Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Aktivieren Sie die integrierte Schlüsselverwaltung für NVE in ONTAP 9.6 und höher

Beitragende netapp-barbe netapp-aoife netapp-aaron-holt netapp-aherbin netapp-ahibbard netapp-thomi netapp-bhouser netapp-dbagwell
PDFs

Mit dem integrierten Key Manager werden die Schlüssel gesichert, die das Cluster für den Zugriff auf verschlüsselte Daten verwendet. Sie müssen den Onboard Key Manager für jedes Cluster aktivieren, das auf ein verschlüsseltes Volume oder eine selbstverschlüsselnde Festplatte zugreift.

Über diese Aufgabe

Sie müssen den security key-manager onboard sync Befehl jedes Mal ausführen, wenn Sie dem Cluster einen Node hinzufügen.

Wenn Sie über eine MetroCluster-Konfiguration verfügen, müssen Sie security key-manager onboard enable zuerst den Befehl auf dem lokalen Cluster ausführen und dann den security key-manager onboard sync Befehl auf dem Remote-Cluster ausführen. Verwenden Sie dabei jeweils dieselbe Passphrase. Wenn Sie den security key-manager onboard enable Befehl vom lokalen Cluster aus ausführen und dann auf dem Remote-Cluster synchronisieren, müssen Sie den enable Befehl nicht erneut vom Remote-Cluster aus ausführen.

Erfahren Sie mehr über security key-manager onboard enable Und security key-manager onboard sync im"ONTAP-Befehlsreferenz" .

Standardmäßig müssen Sie beim Neustart eines Node nicht die Passphrase für das Schlüsselmanagement eingeben. Mit der cc-mode-enabled=yes Option können Sie festlegen, dass Benutzer die Passphrase nach einem Neustart eingeben müssen.

Wenn Sie für NVE festlegen, cc-mode-enabled=yes volume create volume move start werden Volumes, die Sie mit den Befehlen und erstellen, automatisch verschlüsselt. Für volume create müssen Sie nicht angeben -encrypt true. Für volume move start müssen Sie nicht angeben -encrypt-destination true.

Wenn Sie die ONTAP Datenverschlüsselung im Ruhezustand konfigurieren, müssen Sie NSE mit NVE verwenden und sicherstellen, dass der Onboard Key Manager im Common Criteria-Modus aktiviert ist, um die Anforderungen für Commercial Solutions for Classified (CSfC) zu erfüllen. Sehen"CSfC Lösungsüberblick" .

Hinweis

Wenn der Onboard Key Manager im Common Criteria-Modus aktiviert ist(cc-mode-enabled=yes, wird das Systemverhalten wie folgt geändert:

  • Das System überwacht bei der Verwendung im Common Criteria-Modus auf aufeinanderfolgende fehlgeschlagene Cluster-Passphrase.

    Wenn Sie die Cluster-Passphrase fünfmal nicht eingeben können, warten Sie 24 Stunden oder starten Sie den Knoten neu, um das Limit zurückzusetzen.

  • Updates für das System-Image nutzen das Code-Signing-Zertifikat von NetApp RSA-3072 zusammen mit dem von SHA-384 signierten Code, um die Image-Integrität anstelle des üblichen NetApp RSA-2048-Code-Signaturzertifikats und den von SHA-256 signierten Digests zu überprüfen.

    Der Upgrade-Befehl überprüft durch die Überprüfung verschiedener digitaler Signaturen, ob der Bildinhalt verändert oder beschädigt wurde. Das System fährt mit dem nächsten Schritt im Image-Aktualisierungsprozess fort, wenn die Validierung erfolgreich ist. Andernfalls schlägt die Image-Aktualisierung fehl. Erfahren Sie mehr über cluster image im"ONTAP-Befehlsreferenz" .
Hinweis Der Onboard Key Manager speichert Schlüssel im flüchtigen Speicher. Der Inhalt des flüchtigen Speichers wird gelöscht, wenn das System neu gestartet oder angehalten wird. Das System löscht den flüchtigen Speicher innerhalb von 30 Sekunden, wenn es angehalten wird.
Bevor Sie beginnen

  • Sie müssen ein Cluster-Administrator sein, um diese Aufgabe auszuführen.

  • Sie müssen die MetroCluster-Umgebung konfigurieren, bevor Sie den Onboard Key Manager konfigurieren.

Schritte

  1. Starten Sie die Konfiguration des Schlüsselmanagers:

    security key-manager onboard enable -cc-mode-enabled yes|no

    Hinweis

    Legen Sie fest cc-mode-enabled=yes, dass Benutzer nach einem Neustart die Passphrase für den Schlüsselmanager eingeben müssen. Wenn Sie für NVE festlegen, cc-mode-enabled=yes volume create volume move start werden Volumes, die Sie mit den Befehlen und erstellen, automatisch verschlüsselt. Die - cc-mode-enabled Option wird in MetroCluster-Konfigurationen nicht unterstützt. Der security key-manager onboard enable Befehl ersetzt den security key-manager setup Befehl.

  2. Geben Sie eine Passphrase zwischen 32 und 256 Zeichen oder für „cc-mode“ eine Passphrase zwischen 64 und 256 Zeichen ein.

    Hinweis

    Wenn die angegebene „cc-Mode“-Passphrase weniger als 64 Zeichen beträgt, liegt eine Verzögerung von fünf Sekunden vor, bevor die Eingabeaufforderung für das Setup des Schlüsselmanagers die Passphrase erneut anzeigt.

  3. Geben Sie die Passphrase erneut an der Eingabeaufforderung zur Bestätigung der Passphrase ein.

  4. Vergewissern Sie sich, dass die Authentifizierungsschlüssel erstellt wurden:

    security key-manager key query -key-type NSE-AK

    Hinweis

    Der security key-manager key query Befehl ersetzt den security key-manager query key Befehl.

    Erfahren Sie mehr über security key-manager key query in der "ONTAP-Befehlsreferenz".

  5. Optional können Sie Nur-Text-Volumes in verschlüsselte Volumes konvertieren.

    volume encryption conversion start

    Der Onboard Key Manager muss vor der Konvertierung der Volumes vollständig konfiguriert sein. In einer MetroCluster-Umgebung muss der Onboard Key Manager auf beiden Standorten konfiguriert sein.

Nachdem Sie fertig sind

Kopieren Sie die Passphrase zur späteren Verwendung an einen sicheren Ort außerhalb des Storage-Systems.

Nachdem Sie die Passphrase für den Onboard Key Manager konfiguriert haben, sichern Sie die Informationen manuell an einem sicheren Ort außerhalb des Speichersystems. Sehen"Manuelles Backup der integrierten Informationen für das Verschlüsselungsmanagement" .

Verwandte Informationen