Erstellen Sie Authentifizierungsschlüssel in ONTAP 9.6 und höher
Änderungen vorschlagen
PDFs
Mit dem security key-manager key create Befehl können Sie die Authentifizierungsschlüssel für einen Node erstellen und auf den konfigurierten KMIP-Servern speichern.
Wenn Sie in Ihrer Sicherheitseinrichtung unterschiedliche Schlüssel für die Datenauthentifizierung und die FIPS 140-2-Authentifizierung verwenden müssen, sollten Sie jeweils einen separaten Schlüssel erstellen. Ist dies nicht der Fall, können Sie denselben Authentifizierungsschlüssel für die FIPS-Compliance verwenden wie für den Datenzugriff.
ONTAP erstellt Authentifizierungsschlüssel für alle Nodes im Cluster.
-
Dieser Befehl wird nicht unterstützt, wenn Onboard Key Manager aktiviert ist. Es werden jedoch automatisch zwei Authentifizierungsschlüssel erstellt, wenn der Onboard Key Manager aktiviert ist. Die Tasten können mit dem folgenden Befehl angezeigt werden:
security key-manager key query -key-type NSE-AK -
Sie erhalten eine Warnung, wenn auf den konfigurierten Schlüsselverwaltungsservern bereits mehr als 128 Authentifizierungsschlüssel gespeichert werden.
-
Sie können den
security key-manager key deleteBefehl verwenden, um alle nicht verwendeten Schlüssel zu löschen. Dersecurity key-manager key deleteBefehl schlägt fehl, wenn der angegebene Schlüssel derzeit von ONTAP verwendet wird. (Sie müssen über mehr als „admin“ verfügen, um diesen Befehl verwenden zu können.)
Bevor Sie einen Schlüssel in einer MetroCluster-Umgebung löschen, müssen Sie sicherstellen, dass der Schlüssel nicht im Partner-Cluster verwendet wird. Sie können auf dem Partner-Cluster folgende Befehle verwenden, um zu überprüfen, ob der Schlüssel nicht verwendet wird:
-
storage encryption disk show -data-key-id key-id -
storage encryption disk show -fips-key-id key-id
-
Sie müssen ein Cluster-Administrator sein, um diese Aufgabe auszuführen.
-
Authentifizierungsschlüssel für Cluster-Nodes erstellen:
security key-manager key create -key-tag passphrase_label -prompt-for-key true|false
`prompt-for-key=true`Durch die Einstellung fordert das System den Clusteradministrator auf, die Passphrase bei der Authentifizierung verschlüsselter Laufwerke zu verwenden. Andernfalls generiert das System automatisch eine 32-Byte-Passphrase. Der `security key-manager key create` Befehl ersetzt den `security key-manager create-key` Befehl. Eine vollständige Befehlssyntax finden Sie in der man-Page.
Im folgenden Beispiel werden die Authentifizierungsschlüssel für erstellt
cluster1, die automatisch eine 32-Byte-Passphrase erzeugen:cluster1::> security key-manager key create Key ID: 000000000000000002000000000001006268333f870860128fbe17d393e5083b0000000000000000
-
Vergewissern Sie sich, dass die Authentifizierungsschlüssel erstellt wurden:
security key-manager key query -node node
Der
security key-manager key queryBefehl ersetzt densecurity key-manager query keyBefehl. Eine vollständige Befehlssyntax finden Sie in der man-Page. Die in der Ausgabe angezeigte Schlüssel-ID ist eine Kennung, die auf den Authentifizierungsschlüssel verweist. Es handelt sich nicht um den tatsächlichen Authentifizierungsschlüssel oder den Datenverschlüsselung.Im folgenden Beispiel wird überprüft, ob Authentifizierungsschlüssel für erstellt
cluster1wurden:cluster1::> security key-manager key query Vserver: cluster1 Key Manager: external Node: node1 Key Tag Key Type Restored ------------------------------------ -------- -------- node1 NSE-AK yes Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000 node1 NSE-AK yes Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000 Vserver: cluster1 Key Manager: external Node: node2 Key Tag Key Type Restored ------------------------------------ -------- -------- node2 NSE-AK yes Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000 node2 NSE-AK yes Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000