüssel ein. (Dieser Passphrase entspricht nicht dem Administratorkennwort des Speicherarrays.) Während dieses Prozesses konfigurieren Sie das Speicher-Array so, dass ein externer Schlüsselverwaltungsserver verwendet wird, und der sichere Schlüssel kann dann aufgerufen werden. Sie müssen die Kontaktinformationen des Servers angeben, damit das Speicherarray eine Verbindung herstellen und den Sicherheitsschlüssel abrufen kann.
Wenn andere sichere Laufwerke im neuen Speicher-Array installiert sind, verwenden sie möglicherweise einen anderen Sicherheitsschlüssel als den, den Sie importieren. Während des Importvorgangs wird der alte Sicherheitsschlüssel nur verwendet, um die Daten für die zu installierenden Laufwerke freizuschalten. Wenn die Entsperrung erfolgreich ist, werden die neu installierten Laufwerke erneut auf den Sicherheitsschlüssel des Ziel-Speicher-Arrays codiert.
-
Wählen Sie Menü:Einstellungen[System].
-
Wählen Sie unter * Security Key Management* die Option External Key erstellen aus.
-
Schließen Sie den Assistenten mit den erforderlichen Verbindungsinformationen und Zertifikaten ab.
-
Klicken Sie auf Kommunikation testen, um den Zugriff auf den externen Schlüsselverwaltungsserver zu gewährleisten.
-
Wählen Sie * Sichere Laufwerke Entsperren*.
Das Dialogfeld Sichere Laufwerke entsperren wird geöffnet. Alle Laufwerke, für die ein Sicherheitsschlüssel erforderlich ist, sind in der Tabelle aufgeführt.
-
Optional: bewegen Sie die Maus über eine Laufwerksnummer, um die Position des Laufwerks zu sehen (Regalnummer und Einschubnummer).
-
Klicken Sie auf Durchsuchen und wählen Sie dann die Sicherheitsschlüsseldatei aus, die dem Laufwerk entspricht, das Sie entsperren möchten.
Die ausgewählte Schlüsseldatei wird im Dialogfeld angezeigt.
-
Geben Sie den Passphrase ein, der dieser Schlüsseldatei zugeordnet ist.
Die eingegebenen Zeichen sind maskiert.
-
Klicken Sie Auf Entsperren.
Wenn der Entsperrvorgang erfolgreich ist, wird im Dialogfeld „die zugeordneten sicheren Laufwerke wurden entsperrt“ angezeigt.
Wenn alle Laufwerke gesperrt und dann entsperrt sind, wird jeder Controller im Speicher-Array neu gestartet. Wenn sich jedoch bereits einige nicht freigeschaltete Laufwerke im Ziel-Speicher-Array befinden, werden die Controller nicht neu gestartet.
Auf dem Ziel-Array (dem Array mit den neu installierten Laufwerken) können Sie nun Volume-Gruppen importieren.
Die Funktion „Exportieren/Importieren“ wird in der Benutzeroberfläche von System Manager nicht unterstützt. Sie müssen die Befehlszeilenschnittstelle (CLI) verwenden, um eine Volume-Gruppe in ein anderes Storage-Array zu exportieren bzw. zu importieren. |
Detaillierte Anweisungen für die Migration einer Volume-Gruppe finden Sie in "NetApp Knowledge Base".