Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Geben Sie ein FIPS-Laufwerk oder eine SED in den ungeschützten Modus zurück

Beitragende

Ein FIPS-Laufwerk oder SED ist nur dann vor unberechtigtem Zugriff geschützt, wenn die Authentifizierungsschlüssel-ID für den Knoten auf einen anderen Wert als den Standardwert gesetzt ist. Sie können ein FIPS-Laufwerk oder eine SED in den ungeschützten Modus zurücksetzen storage encryption disk modify, indem Sie mit dem Befehl die Schlüssel-ID auf den Standardwert setzen. Ein FIPS-Laufwerk oder eine SED im ungeschützten Modus verwendet die standardmäßigen Verschlüsselungsschlüssel, während ein FIPS-Laufwerk oder eine SED im geschützten Modus die angegebenen geheimen Verschlüsselungsschlüssel verwendet. Wenn auf dem Laufwerk verschlüsselte Daten gespeichert sind und das Laufwerk in den ungeschützten Modus zurückgesetzt wird, werden die Daten weiterhin verschlüsselt und nicht offengelegt.

Hinweis Gehen Sie wie folgt vor, um sicherzustellen, dass verschlüsselte Daten nicht mehr zugänglich sind, nachdem das FIPS-Laufwerk oder die SED wieder in den ungeschützten Modus versetzt wurden. Sobald die FIPS- und Datenschlüssel-IDs zurückgesetzt wurden, können alle vorhandenen Daten nicht mehr entschlüsselt werden, sodass kein Zugriff mehr möglich ist.

Wenn ein HA-Paar SAS- oder NVMe-Laufwerke (SED, NSE, FIPS) verwendet, müssen Sie diesen Prozess für alle Laufwerke innerhalb des HA-Paars befolgen, bevor das System initialisiert wird (Boot-Optionen 4 oder 9). Andernfalls kann es zu künftigen Datenverlusten kommen, wenn die Laufwerke einer anderen Verwendung zugewiesen werden.

Bevor Sie beginnen

Sie müssen ein Cluster-Administrator sein, um diese Aufgabe auszuführen.

Schritte
  1. Legen Sie die Berechtigungsebene auf erweitert fest:

    set -privilege advanced

  2. Wenn ein FIPS-Laufwerk im FIPS-Compliance-Modus ausgeführt wird, legen Sie die FIPS-Authentifizierungsschlüssel-ID für den Node wieder auf den Standard MSID 0x0:

    storage encryption disk modify -disk disk_id -fips-key-id 0x0

    Sie können den security key-manager query Befehl verwenden, um Schlüssel-IDs anzuzeigen.

    cluster1::> storage encryption disk modify -disk 2.10.11 -fips-key-id 0x0
    
    Info: Starting modify on 14 disks.
          View the status of the operation by using the
          storage encryption disk show-status command.

    Bestätigen Sie den Vorgang mit dem Befehl:

    storage encryption disk show-status

    Wiederholen Sie den Befehl show-Status, bis die Zahlen in „Disks gestartet“ und „Disks Fertig“ die gleichen sind.

    cluster1:: storage encryption disk show-status
    
                FIPS    Latest   Start               Execution   Disks   Disks Disks
    Node        Support Request  Timestamp           Time (sec)  Begun   Done  Successful
    -------     ------- -------- ------------------  ---------- ------ ------  ----------
    cluster1    true    modify   1/18/2022 15:29:38    3           14     5         5
    1 entry was displayed.
  3. Legen Sie die Daten-Authentifizierungsschlüssel-ID für den Knoten wieder auf die Standard-MSID 0x0:

    storage encryption disk modify -disk disk_id -data-key-id 0x0

    Der Wert von -data-key-id sollte auf 0x0 gesetzt werden, unabhängig davon, ob Sie ein SAS- oder NVMe-Laufwerk in den ungeschützten Modus zurückführen.

    Sie können den security key-manager query Befehl verwenden, um Schlüssel-IDs anzuzeigen.

    cluster1::> storage encryption disk modify -disk 2.10.11 -data-key-id 0x0
    
    Info: Starting modify on 14 disks.
          View the status of the operation by using the
          storage encryption disk show-status command.

    Bestätigen Sie den Vorgang mit dem Befehl:

    storage encryption disk show-status

    Wiederholen Sie den Befehl show-Status, bis die Zahlen identisch sind. Die Operation ist abgeschlossen, wenn die Zahlen in „Platten begonnen“ und „Platten fertig“ sind die gleichen.

Wartungsmodus

Ab ONTAP 9.7 können Sie eine FIPS-Festplatte aus dem Wartungsmodus neu Schlüssel aktivieren. Sie sollten den Wartungsmodus nur verwenden, wenn Sie die ONTAP-CLI-Anweisungen im vorherigen Abschnitt nicht verwenden können.

Schritte
  1. Legen Sie die FIPS-Authentifizierungsschlüssel-ID für den Knoten wieder auf die Standard-MSID 0x0:

    disk encrypt rekey_fips 0x0 disklist

  2. Legen Sie die Daten-Authentifizierungsschlüssel-ID für den Knoten wieder auf die Standard-MSID 0x0:

    disk encrypt rekey 0x0 disklist

  3. Bestätigen Sie, dass der FIPS-Authentifizierungsschlüssel erfolgreich umcodiert wurde:

    disk encrypt show_fips

  4. Bestätigung der erfolgreichen Verschlüsselung des Datenauthentifizierungsschlüssels mit:

    disk encrypt show

    In Ihrer Ausgabe wird wahrscheinlich entweder die Standard-MSID 0x0-Schlüssel-ID oder der 64-stellige Wert des Schlüsselservers angezeigt. Das Locked? Feld bezieht sich auf die Datensperrung.

Disk       FIPS Key ID                 Locked?
---------- --------------------------- -------
0a.01.0    0x0                          Yes