Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Aktivieren Sie die externe Schlüsselverwaltung für NVE in ONTAP 9.6 und höher

Beitragende netapp-aoife netapp-barbe netapp-aaron-holt netapp-ahibbard netapp-bhouser netapp-folivia netapp-thomi netapp-aherbin
PDFs

Verwenden Sie KMIP-Server, um die Schlüssel zu sichern, die der Cluster für den Zugriff auf verschlüsselte Daten verwendet. Ab ONTAP 9.6 haben Sie die Möglichkeit, einen separaten externen Schlüsselmanager zu konfigurieren, um die Schlüssel zu sichern, die ein Daten-SVM für den Zugriff auf verschlüsselte Daten verwendet.

Ab ONTAP 9.11.1 können Sie bis zu 3 sekundäre Schlüsselserver pro primären Schlüsselserver hinzufügen, um einen geclusterten Schlüsselserver zu erstellen. Weitere Informationen finden Sie unter Konfigurieren Sie externe geclusterte Schlüsselserver.

Über diese Aufgabe

Sie können bis zu vier KMIP-Server mit einem Cluster oder SVM verbinden. Verwenden Sie mindestens zwei Server für Redundanz und Notfallwiederherstellung.

Der Umfang des externen Verschlüsselungsmanagement bestimmt, ob wichtige Managementserver alle SVMs im Cluster oder nur ausgewählte SVMs sichern:

  • Sie können ein_Cluster Scope_ verwenden, um das externe Verschlüsselungsmanagement für alle SVMs im Cluster zu konfigurieren. Der Clusteradministrator hat Zugriff auf jeden auf den Servern gespeicherten Schlüssel.

  • Ab ONTAP 9.6 können Sie mithilfe eines Umfangs SVM externes Verschlüsselungsmanagement für eine Daten-SVM im Cluster konfigurieren. Dies eignet sich am besten für mandantenfähige Umgebungen, in denen jeder Mandant eine andere SVM (oder einen Satz SVMs) zur Bereitstellung von Daten verwendet. Nur der SVM-Administrator für einen bestimmten Mandanten hat Zugriff auf die Schlüssel für den jeweiligen Mandanten.

  • Installieren Sie für mandantenfähige Umgebungen eine Lizenz für MT_EK_MGMT, indem Sie den folgenden Befehl verwenden:

    system license add -license-code <MT_EK_MGMT license code>

    Erfahren Sie mehr über system license add in der "ONTAP-Befehlsreferenz".

Sie können beide Bereiche im selben Cluster verwenden. Wenn Verschlüsselungsmanagement-Server für eine SVM konfiguriert wurden, verwendet ONTAP nur diese Server zur Sicherung der Schlüssel. Andernfalls sichert ONTAP Schlüssel mit den für den Cluster konfigurierten Verschlüsselungsmanagement-Servern.

Die integrierte Verschlüsselungsmanagement lässt sich für den Cluster-Umfang und das externe Verschlüsselungsmanagement auf der SVM-Ebene konfigurieren. Mit dem security key-manager key migrate Befehl können Sie Schlüssel vom integrierten Verschlüsselungsmanagement im Cluster-Umfang zu externen Schlüsselmanagern im SVM-Umfang migrieren.

Erfahren Sie mehr über security key-manager key migrate in der "ONTAP-Befehlsreferenz".

Bevor Sie beginnen

  • Die KMIP SSL-Client- und Serverzertifikate müssen installiert sein.

  • Sie müssen ein Cluster- oder SVM-Administrator sein, um diese Aufgabe durchzuführen.

  • In einer MetroCluster -Umgebung:

    • MetroCluster muss vollständig konfiguriert sein, bevor die externe Schlüsselverwaltung aktiviert wird.

    • Sie müssen auf beiden Clustern dasselbe KMIP-SSL-Zertifikat installieren.

    • Auf beiden Clustern muss ein externer Schlüsselmanager konfiguriert werden.

Schritte

  1. Konfigurieren Sie die Schlüsselmanager-Konnektivität für das Cluster:

    security key-manager external enable -vserver admin_SVM -key-servers host_name|IP_address:port,…​ -client-cert client_certificate -server-ca-cert server_CA_certificates

    Hinweis Der security key-manager external enable Befehl ersetzt den security key-manager setup Befehl. Wenn Sie den Befehl an der Cluster-Anmeldeaufforderung ausführen, admin_SVM standardmäßig auf die Admin-SVM des aktuellen Clusters. Sie können die security key-manager external modify Befehl zum Ändern der Konfiguration der externen Schlüsselverwaltung.

    Mit dem folgenden Befehl wird die externe Schlüsselverwaltung für cluster1 mit drei externen Schlüsselservern aktiviert. Der erste Schlüsselserver wird mit seinem Hostnamen und Port angegeben, der zweite mit einer IP-Adresse und dem Standardport und der dritte mit einer IPv6-Adresse und einem IPv6-Port:

    clusterl::> security key-manager external enable -vserver cluster1 -key-servers ks1.local:15696,10.0.0.10,[fd20:8b1e:b255:814e:32bd:f35c:832c:5a09]:1234 -client-cert AdminVserverClientCert -server-ca-certs AdminVserverServerCaCert

  2. Konfiguration eines Schlüsselmanagers einer SVM:

    security key-manager external enable -vserver SVM -key-servers host_name|IP_address:port,…​ -client-cert client_certificate -server-ca-cert server_CA_certificates

    Hinweis

    • Wenn Sie den Befehl an der SVM-Anmeldeaufforderung ausführen, SVM standardmäßig auf die aktuelle SVM eingestellt. Sie können die security key-manager external modify Befehl zum Ändern der Konfiguration der externen Schlüsselverwaltung.

    • Wenn Sie in einer MetroCluster-Umgebung externes Verschlüsselungsmanagement für eine Daten-SVM konfigurieren, müssen Sie den security key-manager external enable Befehl auf dem Partner-Cluster nicht wiederholen.

    Mit dem folgenden Befehl wird die externe Schlüsselverwaltung für svm1 mit einem einzelnen Schlüsselserver aktiviert, der auf dem Standardport 5696 lauscht:

    svm1l::> security key-manager external enable -vserver svm1 -key-servers keyserver.svm1.com -client-cert SVM1ClientCert -server-ca-certs SVM1ServerCaCert

  3. Wiederholen Sie den letzten Schritt für alle weiteren SVMs.

    Hinweis

    Sie können auch security key-manager external add-servers weitere SVMs mit dem Befehl konfigurieren. Der security key-manager external add-servers Befehl ersetzt den security key-manager add Befehl. Erfahren Sie mehr über security key-manager external add-servers in der "ONTAP-Befehlsreferenz".

  4. Vergewissern Sie sich, dass alle konfigurierten KMIP-Server verbunden sind:

    security key-manager external show-status -node node_name

    Hinweis

    Der security key-manager external show-status Befehl ersetzt den security key-manager show -status Befehl. Erfahren Sie mehr über security key-manager external show-status in der "ONTAP-Befehlsreferenz".

    		 
    cluster1::> security key-manager external show-status

Node  Vserver  Key Server                                     Status
----  -------  ---------------------------------------        -------------
node1
      svm1
               keyserver.svm1.com:5696                        available
      cluster1
               10.0.0.10:5696                                 available
               fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
               ks1.local:15696                                available
node2
      svm1
               keyserver.svm1.com:5696                        available
      cluster1
               10.0.0.10:5696                                 available
               fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
               ks1.local:15696                                available

8 entries were displayed.

  5. Konvertieren Sie optional Klartextvolumes in verschlüsselte Volumes.

    volume encryption conversion start

    Ein externer Schlüsselmanager muss vollständig konfiguriert sein, bevor Sie die Volumes konvertieren.

Verwandte Informationen