Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Restauración de cifrado - AFF A70, AFF A90

Colaboradores
PDF

Debe completar los pasos específicos de los sistemas que tengan habilitado el gestor de claves incorporado (OKM), el cifrado de almacenamiento de NetApp (NSE) o el cifrado de volúmenes de NetApp (NVE) mediante la configuración capturada al principio de este procedimiento.

Nota Si se habilitan NSE o NVE junto con el gestor de claves incorporado o externo, debe restaurar la configuración capturada al principio de este procedimiento.
Pasos

  1. Conecte el cable de consola a la controladora de destino.

Opción 1: Sistemas con configuración del servidor de gestión de claves incorporada

Restaure la configuración del gestor de claves incorporado desde el menú de arranque de ONATP.

Antes de empezar

Necesita la siguiente información al restaurar la configuración de OKM:

Pasos

  1. En el menú de arranque de ONTAP, seleccione la opción 10:

    Please choose one of the following:

(1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
(10) Set Onboard Key Manager recovery secrets.
(11) Configure node for external key management.
Selection (1-11)? _10_

  2. Confirme la continuación del proceso. This option must be used only in disaster recovery procedures. Are you sure? (y or n): y

  3. Introduzca dos veces la clave de acceso para todo el clúster.

    Nota Al introducir la frase de acceso, la consola no mostrará ninguna entrada.

    Enter the passphrase for onboard key management:

    Enter the passphrase again to confirm:

  4. Introduzca la información de backup. Pegue todo el contenido desde la línea de COPIA DE SEGURIDAD DE INICIO hasta la línea de COPIA DE SEGURIDAD FINAL.

    Pulse la tecla ENTER dos veces al final de la entrada.

    Enter the backup data:

--------------------------BEGIN BACKUP--------------------------
0123456789012345678901234567890123456789012345678901234567890123
1234567890123456789012345678901234567890123456789012345678901234
2345678901234567890123456789012345678901234567890123456789012345
3456789012345678901234567890123456789012345678901234567890123456
4567890123456789012345678901234567890123456789012345678901234567
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
0123456789012345678901234567890123456789012345678901234567890123
1234567890123456789012345678901234567890123456789012345678901234
2345678901234567890123456789012345678901234567890123456789012345
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

---------------------------END BACKUP---------------------------

  5. Se completará el proceso de recuperación.

    Trying to recover keymanager secrets....
Setting recovery material for the onboard key manager
Recovery secrets set successfully
Trying to delete any existing km_onboard.wkeydb file.

Successfully recovered keymanager secrets.

***********************************************************************************
* Select option "(1) Normal Boot." to complete recovery process.
*
* Run the "security key-manager onboard sync" command to synchronize the key database after the node reboots.
***********************************************************************************
    Advertencia No continúe si la salida mostrada es otra cosa que Successfully recovered keymanager secrets. Realice la solución de problemas para corregir el error.

  6. Seleccione la opción 1 en el menú de arranque para continuar arrancando en ONTAP.

    ***********************************************************************************
* Select option "(1) Normal Boot." to complete the recovery process.
*
***********************************************************************************


(1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
(10) Set Onboard Key Manager recovery secrets.
(11) Configure node for external key management.
Selection (1-11)? 1

  7. Confirme que se muestre la consola de la controladora Waiting for giveback…​(Press Ctrl-C to abort wait)

  8. Desde el nodo del partner, devolver la controladora asociada: Storage failover giveback -fromnode local -only-cfo-aggregates true

  9. Una vez iniciado solo con CFO aggregate, ejecute el comando security key-manager onboard sync​​​​​​​:

  10. Introduzca la clave de acceso para todo el clúster de Onboard Key Manager:

    Enter the cluster-wide passphrase for the Onboard Key Manager:

All offline encrypted volumes will be brought online and the corresponding volume encryption keys (VEKs) will be restored automatically within 10 minutes. If any offline encrypted volumes are not brought online automatically, they can be brought online manually using the "volume online -vserver <vserver> -volume <volume_name>" command.

  11. Asegúrese de que todas las claves estén sincronizadas: Security key-manager key query -restored false

    There are no entries matching your query.

    Nota No deberían aparecer resultados al filtrar por false en el parámetro restaurado.

  12. Devolución del nodo del partner: Storage failover giveback -fromnode local

Opción 2: Sistemas con configuración de servidor de gestor de claves externo

Restaure la configuración del gestor de claves externo desde el menú de arranque de ONATP.

Antes de empezar

Necesitará la siguiente información para restaurar la configuración del gestor de claves externo (EKM):

  • Necesita una copia del archivo /cfcard/kmip/servers.cfg de otro nodo de cluster o la siguiente información:

  • La dirección del servidor KMIP.

  • El puerto KMIP.

  • Una copia del archivo /cfcard/kmip/certs/client.crt de otro nodo del clúster o del certificado de cliente.

  • Una copia del archivo /cfcard/kmip/certs/client.key de otro nodo del clúster o la clave de cliente.

  • Una copia del archivo /cfcard/kmip/certs/CA.pem de otro nodo del clúster o de las CA del servidor KMIP.

Pasos

  1. Seleccione la opción 11 en el menú de inicio de ONTAP.

    (1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
(10) Set Onboard Key Manager recovery secrets.
(11) Configure node for external key management.
Selection (1-11)? 11

  2. Cuando se le solicite, confirme que ha recopilado la información necesaria:

    1. Do you have a copy of the /cfcard/kmip/certs/client.crt file? {y/n} y

    2. Do you have a copy of the /cfcard/kmip/certs/client.key file? {y/n} y

    3. Do you have a copy of the /cfcard/kmip/certs/CA.pem file? {y/n} y

    4. Do you have a copy of the /cfcard/kmip/servers.cfg file? {y/n} y

      En su lugar, también puede realizar estas indicaciones:

    5. Do you have a copy of the /cfcard/kmip/servers.cfg file? {y/n} n

      1. Do you know the KMIP server address? {y/n} y

      2. Do you know the KMIP Port? {y/n} y

  3. Proporcione la información para cada una de estas peticiones de datos:

    1. Enter the client certificate (client.crt) file contents:

    2. Enter the client key (client.key) file contents:

    3. Enter the KMIP server CA(s) (CA.pem) file contents:

    4. Enter the server configuration (servers.cfg) file contents:

      Example

Enter the client certificate (client.crt) file contents:
-----BEGIN CERTIFICATE-----
MIIDvjCCAqagAwIBAgICN3gwDQYJKoZIhvcNAQELBQAwgY8xCzAJBgNVBAYTAlVT
MRMwEQYDVQQIEwpDYWxpZm9ybmlhMQwwCgYDVQQHEwNTVkwxDzANBgNVBAoTBk5l
MSUbQusvzAFs8G3P54GG32iIRvaCFnj2gQpCxciLJ0qB2foiBGx5XVQ/Mtk+rlap
Pk4ECW/wqSOUXDYtJs1+RB+w0+SHx8mzxpbz3mXF/X/1PC3YOzVNCq5eieek62si
Fp8=
-----END CERTIFICATE-----

Enter the client key (client.key) file contents:
-----BEGIN RSA PRIVATE KEY-----
MIIEpQIBAAKCAQEAoU1eajEG6QC2h2Zih0jEaGVtQUexNeoCFwKPoMSePmjDNtrU
MSB1SlX3VgCuElHk57XPdq6xSbYlbkIb4bAgLztHEmUDOkGmXYAkblQ=
-----END RSA PRIVATE KEY-----

Enter the KMIP server CA(s) (CA.pem) file contents:
-----BEGIN CERTIFICATE-----
MIIEizCCA3OgAwIBAgIBADANBgkqhkiG9w0BAQsFADCBjzELMAkGA1UEBhMCVVMx
7yaumMQETNrpMfP+nQMd34y4AmseWYGM6qG0z37BRnYU0Wf2qDL61cQ3/jkm7Y94
EQBKG1NY8dVyjphmYZv+
-----END CERTIFICATE-----

Enter the IP address for the KMIP server: 10.10.10.10
Enter the port for the KMIP server [5696]:

System is ready to utilize external key manager(s).
Trying to recover keys from key servers....
kmip_init: configuring ports
Running command '/sbin/ifconfig e0M'
..
..
kmip_init: cmd: ReleaseExtraBSDPort e0M
​​​​​​

  4. El proceso de recuperación se completará:

    System is ready to utilize external key manager(s).
Trying to recover keys from key servers....
[Aug 29 21:06:28]: 0x808806100: 0: DEBUG: kmip2::main: [initOpenssl]:460: Performing initialization of OpenSSL
Successfully recovered keymanager secrets.

  5. Seleccione la opción 1 en el menú de arranque para continuar arrancando en ONTAP.

    ***********************************************************************************
* Select option "(1) Normal Boot." to complete the recovery process.
*
***********************************************************************************


(1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
(10) Set Onboard Key Manager recovery secrets.
(11) Configure node for external key management.
Selection (1-11)? 1

Complete la sustitución del soporte de arranque

Complete el proceso de sustitución de medios de arranque después del arranque normal realizando las comprobaciones finales y devolviendo almacenamiento.

  1. Compruebe la salida de la consola:

    Si la consola muestra…​ Realice lo siguiente…​

    La solicitud de inicio de sesión de

    Vaya al paso 6.

    Esperando devolución…​

    1. Inicie sesión en el controlador asociado.

    2. Confirme que la controladora de destino está lista para la devolución con el comando storage failover show.

  2. Mueva el cable de consola a la controladora asociada y devuelva el almacenamiento de la controladora de destino mediante el comando storage failover giveback -fromnode local -only-cfo-aggregates true.

    • Si el comando falla debido a un disco fallido, desactive físicamente el disco que ha fallado, pero deje el disco en la ranura hasta que se reciba un reemplazo.

    • Si el comando falla porque el partner no está listo, espere 5 minutos hasta que el subsistema HA se sincronice entre los partners.

    • Si se produce un error en el comando debido a un proceso de NDMP, SnapMirror o SnapVault, deshabilite el proceso. Consulte el centro de documentación adecuado para obtener más información.

  3. Espere 3 minutos y compruebe el estado de la conmutación por error con el comando storage failover show.

  4. En el símbolo del sistema de clustershell, introduzca el comando network interface show -is-home false para mostrar las interfaces lógicas que no están en su controlador principal y su puerto.

    Si alguna interfaz se muestra `false`como , revierta esas interfaces de nuevo a su puerto raíz mediante el comando net int revert -vserver Cluster -lif _nodename.

  5. Mueva el cable de la consola al controlador de destino y ejecute el comando version -v para comprobar las versiones de ONTAP.

  6. Utilice el storage encryption disk show para revisar la salida.

  7. Utilice el comando security key-manager key query para mostrar los identificadores de claves de las claves de autenticación almacenadas en los servidores de gestión de claves.

    • Si la Restored columna = yes/true, ha finalizado y puede continuar con el proceso de sustitución.

    • Si Key Manager type = external y la Restored columna = cualquier otra cosa que no sea yes/true, utilice el comando security key-manager external restore para restaurar los ID de clave de las claves de autenticación.

      Nota Si el comando falla, póngase en contacto con el servicio de atención al cliente.

    • Si Key Manager type = onboard y la Restored columna = cualquier otra cosa que no sea yes/true, utilice el comando security key-manager onboard sync para sincronizar las claves integradas que faltan en el nodo reparado.

      Utilice el comando security key-manager key query para verificar que la Restored columna = yes/true para todas las claves de autenticación.

  8. Conecte el cable de la consola al controlador asociado.

  9. Respalde la controladora con el storage failover giveback -fromnode local comando.

  10. Restaure la devolución automática del control si la deshabilitó con el comando storage failover modify -node local -auto-giveback true.

  11. Si AutoSupport está habilitado, restaure/anule la supresión de la creación automática de casos mediante el comando system node AutoSupport invoke -node * -type all -message MAINT=END.