Wiederherstellung der Verschlüsselung – AFF A700
Stellen Sie die Verschlüsselung auf dem Ersatz-Startmedium wieder her.
Sie müssen die Schritte speziell für Systeme mit aktiviertem Onboard Key Manager (OKM), NetApp Storage Encryption (NSE) oder NetApp Volume Encryption (NVE) anhand der Einstellungen abschließen, die Sie zu Beginn des Austauschvorgangs des Boot-Mediums erfasst haben.
Je nachdem, welcher Key Manager auf Ihrem System konfiguriert ist, wählen Sie eine der folgenden Optionen aus, um ihn im Startmenü wiederherzustellen.
Option 1: Wiederherstellen der Onboard Key Manager-Konfiguration
Stellen Sie die OKM-Konfiguration (Onboard Key Manager) über das ONTAP-Startmenü wieder her.
-
Stellen Sie sicher, dass Sie beim Wiederherstellen der OKM-Konfiguration folgende Informationen haben:
-
Cluster-weite Passphrase eingegeben "Und ermöglicht integriertes Verschlüsselungsmanagement".
-
-
Führen Sie das "Verifizierung von Onboard-Verschlüsselungsmanagement-Backup und Cluster-weiter Passphrase" Verfahren durch, bevor Sie fortfahren.
-
Schließen Sie das Konsolenkabel an den Ziel-Controller an.
-
Wählen Sie im ONTAP-Startmenü die entsprechende Option aus dem Startmenü aus.
ONTAP-Version Wählen Sie diese Option aus ONTAP 9.8 oder höher
Wählen Sie Option 10.
Beispiel für ein Startmenü anzeigen
Please choose one of the following: (1) Normal Boot. (2) Boot without /etc/rc. (3) Change password. (4) Clean configuration and initialize all disks. (5) Maintenance mode boot. (6) Update flash from backup config. (7) Install new software first. (8) Reboot node. (9) Configure Advanced Drive Partitioning. (10) Set Onboard Key Manager recovery secrets. (11) Configure node for external key management. Selection (1-11)? 10
ONTAP 9.7 und frühere Versionen
Wählen Sie die ausgeblendete Option aus
recover_onboard_keymanager
Beispiel für ein Startmenü anzeigen
Please choose one of the following: (1) Normal Boot. (2) Boot without /etc/rc. (3) Change password. (4) Clean configuration and initialize all disks. (5) Maintenance mode boot. (6) Update flash from backup config. (7) Install new software first. (8) Reboot node. (9) Configure Advanced Drive Partitioning. Selection (1-19)? recover_onboard_keymanager
-
Bestätigen Sie, dass Sie den Wiederherstellungsprozess fortsetzen möchten.
Beispiel-Eingabeaufforderung anzeigen
This option must be used only in disaster recovery procedures. Are you sure? (y or n):
-
Geben Sie die Cluster-weite Passphrase zweimal ein.
Während der Eingabe der Passphrase zeigt die Konsole keine Eingaben an.
Beispiel-Eingabeaufforderung anzeigen
Enter the passphrase for onboard key management:
Enter the passphrase again to confirm:
-
Geben Sie die Sicherungsinformationen ein.
-
Fügen Sie den gesamten Inhalt aus der Zeile „START BACKUP“ durch die Zeile „END BACKUP“ ein.
Beispiel-Eingabeaufforderung anzeigen
Enter the backup data: --------------------------BEGIN BACKUP-------------------------- 0123456789012345678901234567890123456789012345678901234567890123 1234567890123456789012345678901234567890123456789012345678901234 2345678901234567890123456789012345678901234567890123456789012345 3456789012345678901234567890123456789012345678901234567890123456 4567890123456789012345678901234567890123456789012345678901234567 AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 0123456789012345678901234567890123456789012345678901234567890123 1234567890123456789012345678901234567890123456789012345678901234 2345678901234567890123456789012345678901234567890123456789012345 AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA ---------------------------END BACKUP---------------------------
-
Drücken Sie am Ende des Eingangs zweimal die Eingabetaste.
Die Wiederherstellung ist abgeschlossen.
Beispiel-Eingabeaufforderung anzeigen
Trying to recover keymanager secrets.... Setting recovery material for the onboard key manager Recovery secrets set successfully Trying to delete any existing km_onboard.wkeydb file. Successfully recovered keymanager secrets. *********************************************************************************** * Select option "(1) Normal Boot." to complete recovery process. * * Run the "security key-manager onboard sync" command to synchronize the key database after the node reboots. ***********************************************************************************
Fahren Sie nicht fort, wenn die angezeigte Ausgabe etwas anderes als ist Successfully recovered keymanager secrets
. Führen Sie die Fehlerbehebung durch, um den Fehler zu beheben. -
-
Wählen Sie Option 1 aus dem Startmenü, um mit dem Booten in ONTAP fortzufahren.
Beispiel-Eingabeaufforderung anzeigen
*********************************************************************************** * Select option "(1) Normal Boot." to complete the recovery process. * *********************************************************************************** (1) Normal Boot. (2) Boot without /etc/rc. (3) Change password. (4) Clean configuration and initialize all disks. (5) Maintenance mode boot. (6) Update flash from backup config. (7) Install new software first. (8) Reboot node. (9) Configure Advanced Drive Partitioning. (10) Set Onboard Key Manager recovery secrets. (11) Configure node for external key management. Selection (1-11)? 1
-
Vergewissern Sie sich, dass an der Konsole des Controllers die folgende Meldung angezeigt wird.
Waiting for giveback…(Press Ctrl-C to abort wait)
-
Geben Sie am Partner-Node den Partner-Controller ein, indem Sie den folgenden Befehl eingeben.
storage failover giveback -fromnode local -only-cfo-aggregates true
. -
Führen Sie nach dem Booten nur mit dem CFO-Aggregat den folgenden Befehl aus.
security key-manager onboard sync
-
Geben Sie die Cluster-weite Passphrase für das Onboard Key Manager ein.
Beispiel-Eingabeaufforderung anzeigen
Enter the cluster-wide passphrase for the Onboard Key Manager: All offline encrypted volumes will be brought online and the corresponding volume encryption keys (VEKs) will be restored automatically within 10 minutes. If any offline encrypted volumes are not brought online automatically, they can be brought online manually using the "volume online -vserver <vserver> -volume <volume_name>" command.
Wenn die Synchronisierung erfolgreich war, wird die Cluster-Eingabeaufforderung ohne weitere Meldungen zurückgegeben. Wenn die Synchronisierung fehlschlägt, wird eine Fehlermeldung angezeigt, bevor Sie zur Cluster-Eingabeaufforderung zurückkehren. Fahren Sie nicht fort, bis der Fehler behoben ist und die Synchronisierung erfolgreich ausgeführt wird. -
Stellen Sie sicher, dass alle Schlüssel synchronisiert wurden, indem Sie den folgenden Befehl eingeben.
security key-manager key query -restored false
.There are no entries matching your query.
Beim Filtern nach FALSE im wiederhergestellten Parameter sollten keine Ergebnisse angezeigt werden. -
Geben Sie dem Partner ein Giveback des Node durch Eingabe des folgenden Befehls ein.
storage failover giveback -fromnode local
-
Stellen Sie das automatische Giveback wieder her, wenn Sie es deaktiviert haben, indem Sie den folgenden Befehl eingeben.
storage failover modify -node local -auto-giveback true
-
Wenn AutoSupport aktiviert ist, stellen Sie die automatische Fallerstellung durch Eingabe des folgenden Befehls wieder her.
system node autosupport invoke -node * -type all -message MAINT=END
Option 2: Wiederherstellung der Konfiguration des externen Schlüsselmanagers
Stellen Sie die Konfiguration des externen Schlüsselmanagers über das ONTAP-Startmenü wieder her.
Sie benötigen die folgenden Informationen für die Wiederherstellung der EKM-Konfiguration (External Key Manager).
-
Eine Kopie der Datei /cfcard/kmip/servers.cfg von einem anderen Clusterknoten oder die folgenden Informationen:
-
Die Adresse des KMIP-Servers.
-
Der KMIP-Port.
-
-
Eine Kopie der
/cfcard/kmip/certs/client.crt
Datei von einem anderen Cluster-Node oder dem Client-Zertifikat. -
Eine Kopie der
/cfcard/kmip/certs/client.key
Datei von einem anderen Cluster-Node oder dem Client-Schlüssel. -
Eine Kopie der
/cfcard/kmip/certs/CA.pem
Datei von einem anderen Cluster-Knoten oder der KMIP-Server-CA(s).
-
Schließen Sie das Konsolenkabel an den Ziel-Controller an.
-
Wählen Sie Option 11 aus dem ONTAP-Startmenü.
Beispiel für ein Startmenü anzeigen
(1) Normal Boot. (2) Boot without /etc/rc. (3) Change password. (4) Clean configuration and initialize all disks. (5) Maintenance mode boot. (6) Update flash from backup config. (7) Install new software first. (8) Reboot node. (9) Configure Advanced Drive Partitioning. (10) Set Onboard Key Manager recovery secrets. (11) Configure node for external key management. Selection (1-11)? 11
-
Bestätigen Sie, dass Sie die erforderlichen Informationen gesammelt haben, wenn Sie dazu aufgefordert werden.
Beispiel-Eingabeaufforderung anzeigen
Do you have a copy of the /cfcard/kmip/certs/client.crt file? {y/n} Do you have a copy of the /cfcard/kmip/certs/client.key file? {y/n} Do you have a copy of the /cfcard/kmip/certs/CA.pem file? {y/n} Do you have a copy of the /cfcard/kmip/servers.cfg file? {y/n}
-
Geben Sie bei der entsprechenden Aufforderung die Client- und Serverinformationen ein.
Eingabeaufforderung anzeigen
Enter the client certificate (client.crt) file contents: Enter the client key (client.key) file contents: Enter the KMIP server CA(s) (CA.pem) file contents: Enter the server configuration (servers.cfg) file contents:
Beispiel anzeigen
Enter the client certificate (client.crt) file contents: -----BEGIN CERTIFICATE----- MIIDvjCCAqagAwIBAgICN3gwDQYJKoZIhvcNAQELBQAwgY8xCzAJBgNVBAYTAlVT MRMwEQYDVQQIEwpDYWxpZm9ybmlhMQwwCgYDVQQHEwNTVkwxDzANBgNVBAoTBk5l MSUbQusvzAFs8G3P54GG32iIRvaCFnj2gQpCxciLJ0qB2foiBGx5XVQ/Mtk+rlap Pk4ECW/wqSOUXDYtJs1+RB+w0+SHx8mzxpbz3mXF/X/1PC3YOzVNCq5eieek62si Fp8= -----END CERTIFICATE----- Enter the client key (client.key) file contents: -----BEGIN RSA PRIVATE KEY----- <key_value> -----END RSA PRIVATE KEY----- Enter the KMIP server CA(s) (CA.pem) file contents: -----BEGIN CERTIFICATE----- MIIEizCCA3OgAwIBAgIBADANBgkqhkiG9w0BAQsFADCBjzELMAkGA1UEBhMCVVMx 7yaumMQETNrpMfP+nQMd34y4AmseWYGM6qG0z37BRnYU0Wf2qDL61cQ3/jkm7Y94 EQBKG1NY8dVyjphmYZv+ -----END CERTIFICATE----- Enter the IP address for the KMIP server: 10.10.10.10 Enter the port for the KMIP server [5696]: System is ready to utilize external key manager(s). Trying to recover keys from key servers.... kmip_init: configuring ports Running command '/sbin/ifconfig e0M' .. .. kmip_init: cmd: ReleaseExtraBSDPort e0M
Nachdem Sie die Client- und Serverinformationen eingegeben haben, ist der Wiederherstellungsvorgang abgeschlossen.
Beispiel anzeigen
System is ready to utilize external key manager(s). Trying to recover keys from key servers.... [Aug 29 21:06:28]: 0x808806100: 0: DEBUG: kmip2::main: [initOpenssl]:460: Performing initialization of OpenSSL Successfully recovered keymanager secrets.
-
Wählen Sie Option 1 aus dem Startmenü, um mit dem Booten in ONTAP fortzufahren.
Beispiel-Eingabeaufforderung anzeigen
*********************************************************************************** * Select option "(1) Normal Boot." to complete the recovery process. * *********************************************************************************** (1) Normal Boot. (2) Boot without /etc/rc. (3) Change password. (4) Clean configuration and initialize all disks. (5) Maintenance mode boot. (6) Update flash from backup config. (7) Install new software first. (8) Reboot node. (9) Configure Advanced Drive Partitioning. (10) Set Onboard Key Manager recovery secrets. (11) Configure node for external key management. Selection (1-11)? 1
-
Stellen Sie das automatische Giveback wieder her, wenn Sie es deaktiviert haben, indem Sie den folgenden Befehl eingeben.
storage failover modify -node local -auto-giveback true
-
Wenn AutoSupport aktiviert ist, stellen Sie die automatische Fallerstellung durch Eingabe des folgenden Befehls wieder her.
system node autosupport invoke -node * -type all -message MAINT=END