Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Geben Sie ein FIPS-Laufwerk oder eine SED in den ungeschützten Modus zurück

Beitragende

Ein FIPS-Laufwerk oder SED ist nur dann vor unberechtigtem Zugriff geschützt, wenn die Authentifizierungsschlüssel-ID für den Knoten auf einen anderen Wert als den Standardwert gesetzt ist. Sie können ein FIPS-Laufwerk oder eine SED über den in den ungeschützten Modus versetzen storage encryption disk modify Befehl zum Festlegen der Schlüssel-ID auf Standard.

Wenn ein HA-Paar SAS- oder NVMe-Laufwerke (SED, NSE, FIPS) verwendet, müssen Sie diesen Prozess für alle Laufwerke innerhalb des HA-Paars befolgen, bevor das System initialisiert wird (Boot-Optionen 4 oder 9). Andernfalls kann es zu künftigen Datenverlusten kommen, wenn die Laufwerke einer anderen Verwendung zugewiesen werden.

Bevor Sie beginnen

Sie müssen ein Cluster-Administrator sein, um diese Aufgabe auszuführen.

Schritte
  1. Legen Sie die Berechtigungsebene auf erweitert fest:

    set -privilege advanced

  2. Wenn ein FIPS-Laufwerk im FIPS-Compliance-Modus ausgeführt wird, legen Sie die FIPS-Authentifizierungsschlüssel-ID für den Node wieder auf den Standard MSID 0x0:

    storage encryption disk modify -disk disk_id -fips-key-id 0x0

    Sie können das verwenden security key-manager query Befehl zum Anzeigen von Schlüssel-IDs.

    cluster1::> storage encryption disk modify -disk 2.10.11 -fips-key-id 0x0
    
    Info: Starting modify on 14 disks.
          View the status of the operation by using the
          storage encryption disk show-status command.

    Bestätigen Sie den Vorgang mit dem Befehl:

    storage encryption disk show-status

    Wiederholen Sie den Befehl show-Status, bis die Zahlen in „Disks gestartet“ und „Disks Fertig“ die gleichen sind.

    cluster1:: storage encryption disk show-status
    
                FIPS    Latest   Start               Execution   Disks   Disks Disks
    Node        Support Request  Timestamp           Time (sec)  Begun   Done  Successful
    -------     ------- -------- ------------------  ---------- ------ ------  ----------
    cluster1    true    modify   1/18/2022 15:29:38    3           14     5         5
    1 entry was displayed.
  3. Legen Sie die Daten-Authentifizierungsschlüssel-ID für den Knoten wieder auf die Standard-MSID 0x0:

    storage encryption disk modify -disk disk_id -data-key-id 0x0

    Der Wert von -data-key-id Sollte auf 0x0 gesetzt werden, ob Sie ein SAS- oder NVMe-Laufwerk in den ungeschützten Modus zurücksenden.

    Sie können das verwenden security key-manager query Befehl zum Anzeigen von Schlüssel-IDs.

    cluster1::> storage encryption disk modify -disk 2.10.11 -data-key-id 0x0
    
    Info: Starting modify on 14 disks.
          View the status of the operation by using the
          storage encryption disk show-status command.

    Bestätigen Sie den Vorgang mit dem Befehl:

    storage encryption disk show-status

    Wiederholen Sie den Befehl show-Status, bis die Zahlen identisch sind. Die Operation ist abgeschlossen, wenn die Zahlen in „Platten begonnen“ und „Platten fertig“ sind die gleichen.

Wartungsmodus

Ab ONTAP 9.7 können Sie eine FIPS-Festplatte aus dem Wartungsmodus neu Schlüssel aktivieren. Sie sollten den Wartungsmodus nur verwenden, wenn Sie die ONTAP-CLI-Anweisungen im vorherigen Abschnitt nicht verwenden können.

Schritte
  1. Legen Sie die FIPS-Authentifizierungsschlüssel-ID für den Knoten wieder auf die Standard-MSID 0x0:

    disk encrypt rekey_fips 0x0 disklist

  2. Legen Sie die Daten-Authentifizierungsschlüssel-ID für den Knoten wieder auf die Standard-MSID 0x0:

    disk encrypt rekey 0x0 disklist

  3. Bestätigen Sie, dass der FIPS-Authentifizierungsschlüssel erfolgreich umcodiert wurde:

    disk encrypt show_fips

  4. Bestätigung der erfolgreichen Verschlüsselung des Datenauthentifizierungsschlüssels mit:

    disk encrypt show

    In Ihrer Ausgabe wird wahrscheinlich entweder die Standard-MSID 0x0-Schlüssel-ID oder der 64-stellige Wert des Schlüsselservers angezeigt. Der Locked? Feld bezieht sich auf die Datensperrung.

Disk       FIPS Key ID                 Locked?
---------- --------------------------- -------
0a.01.0    0x0                          Yes