Geben Sie ein FIPS-Laufwerk oder eine SED in den ungeschützten Modus zurück
Änderungen vorschlagen
PDFs
Ein FIPS-Laufwerk oder SED ist nur dann vor unberechtigtem Zugriff geschützt, wenn die Authentifizierungsschlüssel-ID für den Knoten auf einen anderen Wert als den Standardwert gesetzt ist. Sie können ein FIPS-Laufwerk oder eine SED in den ungeschützten Modus zurücksetzen storage encryption disk modify, indem Sie mit dem Befehl die Schlüssel-ID auf den Standardwert setzen.
Wenn ein HA-Paar SAS- oder NVMe-Laufwerke (SED, NSE, FIPS) verwendet, müssen Sie diesen Prozess für alle Laufwerke innerhalb des HA-Paars befolgen, bevor das System initialisiert wird (Boot-Optionen 4 oder 9). Andernfalls kann es zu künftigen Datenverlusten kommen, wenn die Laufwerke einer anderen Verwendung zugewiesen werden.
Sie müssen ein Cluster-Administrator sein, um diese Aufgabe auszuführen.
-
Legen Sie die Berechtigungsebene auf erweitert fest:
set -privilege advanced -
Wenn ein FIPS-Laufwerk im FIPS-Compliance-Modus ausgeführt wird, legen Sie die FIPS-Authentifizierungsschlüssel-ID für den Node wieder auf den Standard MSID 0x0:
storage encryption disk modify -disk disk_id -fips-key-id 0x0Sie können den
security key-manager queryBefehl verwenden, um Schlüssel-IDs anzuzeigen.cluster1::> storage encryption disk modify -disk 2.10.11 -fips-key-id 0x0 Info: Starting modify on 14 disks. View the status of the operation by using the storage encryption disk show-status command.Bestätigen Sie den Vorgang mit dem Befehl:
storage encryption disk show-statusWiederholen Sie den Befehl show-Status, bis die Zahlen in „Disks gestartet“ und „Disks Fertig“ die gleichen sind.
cluster1:: storage encryption disk show-status FIPS Latest Start Execution Disks Disks Disks Node Support Request Timestamp Time (sec) Begun Done Successful ------- ------- -------- ------------------ ---------- ------ ------ ---------- cluster1 true modify 1/18/2022 15:29:38 3 14 5 5 1 entry was displayed. -
Legen Sie die Daten-Authentifizierungsschlüssel-ID für den Knoten wieder auf die Standard-MSID 0x0:
storage encryption disk modify -disk disk_id -data-key-id 0x0Der Wert von
-data-key-idsollte auf 0x0 gesetzt werden, unabhängig davon, ob Sie ein SAS- oder NVMe-Laufwerk in den ungeschützten Modus zurückführen.Sie können den
security key-manager queryBefehl verwenden, um Schlüssel-IDs anzuzeigen.cluster1::> storage encryption disk modify -disk 2.10.11 -data-key-id 0x0 Info: Starting modify on 14 disks. View the status of the operation by using the storage encryption disk show-status command.Bestätigen Sie den Vorgang mit dem Befehl:
storage encryption disk show-statusWiederholen Sie den Befehl show-Status, bis die Zahlen identisch sind. Die Operation ist abgeschlossen, wenn die Zahlen in „Platten begonnen“ und „Platten fertig“ sind die gleichen.
Wartungsmodus
Ab ONTAP 9.7 können Sie eine FIPS-Festplatte aus dem Wartungsmodus neu Schlüssel aktivieren. Sie sollten den Wartungsmodus nur verwenden, wenn Sie die ONTAP-CLI-Anweisungen im vorherigen Abschnitt nicht verwenden können.
-
Legen Sie die FIPS-Authentifizierungsschlüssel-ID für den Knoten wieder auf die Standard-MSID 0x0:
disk encrypt rekey_fips 0x0 disklist -
Legen Sie die Daten-Authentifizierungsschlüssel-ID für den Knoten wieder auf die Standard-MSID 0x0:
disk encrypt rekey 0x0 disklist -
Bestätigen Sie, dass der FIPS-Authentifizierungsschlüssel erfolgreich umcodiert wurde:
disk encrypt show_fips -
Bestätigung der erfolgreichen Verschlüsselung des Datenauthentifizierungsschlüssels mit:
disk encrypt showIn Ihrer Ausgabe wird wahrscheinlich entweder die Standard-MSID 0x0-Schlüssel-ID oder der 64-stellige Wert des Schlüsselservers angezeigt. Das
Locked?Feld bezieht sich auf die Datensperrung.
Disk FIPS Key ID Locked? ---------- --------------------------- ------- 0a.01.0 0x0 Yes