Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Erstellen Sie Authentifizierungsschlüssel in ONTAP 9.6 und höher

Beitragende

Sie können das verwenden security key-manager key create Befehl zum Erstellen der Authentifizierungsschlüssel für einen Node und Speichern auf den konfigurierten KMIP-Servern.

Über diese Aufgabe

Wenn Sie in Ihrer Sicherheitseinrichtung unterschiedliche Schlüssel für die Datenauthentifizierung und die FIPS 140-2-Authentifizierung verwenden müssen, sollten Sie jeweils einen separaten Schlüssel erstellen. Ist dies nicht der Fall, können Sie denselben Authentifizierungsschlüssel für die FIPS-Compliance verwenden wie für den Datenzugriff.

ONTAP erstellt Authentifizierungsschlüssel für alle Nodes im Cluster.

  • Dieser Befehl wird nicht unterstützt, wenn Onboard Key Manager aktiviert ist. Es werden jedoch automatisch zwei Authentifizierungsschlüssel erstellt, wenn der Onboard Key Manager aktiviert ist. Die Tasten können mit dem folgenden Befehl angezeigt werden:

    security key-manager key query -key-type NSE-AK

  • Sie erhalten eine Warnung, wenn auf den konfigurierten Schlüsselverwaltungsservern bereits mehr als 128 Authentifizierungsschlüssel gespeichert werden.

  • Sie können das verwenden security key-manager key delete Befehl zum Löschen von nicht verwendeten Schlüsseln. Der security key-manager key delete Befehl schlägt fehl, wenn der angegebene Schlüssel derzeit von ONTAP verwendet wird. (Sie müssen über mehr als „admin“ verfügen, um diesen Befehl verwenden zu können.)

    Hinweis

    Bevor Sie einen Schlüssel in einer MetroCluster-Umgebung löschen, müssen Sie sicherstellen, dass der Schlüssel nicht im Partner-Cluster verwendet wird. Sie können auf dem Partner-Cluster folgende Befehle verwenden, um zu überprüfen, ob der Schlüssel nicht verwendet wird:

    • storage encryption disk show -data-key-id key-id

    • storage encryption disk show -fips-key-id key-id

Bevor Sie beginnen

Sie müssen ein Cluster-Administrator sein, um diese Aufgabe auszuführen.

Schritte
  1. Authentifizierungsschlüssel für Cluster-Nodes erstellen:

    security key-manager key create -key-tag passphrase_label -prompt-for-key true|false

    Hinweis

    Einstellung prompt-for-key=true Bewirkt, dass das System den Cluster-Administrator zur Verwendung der Passphrase bei der Authentifizierung verschlüsselter Laufwerke auffordert. Andernfalls generiert das System automatisch eine 32-Byte-Passphrase. Der security key-manager key create Mit dem Befehl wird der ersetzt security key-manager create-key Befehl. Eine vollständige Befehlssyntax finden Sie in der man-Page.

    Im folgenden Beispiel werden die Authentifizierungsschlüssel für erstellt cluster1, Automatisch eine 32-Byte-Passphrase generieren:

    cluster1::> security key-manager key create
    Key ID: 000000000000000002000000000001006268333f870860128fbe17d393e5083b0000000000000000
  2. Vergewissern Sie sich, dass die Authentifizierungsschlüssel erstellt wurden:

    security key-manager key query -node node

    Hinweis

    Der security key-manager key query Mit dem Befehl wird der ersetzt security key-manager query key Befehl. Eine vollständige Befehlssyntax finden Sie in der man-Page. Die in der Ausgabe angezeigte Schlüssel-ID ist eine Kennung, die auf den Authentifizierungsschlüssel verweist. Es handelt sich nicht um den tatsächlichen Authentifizierungsschlüssel oder den Datenverschlüsselung.

    Im folgenden Beispiel wird überprüft, ob Authentifizierungsschlüssel für erstellt wurden cluster1:

    cluster1::> security key-manager key query
           Vserver: cluster1
       Key Manager: external
              Node: node1
    
    Key Tag                               Key Type  Restored
    ------------------------------------  --------  --------
    node1                                 NSE-AK    yes
        Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000
    node1                                 NSE-AK    yes
        Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000
    
           Vserver: cluster1
       Key Manager: external
              Node: node2
    
    Key Tag                               Key Type  Restored
    ------------------------------------  --------  --------
    node2                                 NSE-AK    yes
        Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000
    node2                                 NSE-AK    yes
        Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000