Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Konfigurieren Sie externe geclusterte Schlüsselserver

09/23/2024 Beitragende

PDFs

Ab ONTAP 9.11.1 können Sie die Konnektivität mit externen Verschlüsselungsmanagement-Servern auf einer SVM konfigurieren. Mit geclusterten Key Servern können Sie primäre und sekundäre Schlüsselserver auf einer SVM zuweisen. Bei der Registrierung von Schlüsseln versucht ONTAP zuerst, auf einen primären Schlüsselserver zuzugreifen, bevor nacheinander versucht wird, auf sekundäre Server zuzugreifen, bis der Vorgang erfolgreich abgeschlossen ist. Dadurch wird die Duplizierung von Schlüsseln verhindert.

Externe Schlüsselserver können für NSE-, NVE-, NAE- und SED-Schlüssel verwendet werden. Eine SVM kann bis zu vier primäre externe KMIP-Server unterstützen. Jeder primäre Server kann bis zu drei sekundäre Schlüsselserver unterstützen.

Bevor Sie beginnen

"KMIP-Verschlüsselungsmanagement muss für die SVM aktiviert sein".
Dieser Prozess unterstützt nur wichtige Server, die KMIP verwenden. Eine Liste der unterstützten Schlüsselserver finden Sie im "NetApp Interoperabilitäts-Matrix-Tool".
Alle Nodes im Cluster müssen ONTAP 9.11.1 oder höher ausführen.
Die Reihenfolge der Argumente für die Serverliste im -secondary-key-servers Parameter entspricht der Zugriffsreihenfolge der externen KMIP-Server (Key Management).

Erstellen Sie einen Cluster-Schlüsselserver

Das Konfigurationsverfahren hängt davon ab, ob Sie einen primären Schlüsselserver konfiguriert haben oder nicht.

Hinzufügen von primären und sekundären Schlüsselservern zu einer SVM

Vergewissern Sie sich, dass für das Cluster kein Schlüsselmanagement aktiviert wurde:
security key-manager external show -vserver svm_name Wenn für die SVM bereits maximal vier primäre Schlüsselserver aktiviert sind, müssen Sie einen der vorhandenen primären Schlüsselserver entfernen, bevor Sie einen neuen hinzufügen.
Aktivieren Sie den primären Schlüsselmanager:
security key-manager external enable -vserver svm_name -key-servers server_ip -client-cert client_cert_name -server-ca-certs server_ca_cert_names
Ändern Sie den primären Schlüsselserver, um sekundäre Schlüsselserver hinzuzufügen. Der -secondary-key-servers Parameter akzeptiert eine kommagetrennte Liste von bis zu drei Schlüsselservern.
security key-manager external modify-server -vserver svm_name -key-servers primary_key_server -secondary-key-servers list_of_key_servers

Fügen Sie einem vorhandenen primären Schlüsselserver sekundäre Schlüsselserver hinzu

Ändern Sie den primären Schlüsselserver, um sekundäre Schlüsselserver hinzuzufügen. Der -secondary-key-servers Parameter akzeptiert eine kommagetrennte Liste von bis zu drei Schlüsselservern.
security key-manager external modify-server -vserver svm_name -key-servers primary_key_server -secondary-key-servers list_of_key_servers Weitere Informationen zu sekundären Schlüsselservern finden Sie unter [mod-secondary].

Cluster-Key-Server ändern

Sie können externe Schlüsselserver-Cluster ändern, indem Sie den Status (primäre oder sekundäre) bestimmter Schlüsselserver ändern, sekundäre Schlüsselserver hinzufügen und entfernen oder die Zugriffsreihenfolge von sekundären Schlüsselservern ändern.

Konvertieren Sie primäre und sekundäre Schlüsselserver

Um einen primären Schlüsselserver in einen sekundären Schlüsselserver zu konvertieren, müssen Sie ihn mit dem security key-manager external remove-servers Befehl zunächst aus der SVM entfernen.

Um einen sekundären Schlüsselserver in einen primären Schlüsselserver zu konvertieren, müssen Sie zuerst den sekundären Schlüsselserver vom vorhandenen primären Schlüsselserver entfernen. Siehe [mod-secondary]. Wenn Sie einen sekundären Schlüsselserver beim Entfernen eines vorhandenen Schlüssels in einen primären Server konvertieren, kann der Versuch, einen neuen Server hinzuzufügen, bevor Sie den Schlüssel entfernen und konvertieren, zu einer doppelten Tastenanfügung führen.

Ändern Sie sekundäre Schlüsselserver

Sekundäre Schlüsselserver werden mit dem -secondary-key-servers Parameter des security key-manager external modify-server Befehls verwaltet. Der -secondary-key-servers Parameter akzeptiert eine kommagetrennte Liste. Die angegebene Reihenfolge der sekundären Schlüsselserver in der Liste bestimmt die Zugriffssequenz für die sekundären Schlüsselserver. Die Zugriffsreihenfolge kann geändert werden, indem der Befehl security key-manager external modify-server mit den sekundären Schlüsselservern in einer anderen Reihenfolge eingegeben wird.

Um einen sekundären Schlüsselserver zu entfernen, -secondary-key-servers sollten die Argumente die Schlüsselserver enthalten, die beibehalten werden sollen, während der zu entfernende Schlüsselserver weggelassen wird. Um alle sekundären Schlüsselserver - zu entfernen, verwenden Sie das Argument, das keine anzeigt.

Weitere Informationen finden Sie auf der security key-manager external Seite im "ONTAP-Befehlsreferenz".