Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Integriertes Verschlüsselungsmanagement in ONTAP 9.5 und früher (NVE)

Beitragende

Mit dem integrierten Key Manager werden die Schlüssel gesichert, die das Cluster für den Zugriff auf verschlüsselte Daten verwendet. Sie müssen Onboard Key Manager für jedes Cluster aktivieren, das auf ein verschlüsseltes Volume oder eine selbstverschlüsselnde Festplatte zugreift.

Über diese Aufgabe

Sie müssen den security key-manager setup Befehl jedes Mal ausführen, wenn Sie dem Cluster einen Node hinzufügen.

Wenn Sie über eine MetroCluster-Konfiguration verfügen, überprüfen Sie diese Richtlinien:

  • In ONTAP 9.5 müssen Sie security key-manager setup auf dem lokalen Cluster und security key-manager setup -sync-metrocluster-config yes auf dem Remote-Cluster unter Verwendung derselben Passphrase ausgeführt werden.

  • Vor ONTAP 9.5 müssen Sie security key-manager setup auf dem lokalen Cluster ausführen, etwa 20 Sekunden warten und dann security key-manager setup auf dem Remote-Cluster unter Verwendung derselben Passphrase auf jedem Cluster ausführen.

Standardmäßig müssen Sie beim Neustart eines Node nicht die Passphrase für das Schlüsselmanagement eingeben. Ab ONTAP 9.4 können Sie mit der -enable-cc-mode yes Option festlegen, dass Benutzer die Passphrase nach einem Neustart eingeben müssen.

Wenn Sie für NVE festlegen, -enable-cc-mode yes volume create volume move start werden Volumes, die Sie mit den Befehlen und erstellen, automatisch verschlüsselt. Für volume create müssen Sie nicht angeben -encrypt true. Für volume move start müssen Sie nicht angeben -encrypt-destination true.

Hinweis Nach einem fehlgeschlagenen Passphrase-Versuch müssen Sie den Node erneut neu booten.
Bevor Sie beginnen
Schritte
  1. Starten Sie die Konfiguration des Schlüsselmanagers:

    security key-manager setup -enable-cc-mode yes|no

    Hinweis

    Ab ONTAP 9.4 können Sie mit der -enable-cc-mode yes Option festlegen, dass Benutzer nach einem Neustart die Passphrase für den Schlüsselmanager eingeben müssen. Wenn Sie für NVE festlegen, -enable-cc-mode yes volume create volume move start werden Volumes, die Sie mit den Befehlen und erstellen, automatisch verschlüsselt.

    Das folgende Beispiel beginnt mit dem Einrichten des Schlüsselmanagers auf Clustered 1, ohne dass die Passphrase nach jedem Neustart eingegeben werden muss:

    cluster1::> security key-manager setup
    Welcome to the key manager setup wizard, which will lead you through
    the steps to add boot information.
    
    ...
    
    Would you like to use onboard key-management? {yes, no} [yes]:
    Enter the cluster-wide passphrase:    <32..256 ASCII characters long text>
    Reenter the cluster-wide passphrase:    <32..256 ASCII characters long text>
  2. Geben Sie yes an der Eingabeaufforderung ein, um die integrierte Schlüsselverwaltung zu konfigurieren.

  3. Geben Sie an der Eingabeaufforderung für die Passphrase eine Passphrase zwischen 32 und 256 Zeichen oder für „cc-Mode“ eine Passphrase zwischen 64 und 256 Zeichen ein.

    Hinweis

    Wenn die angegebene „cc-Mode“-Passphrase weniger als 64 Zeichen beträgt, liegt eine Verzögerung von fünf Sekunden vor, bevor die Eingabeaufforderung für das Setup des Schlüsselmanagers die Passphrase erneut anzeigt.

  4. Geben Sie die Passphrase erneut an der Eingabeaufforderung zur Bestätigung der Passphrase ein.

  5. Vergewissern Sie sich, dass die Schlüssel für alle Nodes konfiguriert sind:

    security key-manager key show

    Die vollständige Befehlssyntax finden Sie in der man-Page.

    cluster1::> security key-manager key show
    
    Node: node1
    Key Store: onboard
    Key ID                                                           Used By
    ---------------------------------------------------------------- --------
    0000000000000000020000000000010059851742AF2703FC91369B7DB47C4722 NSE-AK
    000000000000000002000000000001008C07CC0AF1EF49E0105300EFC83004BF NSE-AK
    
    Node: node2
    Key Store: onboard
    Key ID                                                           Used By
    ---------------------------------------------------------------- --------
    0000000000000000020000000000010059851742AF2703FC91369B7DB47C4722 NSE-AK
    000000000000000002000000000001008C07CC0AF1EF49E0105300EFC83004BF NSE-AK
  6. Konvertieren Sie optional Klartextvolumes in verschlüsselte Volumes.

    volume encryption conversion start

    Der Onboard Key Manager muss vor der Konvertierung der Volumes vollständig konfiguriert sein. In einer MetroCluster-Umgebung muss der Onboard Key Manager auf beiden Standorten konfiguriert sein.

Nachdem Sie fertig sind

Kopieren Sie die Passphrase zur späteren Verwendung an einen sicheren Ort außerhalb des Storage-Systems.

Wenn Sie die Onboard Key Manager-Passphrase konfigurieren, sollten Sie die Informationen auch manuell an einem sicheren Ort außerhalb des Speichersystems sichern, um sie bei einem Notfall zu verwenden. Siehe "Manuelles Backup der integrierten Informationen für das Verschlüsselungsmanagement".