Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Wiederherstellen der Verschlüsselungsschlüssel nach manueller Boot-Wiederherstellung – AFF C30 und AFF C60

Beitragende netapp-jsnyder netapp-lisa
PDFs

Stellen Sie die Verschlüsselung auf dem Ersatz-Bootmedium in Ihrem AFF C30- oder AFF C60-Speichersystem wieder her, um den Datenschutz kontinuierlich zu gewährleisten. Der Austauschprozess umfasst die Überprüfung der Schlüsselverfügbarkeit, die erneute Anwendung der Verschlüsselungseinstellungen und die Bestätigung des sicheren Zugriffs auf Ihre Daten.

Führen Sie die entsprechenden Schritte zur Wiederherstellung der Verschlüsselung auf Ihrem System durch, abhängig von Ihrem Schlüsselverwaltungstyp. Wenn Sie sich nicht sicher sind, welchen Key-Manager Ihr System verwendet, überprüfen Sie die Einstellungen, die Sie zu Beginn des Vorgangs zum Austausch des Startmediums erfasst haben.

Onboard Key Manager (OKM)

Stellen Sie die OKM-Konfiguration (Onboard Key Manager) über das ONTAP-Startmenü wieder her.

Bevor Sie beginnen

Stellen Sie sicher, dass Ihnen folgende Informationen zur Verfügung stehen:

Schritte

Zum beeinträchtigten Regler:

  1. Schließen Sie das Konsolenkabel an den defekten Controller an.

  2. Wählen Sie im ONTAP Bootmenü die entsprechende Option aus:

    ONTAP-Version Wählen Sie diese Option aus

    ONTAP 9.8 oder höher

    Wählen Sie Option 10.

    Beispiel für ein Startmenü anzeigen 
    Please choose one of the following:

(1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
(10) Set Onboard Key Manager recovery secrets.
(11) Configure node for external key management.
Selection (1-11)? 10

    ONTAP 9.7 und frühere Versionen

    Wählen Sie die ausgeblendete Option aus recover_onboard_keymanager

    Beispiel für ein Startmenü anzeigen 
    Please choose one of the following:

(1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
Selection (1-19)? recover_onboard_keymanager

  3. Bestätigen Sie auf Aufforderung, dass Sie den Wiederherstellungsprozess fortsetzen möchten:

    Beispiel-Eingabeaufforderung anzeigen

    This option must be used only in disaster recovery procedures. Are you sure? (y or n):

  4. Geben Sie die Cluster-weite Passphrase zweimal ein.

    Während der Eingabe der Passphrase wird in der Konsole keine Eingabe angezeigt.

    Beispiel-Eingabeaufforderung anzeigen

    Enter the passphrase for onboard key management:

    Enter the passphrase again to confirm:

  5. Geben Sie die Sicherungsinformationen ein:

    1. Fügen Sie den gesamten Inhalt von der Zeile BEGIN BACKUP bis zur Zeile END BACKUP einschließlich der Bindestriche ein.

      Beispiel-Eingabeaufforderung anzeigen 
      Enter the backup data:

--------------------------BEGIN BACKUP--------------------------
0123456789012345678901234567890123456789012345678901234567890123
1234567890123456789012345678901234567890123456789012345678901234
2345678901234567890123456789012345678901234567890123456789012345
3456789012345678901234567890123456789012345678901234567890123456
4567890123456789012345678901234567890123456789012345678901234567
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
0123456789012345678901234567890123456789012345678901234567890123
1234567890123456789012345678901234567890123456789012345678901234
2345678901234567890123456789012345678901234567890123456789012345
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

---------------------------END BACKUP---------------------------

    2. Drücken Sie am Ende der Eingabe zweimal die Eingabetaste.

      Der Wiederherstellungsprozess ist abgeschlossen und die folgende Meldung wird angezeigt:

      Successfully recovered keymanager secrets.

    Beispiel-Eingabeaufforderung anzeigen 
    Trying to recover keymanager secrets....
Setting recovery material for the onboard key manager
Recovery secrets set successfully
Trying to delete any existing km_onboard.wkeydb file.

Successfully recovered keymanager secrets.

***********************************************************************************
* Select option "(1) Normal Boot." to complete recovery process.
*
* Run the "security key-manager onboard sync" command to synchronize the key database after the node reboots.
***********************************************************************************

    +

    Warnung Fahren Sie nicht fort, wenn die angezeigte Ausgabe etwas anderes ist als Successfully recovered keymanager secrets Die Führen Sie eine Fehlerbehebung durch, um den Fehler zu beheben.

  6. Option auswählen 1 vom Bootmenü zum Fortfahren des Bootvorgangs in ONTAP.

    Beispiel-Eingabeaufforderung anzeigen 
    ***********************************************************************************
* Select option "(1) Normal Boot." to complete the recovery process.
*
***********************************************************************************


(1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
(10) Set Onboard Key Manager recovery secrets.
(11) Configure node for external key management.
Selection (1-11)? 1

  7. Vergewissern Sie sich, dass auf der Konsole des Controllers die folgende Meldung angezeigt wird:

    Waiting for giveback…​(Press Ctrl-C to abort wait)

    Auf dem Partner-Controller:

  8. Geben Sie den beeinträchtigten Controller zurück:

    storage failover giveback -fromnode local -only-cfo-aggregates true

    Zum beeinträchtigten Regler:

  9. Nach dem Booten nur mit dem CFO-Aggregat synchronisieren Sie den Schlüsselmanager:

    security key-manager onboard sync

  10. Geben Sie bei Aufforderung die clusterweite Passphrase für den Onboard Key Manager ein.

    Beispiel-Eingabeaufforderung anzeigen 
    Enter the cluster-wide passphrase for the Onboard Key Manager:

All offline encrypted volumes will be brought online and the corresponding volume encryption keys (VEKs) will be restored automatically within 10 minutes. If any offline encrypted volumes are not brought online automatically, they can be brought online manually using the "volume online -vserver <vserver> -volume <volume_name>" command.
    Hinweis Wenn die Synchronisierung erfolgreich ist, wird die Cluster-Eingabeaufforderung ohne weitere Meldungen zurückgegeben. Wenn die Synchronisierung fehlschlägt, wird eine Fehlermeldung angezeigt, bevor zur Cluster-Eingabeaufforderung zurückgekehrt wird. Fahren Sie erst fort, wenn der Fehler behoben ist und die Synchronisierung erfolgreich abgeschlossen wurde.

  11. Überprüfen Sie, ob alle Schlüssel synchronisiert sind:

    security key-manager key query -restored false

    Der Befehl sollte keine Ergebnisse liefern. Falls Ergebnisse angezeigt werden, wiederholen Sie den Synchronisierungsbefehl, bis keine Ergebnisse mehr zurückgegeben werden.

    Auf dem Partner-Controller:

  12. Geben Sie den beeinträchtigten Controller zurück:

    storage failover giveback -fromnode local

  13. Automatisches Giveback wiederherstellen, wenn Sie es deaktiviert haben:

    storage failover modify -node local -auto-giveback true

  14. Wenn AutoSupport aktiviert ist, stellen Sie die automatische Fallerstellung wieder her:

    system node autosupport invoke -node * -type all -message MAINT=END

Externer Schlüsselmanager (EKM)

Stellen Sie die Konfiguration des externen Schlüsselmanagers über das ONTAP-Startmenü wieder her.

Bevor Sie beginnen

Sammeln Sie die folgenden Dateien von einem anderen Clusterknoten oder aus Ihrer Sicherung:

  • `/cfcard/kmip/servers.cfg`Datei oder die KMIP-Serveradresse und Port

  • `/cfcard/kmip/certs/client.crt`Datei (Clientzertifikat)

  • `/cfcard/kmip/certs/client.key`Datei (Client-Schlüssel)

  • `/cfcard/kmip/certs/CA.pem`Datei (KMIP-Server-CA-Zertifikate)

Schritte

Zum beeinträchtigten Regler:

  1. Schließen Sie das Konsolenkabel an den defekten Controller an.

  2. Option auswählen 11 aus dem ONTAP Bootmenü.

    Beispiel für ein Startmenü anzeigen 
    (1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
(10) Set Onboard Key Manager recovery secrets.
(11) Configure node for external key management.
Selection (1-11)? 11

  3. Bestätigen Sie auf Aufforderung, dass Sie die erforderlichen Informationen gesammelt haben:

    Beispiel-Eingabeaufforderung anzeigen 
    Do you have a copy of the /cfcard/kmip/certs/client.crt file? {y/n}
Do you have a copy of the /cfcard/kmip/certs/client.key file? {y/n}
Do you have a copy of the /cfcard/kmip/certs/CA.pem file? {y/n}
Do you have a copy of the /cfcard/kmip/servers.cfg file? {y/n}

  4. Geben Sie die Client- und Serverinformationen ein, wenn Sie dazu aufgefordert werden:

    1. Geben Sie den Inhalt der Clientzertifikatsdatei (client.crt) einschließlich der BEGIN- und END-Zeilen ein.

    2. Geben Sie den Inhalt der Client-Schlüsseldatei (client.key) einschließlich der BEGIN- und END-Zeilen ein.

    3. Geben Sie den Inhalt der KMIP-Server-CA(s)-Datei (CA.pem) ein, einschließlich der BEGIN- und END-Zeilen.

    4. Geben Sie die IP-Adresse des KMIP-Servers ein.

    5. Geben Sie den KMIP-Server-Port ein (drücken Sie Enter, um den Standardport 5696 zu verwenden).

      Beispiel anzeigen 
      Enter the client certificate (client.crt) file contents:
-----BEGIN CERTIFICATE-----
<certificate_value>
-----END CERTIFICATE-----

Enter the client key (client.key) file contents:
-----BEGIN RSA PRIVATE KEY-----
<key_value>
-----END RSA PRIVATE KEY-----

Enter the KMIP server CA(s) (CA.pem) file contents:
-----BEGIN CERTIFICATE-----
<certificate_value>
-----END CERTIFICATE-----

Enter the IP address for the KMIP server: 10.10.10.10
Enter the port for the KMIP server [5696]:

System is ready to utilize external key manager(s).
Trying to recover keys from key servers....
kmip_init: configuring ports
Running command '/sbin/ifconfig e0M'
..
..
kmip_init: cmd: ReleaseExtraBSDPort e0M

      Der Wiederherstellungsprozess ist abgeschlossen und die folgende Meldung wird angezeigt:

      Successfully recovered keymanager secrets.

    Beispiel anzeigen 
    System is ready to utilize external key manager(s).
Trying to recover keys from key servers....
Performing initialization of OpenSSL
Successfully recovered keymanager secrets.

  5. Option auswählen 1 vom Bootmenü zum Fortfahren des Bootvorgangs in ONTAP.

    Beispiel-Eingabeaufforderung anzeigen 
    ***************************************************************************
* Select option "(1) Normal Boot." to complete the recovery process.
*
***************************************************************************

(1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
(10) Set Onboard Key Manager recovery secrets.
(11) Configure node for external key management.
Selection (1-11)? 1

  6. Automatisches Giveback wiederherstellen, wenn Sie es deaktiviert haben:

    storage failover modify -node local -auto-giveback true

  7. Wenn AutoSupport aktiviert ist, stellen Sie die automatische Fallerstellung wieder her:

    system node autosupport invoke -node * -type all -message MAINT=END

Was kommt als Nächstes?

Nach dem Wiederherstellen der Verschlüsselung auf dem Boot-Medium müssen Sie "Geben Sie das fehlerhafte Teil an NetApp zurück".