Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Ermöglichen Sie externes Verschlüsselungsmanagement in ONTAP 9.5 und früher

Beitragende

Ein oder mehrere KMIP-Server dienen zur Sicherung der Schlüssel, die das Cluster für den Zugriff auf verschlüsselte Daten verwendet. Mit einem Node können bis zu vier KMIP-Server verbunden werden. Für Redundanz und Disaster Recovery werden mindestens zwei Server empfohlen.

Über diese Aufgabe

ONTAP konfiguriert die KMIP-Serverkonnektivität für alle Nodes im Cluster.

Bevor Sie beginnen
  • Die KMIP SSL-Client- und Serverzertifikate müssen installiert sein.

  • Sie müssen ein Cluster-Administrator sein, um diese Aufgabe auszuführen.

  • Sie müssen die MetroCluster Umgebung konfigurieren, bevor Sie einen externen Schlüsselmanager konfigurieren.

  • In einer MetroCluster-Umgebung müssen Sie dasselbe KMIP-SSL-Zertifikat auf beiden Clustern installieren.

Schritte
  1. Konfigurieren Sie die Schlüsselmanager-Konnektivität für Cluster-Nodes:

    security key-manager setup

    Die Konfiguration des Schlüsselmanagers wird gestartet.

    Hinweis In einer MetroCluster-Umgebung müssen Sie den folgenden Befehl auf beiden Clustern ausführen.
  2. Geben Sie an jeder Eingabeaufforderung die entsprechende Antwort ein.

  3. Hinzufügen eines KMIP-Servers:

    security key-manager add -address key_management_server_ipaddress

    clusterl::> security key-manager add -address 20.1.1.1
    Hinweis In einer MetroCluster-Umgebung müssen Sie den folgenden Befehl auf beiden Clustern ausführen.
  4. Fügen Sie aus Redundanzgründen einen zusätzlichen KMIP-Server hinzu:

    security key-manager add -address key_management_server_ipaddress

    clusterl::> security key-manager add -address 20.1.1.2
    Hinweis In einer MetroCluster-Umgebung müssen Sie den folgenden Befehl auf beiden Clustern ausführen.
  5. Vergewissern Sie sich, dass alle konfigurierten KMIP-Server verbunden sind:

    security key-manager show -status

    Eine vollständige Befehlssyntax finden Sie in der man-Page.

    cluster1::> security key-manager show -status
    
    Node            Port      Registered Key Manager  Status
    --------------  ----      ----------------------  ---------------
    cluster1-01     5696      20.1.1.1                available
    cluster1-01     5696      20.1.1.2                available
    cluster1-02     5696      20.1.1.1                available
    cluster1-02     5696      20.1.1.2                available
  6. Konvertieren Sie optional Klartextvolumes in verschlüsselte Volumes.

    volume encryption conversion start

    Ein externer Schlüsselmanager muss vollständig konfiguriert sein, bevor Sie die Volumes konvertieren. In einer MetroCluster-Umgebung muss auf beiden Seiten ein externer Schlüsselmanager konfiguriert werden.