Unterstützung und Status von Verschlüsselungsschlüsseln prüfen – ASA A800
Überprüfen Sie vor dem Herunterfahren des beeinträchtigten Controllers, ob Ihre Version von ONTAP NetApp Volume Encryption (NVE) unterstützt und ob Ihr Verschlüsselungsmanagement-System ordnungsgemäß konfiguriert ist.
Schritt: Prüfen Sie, ob Ihre Version von ONTAP NetApp-Volume-Verschlüsselung unterstützt
Prüfen Sie, ob Ihre ONTAP Version NetApp Volume Encryption (NVE) unterstützt. Diese Informationen sind entscheidend, um das richtige ONTAP-Image herunterzuladen.
-
Stellen Sie fest, ob Ihre ONTAP-Version Verschlüsselung unterstützt, indem Sie den folgenden Befehl ausführen:
version -v
Wenn die Ausgabe enthält
1Ono-DARE
, wird NVE auf Ihrer Cluster-Version nicht unterstützt. -
Je nachdem, ob NVE auf Ihrem System unterstützt wird, führen Sie eine der folgenden Aktionen durch:
-
Falls NVE unterstützt wird, laden Sie das ONTAP Image mit NetApp Volume Encryption herunter.
-
Falls NVE nicht unterstützt wird, laden Sie das ONTAP Image ohne NetApp-Volume-Verschlüsselung herunter.
-
Schritt 2: Stellen Sie fest, ob es sicher ist, den Controller herunterzufahren
Um einen Controller sicher herunterzufahren, müssen Sie zuerst ermitteln, ob der External Key Manager (EKM) oder der Onboard Key Manager (OKM) aktiv ist. Überprüfen Sie anschließend den verwendeten Schlüsselmanager, zeigen Sie die entsprechenden Schlüsselinformationen an und ergreifen Sie Maßnahmen, die auf dem Status der Authentifizierungsschlüssel basieren.
-
Bestimmen Sie, welcher Schlüsselmanager auf Ihrem System aktiviert ist:
ONTAP-Version Führen Sie diesen Befehl aus ONTAP 9.14.1 oder höher
security key-manager keystore show
-
Wenn EKM aktiviert ist,
EKM
wird in der Befehlsausgabe aufgelistet. -
Wenn OKM aktiviert ist,
OKM
wird in der Befehlsausgabe aufgelistet. -
Wenn kein Schlüsselmanager aktiviert ist,
No key manager keystores configured
wird in der Befehlsausgabe aufgeführt.
ONTAP 9.13.1 oder früher
security key-manager show-key-store
-
Wenn EKM aktiviert ist,
external
wird in der Befehlsausgabe aufgelistet. -
Wenn OKM aktiviert ist,
onboard
wird in der Befehlsausgabe aufgelistet. -
Wenn kein Schlüsselmanager aktiviert ist,
No key managers configured
wird in der Befehlsausgabe aufgeführt.
-
-
Wählen Sie eine der folgenden Optionen, je nachdem, ob ein Key Manager auf Ihrem System konfiguriert ist.
Kein Schlüsselmanager konfiguriertSie können den außer Betrieb genommenen Controller sicher herunterfahren. Gehen Sie zu "Schalten Sie den außer Betrieb genommenen Controller aus".
Externer oder integrierter Schlüsselmanager konfiguriert-
Geben Sie den folgenden Abfragebefehl ein, um den Status der Authentifizierungsschlüssel in Ihrem Schlüsselmanager anzuzeigen.
security key-manager key query
-
Überprüfen Sie die Ausgabe für den Wert in der
Restored
Spalte für Ihren Schlüsselmanager.Diese Spalte gibt an, ob die Authentifizierungsschlüssel für Ihren Schlüsselmanager (entweder EKM oder OKM) erfolgreich wiederhergestellt wurden.
-
-
Wählen Sie je nachdem, ob Ihr System den External Key Manager oder den Onboard Key Manager verwendet, eine der folgenden Optionen aus.
Externer SchlüsselmanagerBefolgen Sie je nach dem in der Spalte angezeigten Ausgangswert
Restored
die entsprechenden Schritte.Ausgabewert in Restored
SpalteFühren Sie die folgenden Schritte aus… true
Sie können den außer Betrieb genommenen Controller sicher herunterfahren. Gehen Sie zu "Schalten Sie den außer Betrieb genommenen Controller aus".
Alles andere als
true
-
Stellen Sie die externen Authentifizierungsschlüssel für das Verschlüsselungsmanagement auf allen Nodes im Cluster mit dem folgenden Befehl wieder her:
security key-manager external restore
Wenn der Befehl fehlschlägt, wenden Sie sich an "NetApp Support".
-
Überprüfen Sie, ob in der
Restored
Spalte für alle Authentifizierungsschlüssel die angezeigt werdentrue
, indem Sie den Befehl eingebensecurity key-manager key query
.Wenn alle Authentifizierungsschlüssel vorhanden sind
true
, können Sie den beeinträchtigten Controller sicher herunterfahren. Gehen Sie zu "Schalten Sie den außer Betrieb genommenen Controller aus".
Onboard Key ManagerBefolgen Sie je nach dem in der Spalte angezeigten Ausgangswert
Restored
die entsprechenden Schritte.Ausgabewert in Restored
SpalteFühren Sie die folgenden Schritte aus… true
Sichern Sie die OKM-Informationen manuell.
-
Wechseln Sie in den erweiterten Modus, indem
set -priv advanced
Sie aufrufen und dann bei Aufforderung eingebenY
. -
Geben Sie den folgenden Befehl ein, um die Informationen zum Verschlüsselungsmanagement anzuzeigen:
security key-manager onboard show-backup
-
Kopieren Sie den Inhalt der Backup-Informationen in eine separate Datei oder eine Protokolldatei.
Sie werden es in Disaster-Szenarien benötigen, in denen Sie OKM manuell wiederherstellen müssen.
-
Sie können den außer Betrieb genommenen Controller sicher herunterfahren. Gehen Sie zu "Schalten Sie den außer Betrieb genommenen Controller aus".
Alles andere als
true
-
Geben Sie den integrierten Sicherheitsschlüssel-Manager Sync-Befehl ein:
security key-manager onboard sync
-
Geben Sie bei Aufforderung die 32-stellige alphanumerische Passphrase für das Onboard-Verschlüsselungsmanagement ein.
Wenn die Passphrase nicht angegeben werden kann, wenden Sie sich an "NetApp Support".
-
Überprüfen Sie, ob die
Restored
Spalte für alle Authentifizierungsschlüssel angezeigt wirdtrue
:security key-manager key query
-
Überprüfen Sie, ob der
Key Manager
Typ , anzeigt `onboard`und sichern Sie die OKM-Informationen manuell. -
Geben Sie den Befehl ein, um die Backup-Informationen für das Verschlüsselungsmanagement anzuzeigen:
security key-manager onboard show-backup
-
Kopieren Sie den Inhalt der Backup-Informationen in eine separate Datei oder eine Protokolldatei.
Sie werden es in Disaster-Szenarien benötigen, in denen Sie OKM manuell wiederherstellen müssen.
-
Sie können den außer Betrieb genommenen Controller sicher herunterfahren. Gehen Sie zu "Schalten Sie den außer Betrieb genommenen Controller aus".
-