Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Restaurar cifrado - AFF A300

Colaboradores

Restaure el cifrado en el soporte de arranque de reemplazo.

Se deben completar los pasos específicos de los sistemas que tengan habilitado el gestor de claves incorporado (OKM), el cifrado de almacenamiento de NetApp (NSE) o el cifrado de volúmenes de NetApp (NVE) mediante la configuración capturada al principio del procedimiento de reemplazo de medios de arranque.

En función del gestor de teclas configurado en el sistema, seleccione una de las siguientes opciones para restaurarlo desde el menú de inicio.

Opción 1: Restaure la configuración del gestor de claves incorporado

Restaure la configuración del Administrador de claves integrado (OKM) desde el menú de inicio de ONTAP.

Antes de empezar
Pasos
  1. Conecte el cable de consola a la controladora de destino.

  2. En el menú de inicio de ONTAP, seleccione la opción correspondiente en el menú de inicio.

    Versión de ONTAP Seleccione esta opción

    ONTAP 9.8 o posterior

    Seleccione la opción 10.

    Mostrar ejemplo de menú de inicio
    Please choose one of the following:
    
    (1)  Normal Boot.
    (2)  Boot without /etc/rc.
    (3)  Change password.
    (4)  Clean configuration and initialize all disks.
    (5)  Maintenance mode boot.
    (6)  Update flash from backup config.
    (7)  Install new software first.
    (8)  Reboot node.
    (9)  Configure Advanced Drive Partitioning.
    (10) Set Onboard Key Manager recovery secrets.
    (11) Configure node for external key management.
    Selection (1-11)? 10

    ONTAP 9,7 y anteriores

    Seleccione la opción oculta recover_onboard_keymanager

    Mostrar ejemplo de menú de inicio
    Please choose one of the following:
    
    (1)  Normal Boot.
    (2)  Boot without /etc/rc.
    (3)  Change password.
    (4)  Clean configuration and initialize all disks.
    (5)  Maintenance mode boot.
    (6)  Update flash from backup config.
    (7)  Install new software first.
    (8)  Reboot node.
    (9)  Configure Advanced Drive Partitioning.
    Selection (1-19)? recover_onboard_keymanager
  3. Confirme que desea continuar con el proceso de recuperación.

    Mostrar símbolo del sistema de ejemplo

    This option must be used only in disaster recovery procedures. Are you sure? (y or n):

  4. Introduzca dos veces la clave de acceso para todo el clúster.

    Al introducir la frase de acceso, la consola no mostrará ninguna entrada.

    Mostrar símbolo del sistema de ejemplo

    Enter the passphrase for onboard key management:

    Enter the passphrase again to confirm:

  5. Introduzca la información de backup.

    1. Pegue todo el contenido desde la línea de COPIA DE SEGURIDAD DE INICIO hasta la línea de COPIA DE SEGURIDAD FINAL.

      Mostrar símbolo del sistema de ejemplo
      Enter the backup data:
      
      --------------------------BEGIN BACKUP--------------------------
      0123456789012345678901234567890123456789012345678901234567890123
      1234567890123456789012345678901234567890123456789012345678901234
      2345678901234567890123456789012345678901234567890123456789012345
      3456789012345678901234567890123456789012345678901234567890123456
      4567890123456789012345678901234567890123456789012345678901234567
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      0123456789012345678901234567890123456789012345678901234567890123
      1234567890123456789012345678901234567890123456789012345678901234
      2345678901234567890123456789012345678901234567890123456789012345
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      
      ---------------------------END BACKUP---------------------------
    2. Pulse la tecla ENTER dos veces al final de la entrada.

      El proceso de recuperación finaliza.

      Mostrar símbolo del sistema de ejemplo
      Trying to recover keymanager secrets....
      Setting recovery material for the onboard key manager
      Recovery secrets set successfully
      Trying to delete any existing km_onboard.wkeydb file.
      
      Successfully recovered keymanager secrets.
      
      ***********************************************************************************
      * Select option "(1) Normal Boot." to complete recovery process.
      *
      * Run the "security key-manager onboard sync" command to synchronize the key database after the node reboots.
      ***********************************************************************************
    Advertencia No continúe si la salida mostrada es otra cosa que Successfully recovered keymanager secrets. Realice la solución de problemas para corregir el error.
  6. Seleccione la opción 1 en el menú de arranque para continuar arrancando en ONTAP.

    Mostrar símbolo del sistema de ejemplo
    ***********************************************************************************
    * Select option "(1) Normal Boot." to complete the recovery process.
    *
    ***********************************************************************************
    
    
    (1)  Normal Boot.
    (2)  Boot without /etc/rc.
    (3)  Change password.
    (4)  Clean configuration and initialize all disks.
    (5)  Maintenance mode boot.
    (6)  Update flash from backup config.
    (7)  Install new software first.
    (8)  Reboot node.
    (9)  Configure Advanced Drive Partitioning.
    (10) Set Onboard Key Manager recovery secrets.
    (11) Configure node for external key management.
    Selection (1-11)? 1
  7. Confirme que la consola de la controladora muestre el siguiente mensaje.

    Waiting for giveback…​(Press Ctrl-C to abort wait)

  8. Desde el nodo del partner, devolver la controladora del partner introduciendo el siguiente comando.

    storage failover giveback -fromnode local -only-cfo-aggregates true.

  9. Después de arrancar solo con el agregado CFO, ejecute el siguiente comando.

    security key-manager onboard sync

  10. Introduzca la clave de acceso en todo el clúster para la instancia de Onboard Key Manager.

    Mostrar símbolo del sistema de ejemplo
    Enter the cluster-wide passphrase for the Onboard Key Manager:
    
    All offline encrypted volumes will be brought online and the corresponding volume encryption keys (VEKs) will be restored automatically within 10 minutes. If any offline encrypted volumes are not brought online automatically, they can be brought online manually using the "volume online -vserver <vserver> -volume <volume_name>" command.
    Nota Si la sincronización se realiza correctamente, se devuelve el símbolo del sistema de clúster sin mensajes adicionales. Si la sincronización falla, aparecerá un mensaje de error antes de volver al símbolo del sistema del clúster. No continúe hasta que se corrija el error y la sincronización se ejecute correctamente.
  11. Asegúrese de que todas las claves estén sincronizadas introduciendo el comando siguiente.

    security key-manager key query -restored false.

    There are no entries matching your query.

    Nota No deberían aparecer resultados al filtrar por false en el parámetro restaurado.
  12. Realice la devolución del nodo del compañero introduciendo el comando siguiente.

    storage failover giveback -fromnode local

  13. Restaure la devolución automática, si la deshabilitó, introduciendo el siguiente comando.

    storage failover modify -node local -auto-giveback true

  14. Si AutoSupport está habilitado, restaure la creación automática de casos introduciendo el siguiente comando.

    system node autosupport invoke -node * -type all -message MAINT=END

Opción 2: Restaure la configuración del gestor de claves externo

Restaure la configuración del Administrador de claves externo desde el menú de inicio de ONTAP.

Antes de empezar

Necesita la siguiente información para restaurar la configuración de un gestor de claves externo (EKM).

  • Una copia del archivo /cfcard/kmip/servers.cfg de otro nodo de cluster o de la siguiente información:

    • La dirección del servidor KMIP.

    • El puerto KMIP.

  • Una copia del /cfcard/kmip/certs/client.crt archivo de otro nodo del clúster o del certificado de cliente.

  • Una copia del /cfcard/kmip/certs/client.key archivo de otro nodo de clúster o la clave de cliente.

  • Una copia /cfcard/kmip/certs/CA.pem del archivo de otro nodo del clúster o las CA del servidor KMIP.

Pasos
  1. Conecte el cable de consola a la controladora de destino.

  2. Seleccione la opción 11 en el menú de inicio de ONTAP.

    Mostrar ejemplo de menú de inicio
    (1)  Normal Boot.
    (2)  Boot without /etc/rc.
    (3)  Change password.
    (4)  Clean configuration and initialize all disks.
    (5)  Maintenance mode boot.
    (6)  Update flash from backup config.
    (7)  Install new software first.
    (8)  Reboot node.
    (9)  Configure Advanced Drive Partitioning.
    (10) Set Onboard Key Manager recovery secrets.
    (11) Configure node for external key management.
    Selection (1-11)? 11
  3. Cuando se le solicite, confirme que ha recopilado la información obligatoria.

    Mostrar símbolo del sistema de ejemplo
    Do you have a copy of the /cfcard/kmip/certs/client.crt file? {y/n}
    Do you have a copy of the /cfcard/kmip/certs/client.key file? {y/n}
    Do you have a copy of the /cfcard/kmip/certs/CA.pem file? {y/n}
    Do you have a copy of the /cfcard/kmip/servers.cfg file? {y/n}
  4. Cuando se le solicite, introduzca la información del cliente y del servidor.

    Mostrar petición de datos
    Enter the client certificate (client.crt) file contents:
    Enter the client key (client.key) file contents:
    Enter the KMIP server CA(s) (CA.pem) file contents:
    Enter the server configuration (servers.cfg) file contents:
    Muestra el ejemplo
    Enter the client certificate (client.crt) file contents:
    -----BEGIN CERTIFICATE-----
    MIIDvjCCAqagAwIBAgICN3gwDQYJKoZIhvcNAQELBQAwgY8xCzAJBgNVBAYTAlVT
    MRMwEQYDVQQIEwpDYWxpZm9ybmlhMQwwCgYDVQQHEwNTVkwxDzANBgNVBAoTBk5l
    MSUbQusvzAFs8G3P54GG32iIRvaCFnj2gQpCxciLJ0qB2foiBGx5XVQ/Mtk+rlap
    Pk4ECW/wqSOUXDYtJs1+RB+w0+SHx8mzxpbz3mXF/X/1PC3YOzVNCq5eieek62si
    Fp8=
    -----END CERTIFICATE-----
    
    Enter the client key (client.key) file contents:
    -----BEGIN RSA PRIVATE KEY-----
    <key_value>
    -----END RSA PRIVATE KEY-----
    
    Enter the KMIP server CA(s) (CA.pem) file contents:
    -----BEGIN CERTIFICATE-----
    MIIEizCCA3OgAwIBAgIBADANBgkqhkiG9w0BAQsFADCBjzELMAkGA1UEBhMCVVMx
    7yaumMQETNrpMfP+nQMd34y4AmseWYGM6qG0z37BRnYU0Wf2qDL61cQ3/jkm7Y94
    EQBKG1NY8dVyjphmYZv+
    -----END CERTIFICATE-----
    
    Enter the IP address for the KMIP server: 10.10.10.10
    Enter the port for the KMIP server [5696]:
    
    System is ready to utilize external key manager(s).
    Trying to recover keys from key servers....
    kmip_init: configuring ports
    Running command '/sbin/ifconfig e0M'
    ..
    ..
    kmip_init: cmd: ReleaseExtraBSDPort e0M

    Después de introducir la información del cliente y el servidor, el proceso de recuperación finaliza.

    Muestra el ejemplo
    System is ready to utilize external key manager(s).
    Trying to recover keys from key servers....
    [Aug 29 21:06:28]: 0x808806100: 0: DEBUG: kmip2::main: [initOpenssl]:460: Performing initialization of OpenSSL
    Successfully recovered keymanager secrets.
  5. Seleccione la opción 1 en el menú de arranque para continuar arrancando en ONTAP.

    Mostrar símbolo del sistema de ejemplo
    ***********************************************************************************
    * Select option "(1) Normal Boot." to complete the recovery process.
    *
    ***********************************************************************************
    
    
    (1)  Normal Boot.
    (2)  Boot without /etc/rc.
    (3)  Change password.
    (4)  Clean configuration and initialize all disks.
    (5)  Maintenance mode boot.
    (6)  Update flash from backup config.
    (7)  Install new software first.
    (8)  Reboot node.
    (9)  Configure Advanced Drive Partitioning.
    (10) Set Onboard Key Manager recovery secrets.
    (11) Configure node for external key management.
    Selection (1-11)? 1
  6. Restaure la devolución automática, si la deshabilitó, introduciendo el siguiente comando.

    storage failover modify -node local -auto-giveback true

  7. Si AutoSupport está habilitado, restaure la creación automática de casos introduciendo el siguiente comando.

    system node autosupport invoke -node * -type all -message MAINT=END