Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Externes Schlüsselmanagement in ONTAP 9 5 und früher (HW-basiert) aktivieren

Beitragende
PDFs

Ein oder mehrere KMIP-Server dienen zur Sicherung der Schlüssel, die das Cluster für den Zugriff auf verschlüsselte Daten verwendet. Mit einem Node können bis zu vier KMIP-Server verbunden werden. Für Redundanz und Disaster Recovery werden mindestens zwei Server empfohlen.

Über diese Aufgabe

ONTAP konfiguriert die KMIP-Serverkonnektivität für alle Nodes im Cluster.

Bevor Sie beginnen

  • Die KMIP SSL-Client- und Serverzertifikate müssen installiert sein.

  • Sie müssen ein Cluster-Administrator sein, um diese Aufgabe auszuführen.

  • Sie müssen die MetroCluster Umgebung konfigurieren, bevor Sie einen externen Schlüsselmanager konfigurieren.

  • In einer MetroCluster-Umgebung müssen Sie dasselbe KMIP-SSL-Zertifikat auf beiden Clustern installieren.

Schritte

  1. Konfigurieren Sie die Schlüsselmanager-Konnektivität für Cluster-Nodes:

    security key-manager setup

    Die Konfiguration des Schlüsselmanagers wird gestartet.

    Hinweis In einer MetroCluster-Umgebung müssen Sie den folgenden Befehl auf beiden Clustern ausführen.

  2. Geben Sie an jeder Eingabeaufforderung die entsprechende Antwort ein.

  3. Hinzufügen eines KMIP-Servers:

    security key-manager add -address key_management_server_ipaddress

    clusterl::> security key-manager add -address 20.1.1.1
    Hinweis In einer MetroCluster-Umgebung müssen Sie den folgenden Befehl auf beiden Clustern ausführen.

  4. Fügen Sie aus Redundanzgründen einen zusätzlichen KMIP-Server hinzu:

    security key-manager add -address key_management_server_ipaddress

    clusterl::> security key-manager add -address 20.1.1.2
    Hinweis In einer MetroCluster-Umgebung müssen Sie den folgenden Befehl auf beiden Clustern ausführen.

  5. Vergewissern Sie sich, dass alle konfigurierten KMIP-Server verbunden sind:

    security key-manager show -status

    Eine vollständige Befehlssyntax finden Sie in der man-Page.

    cluster1::> security key-manager show -status

Node            Port      Registered Key Manager  Status
--------------  ----      ----------------------  ---------------
cluster1-01     5696      20.1.1.1                available
cluster1-01     5696      20.1.1.2                available
cluster1-02     5696      20.1.1.1                available
cluster1-02     5696      20.1.1.2                available

  6. Konvertieren Sie optional Klartextvolumes in verschlüsselte Volumes.

    volume encryption conversion start

    Ein externer Schlüsselmanager muss vollständig konfiguriert sein, bevor Sie die Volumes konvertieren. In einer MetroCluster-Umgebung muss auf beiden Seiten ein externer Schlüsselmanager konfiguriert werden.