Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Ermöglichen Sie integriertes Verschlüsselungsmanagement in ONTAP 9.6 und höher

Beitragende netapp-aaron-holt netapp-barbe netapp-ahibbard netapp-dbagwell netapp-aoife netapp-thomi netapp-aherbin
PDFs

Mit dem Onboard Key Manager können Clusterknoten auf einem FIPS-Laufwerk oder SED authentifiziert werden. Der integrierte Onboard Key Manager ist ein Tool, das Authentifizierungsschlüssel für Nodes aus demselben Storage-System wie Ihre Daten bereitstellt. Der Onboard Key Manager ist nach FIPS-140-2 Level 1 zertifiziert.

Mit dem integrierten Key Manager werden die Schlüssel gesichert, die das Cluster für den Zugriff auf verschlüsselte Daten verwendet. Sie müssen Onboard Key Manager für jedes Cluster aktivieren, das auf ein verschlüsseltes Volume oder eine selbstverschlüsselnde Festplatte zugreift.

Über diese Aufgabe

Sie müssen den security key-manager onboard enable Befehl jedes Mal ausführen, wenn Sie dem Cluster einen Node hinzufügen. In MetroCluster-Konfigurationen müssen Sie security key-manager onboard enable zuerst auf dem lokalen Cluster ausführen und dann security key-manager onboard sync auf dem Remote-Cluster unter Verwendung derselben Passphrase auf beiden ausführen.

Erfahren Sie mehr über security key-manager onboard enable Und security key-manager onboard sync im"ONTAP-Befehlsreferenz" .

Standardmäßig müssen Sie beim Neustart eines Node nicht die Passphrase für das Schlüsselmanagement eingeben. Mit Ausnahme von MetroCluster können Sie die cc-mode-enabled=yes Option verwenden, um zu verlangen, dass Benutzer die Passphrase nach einem Neustart eingeben.

Hinweis

Wenn der Onboard Key Manager im Common Criteria-Modus aktiviert ist(cc-mode-enabled=yes, wird das Systemverhalten wie folgt geändert:

  • Das System überwacht bei der Verwendung im Common Criteria-Modus auf aufeinanderfolgende fehlgeschlagene Cluster-Passphrase.

    Wenn NetApp Storage Encryption (NSE) aktiviert ist und Sie beim Booten nicht die richtige Cluster-Passphrase eingeben, kann sich das System nicht auf seinen Laufwerken authentifizieren und automatisch neu starten. Um dies zu korrigieren, müssen Sie an der Boot-Eingabeaufforderung die richtige Cluster-Passphrase eingeben. Sobald das System gebootet wurde, können bis zu 5 aufeinanderfolgende Versuche unternommen werden, um für jeden Befehl, für den die Cluster-Passphrase als Parameter erforderlich ist, in einem Zeitraum von 24 Stunden korrekt einzugeben. Wenn das Limit erreicht wird (beispielsweise konnten Sie den Cluster-Passphrase 5 Mal hintereinander nicht korrekt eingeben), müssen Sie entweder warten, bis der 24-Stunden-Timeout abgelaufen ist, oder Sie müssen den Node neu booten, um das Limit zurückzusetzen.

  • Updates für das System-Image nutzen das Code-Signing-Zertifikat von NetApp RSA-3072 zusammen mit dem von SHA-384 signierten Code, um die Image-Integrität anstelle des üblichen NetApp RSA-2048-Code-Signaturzertifikats und den von SHA-256 signierten Digests zu überprüfen.

    Der Upgrade-Befehl überprüft durch die Überprüfung verschiedener digitaler Signaturen, ob der Bildinhalt verändert oder beschädigt wurde. Wenn die Validierung funktioniert, geht die Bildaktualisierung zum nächsten Schritt über. Wenn die Validierung nicht funktioniert, schlägt die Bildaktualisierung fehl. Erfahren Sie mehr über cluster image im"ONTAP-Befehlsreferenz" .
Hinweis Der Onboard Key Manager speichert Schlüssel im volatilen Speicher. Der Inhalt von flüchtigem Speicher wird gelöscht, wenn das System neu gestartet oder angehalten wird. Unter normalen Betriebsbedingungen wird der Inhalt von flüchtigem Speicher innerhalb von 30 s gelöscht, wenn ein System angehalten wird.
Bevor Sie beginnen
Schritte

  1. Starten Sie den Key Manager Setup-Befehl:

    security key-manager onboard enable -cc-mode-enabled yes|no

    Hinweis Legen Sie fest cc-mode-enabled=yes, dass Benutzer nach einem Neustart die Passphrase für den Schlüsselmanager eingeben müssen. Die - cc-mode-enabled Option wird in MetroCluster-Konfigurationen nicht unterstützt. Der security key-manager onboard enable Befehl ersetzt den security key-manager setup Befehl.

    Das folgende Beispiel startet den Befehl zum Einrichten des Schlüsselmanagers in cluster1, ohne dass nach jedem Neustart die Passphrase eingegeben werden muss:

  2. Geben Sie eine Passphrase zwischen 32 und 256 Zeichen oder für „cc-mode“ eine Passphrase zwischen 64 und 256 Zeichen ein.

    Hinweis Wenn die angegebene „cc-Mode“-Passphrase weniger als 64 Zeichen beträgt, liegt eine Verzögerung von fünf Sekunden vor, bevor die Eingabeaufforderung für das Setup des Schlüsselmanagers die Passphrase erneut anzeigt.

  3. Geben Sie die Passphrase erneut an der Eingabeaufforderung zur Bestätigung der Passphrase ein.

  4. Überprüfen Sie, ob das System die Authentifizierungsschlüssel erstellt:

    security key-manager key query -node node

    Hinweis Der security key-manager key query Befehl ersetzt den security key-manager query key Befehl.

    Erfahren Sie mehr über security key-manager key query in der "ONTAP-Befehlsreferenz".

Nachdem Sie fertig sind

Kopieren Sie die Passphrase zur späteren Verwendung an einen sicheren Ort außerhalb des Storage-Systems.

Das System sichert wichtige Verwaltungsinformationen automatisch in der replizierten Datenbank (RDB) für den Cluster. Sie sollten diese Informationen für die Notfallwiederherstellung auch manuell sichern.

Verwandte Informationen