Restaurar cifrado - ASA C800
Restaure el cifrado en el soporte de arranque de reemplazo.
Se deben completar los pasos específicos de los sistemas que tengan habilitado el gestor de claves incorporado (OKM), el cifrado de almacenamiento de NetApp (NSE) o el cifrado de volúmenes de NetApp (NVE) mediante la configuración capturada al principio del procedimiento de reemplazo de medios de arranque.
En función del gestor de teclas configurado en el sistema, seleccione una de las siguientes opciones para restaurarlo desde el menú de inicio.
Opción 1: Restaure la configuración del gestor de claves incorporado
Restaure la configuración del Administrador de claves integrado (OKM) desde el menú de inicio de ONTAP.
-
Asegúrese de que dispone de la siguiente información al restaurar la configuración de OKM:
-
Se ha introducido la clave de acceso para todo el clúster "al tiempo que habilita la gestión de claves incorporada".
-
-
Realice el "Cómo comprobar el backup de gestión de claves incorporada y la clave de acceso para todo el clúster" procedimiento antes de continuar.
-
Conecte el cable de consola a la controladora de destino.
-
En el menú de inicio de ONTAP, seleccione la opción correspondiente en el menú de inicio.
Versión de ONTAP Seleccione esta opción ONTAP 9.8 o posterior
Seleccione la opción 10.
Mostrar ejemplo de menú de inicio
Please choose one of the following: (1) Normal Boot. (2) Boot without /etc/rc. (3) Change password. (4) Clean configuration and initialize all disks. (5) Maintenance mode boot. (6) Update flash from backup config. (7) Install new software first. (8) Reboot node. (9) Configure Advanced Drive Partitioning. (10) Set Onboard Key Manager recovery secrets. (11) Configure node for external key management. Selection (1-11)? 10
ONTAP 9,7 y anteriores
Seleccione la opción oculta
recover_onboard_keymanager
Mostrar ejemplo de menú de inicio
Please choose one of the following: (1) Normal Boot. (2) Boot without /etc/rc. (3) Change password. (4) Clean configuration and initialize all disks. (5) Maintenance mode boot. (6) Update flash from backup config. (7) Install new software first. (8) Reboot node. (9) Configure Advanced Drive Partitioning. Selection (1-19)? recover_onboard_keymanager
-
Confirme que desea continuar con el proceso de recuperación.
Mostrar símbolo del sistema de ejemplo
This option must be used only in disaster recovery procedures. Are you sure? (y or n):
-
Introduzca dos veces la clave de acceso para todo el clúster.
Al introducir la frase de acceso, la consola no mostrará ninguna entrada.
Mostrar símbolo del sistema de ejemplo
Enter the passphrase for onboard key management:
Enter the passphrase again to confirm:
-
Introduzca la información de backup.
-
Pegue todo el contenido desde la línea de COPIA DE SEGURIDAD DE INICIO hasta la línea de COPIA DE SEGURIDAD FINAL.
Mostrar símbolo del sistema de ejemplo
Enter the backup data: --------------------------BEGIN BACKUP-------------------------- 0123456789012345678901234567890123456789012345678901234567890123 1234567890123456789012345678901234567890123456789012345678901234 2345678901234567890123456789012345678901234567890123456789012345 3456789012345678901234567890123456789012345678901234567890123456 4567890123456789012345678901234567890123456789012345678901234567 AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 0123456789012345678901234567890123456789012345678901234567890123 1234567890123456789012345678901234567890123456789012345678901234 2345678901234567890123456789012345678901234567890123456789012345 AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA ---------------------------END BACKUP---------------------------
-
Pulse la tecla ENTER dos veces al final de la entrada.
El proceso de recuperación finaliza.
Mostrar símbolo del sistema de ejemplo
Trying to recover keymanager secrets.... Setting recovery material for the onboard key manager Recovery secrets set successfully Trying to delete any existing km_onboard.wkeydb file. Successfully recovered keymanager secrets. *********************************************************************************** * Select option "(1) Normal Boot." to complete recovery process. * * Run the "security key-manager onboard sync" command to synchronize the key database after the node reboots. ***********************************************************************************
No continúe si la salida mostrada es otra cosa que Successfully recovered keymanager secrets
. Realice la solución de problemas para corregir el error. -
-
Seleccione la opción 1 en el menú de arranque para continuar arrancando en ONTAP.
Mostrar símbolo del sistema de ejemplo
*********************************************************************************** * Select option "(1) Normal Boot." to complete the recovery process. * *********************************************************************************** (1) Normal Boot. (2) Boot without /etc/rc. (3) Change password. (4) Clean configuration and initialize all disks. (5) Maintenance mode boot. (6) Update flash from backup config. (7) Install new software first. (8) Reboot node. (9) Configure Advanced Drive Partitioning. (10) Set Onboard Key Manager recovery secrets. (11) Configure node for external key management. Selection (1-11)? 1
-
Confirme que la consola de la controladora muestre el siguiente mensaje.
Waiting for giveback…(Press Ctrl-C to abort wait)
-
Desde el nodo del partner, devolver la controladora del partner introduciendo el siguiente comando.
storage failover giveback -fromnode local -only-cfo-aggregates true
. -
Después de arrancar solo con el agregado CFO, ejecute el siguiente comando.
security key-manager onboard sync
-
Introduzca la clave de acceso en todo el clúster para la instancia de Onboard Key Manager.
Mostrar símbolo del sistema de ejemplo
Enter the cluster-wide passphrase for the Onboard Key Manager: All offline encrypted volumes will be brought online and the corresponding volume encryption keys (VEKs) will be restored automatically within 10 minutes. If any offline encrypted volumes are not brought online automatically, they can be brought online manually using the "volume online -vserver <vserver> -volume <volume_name>" command.
Si la sincronización se realiza correctamente, se devuelve el símbolo del sistema de clúster sin mensajes adicionales. Si la sincronización falla, aparecerá un mensaje de error antes de volver al símbolo del sistema del clúster. No continúe hasta que se corrija el error y la sincronización se ejecute correctamente. -
Asegúrese de que todas las claves estén sincronizadas introduciendo el comando siguiente.
security key-manager key query -restored false
.There are no entries matching your query.
No deberían aparecer resultados al filtrar por false en el parámetro restaurado. -
Realice la devolución del nodo del compañero introduciendo el comando siguiente.
storage failover giveback -fromnode local
-
Restaure la devolución automática, si la deshabilitó, introduciendo el siguiente comando.
storage failover modify -node local -auto-giveback true
-
Si AutoSupport está habilitado, restaure la creación automática de casos introduciendo el siguiente comando.
system node autosupport invoke -node * -type all -message MAINT=END
Opción 2: Restaure la configuración del gestor de claves externo
Restaure la configuración del Administrador de claves externo desde el menú de inicio de ONTAP.
Necesita la siguiente información para restaurar la configuración de un gestor de claves externo (EKM).
-
Una copia del archivo /cfcard/kmip/servers.cfg de otro nodo de cluster o de la siguiente información:
-
La dirección del servidor KMIP.
-
El puerto KMIP.
-
-
Una copia del
/cfcard/kmip/certs/client.crt
archivo de otro nodo del clúster o del certificado de cliente. -
Una copia del
/cfcard/kmip/certs/client.key
archivo de otro nodo de clúster o la clave de cliente. -
Una copia
/cfcard/kmip/certs/CA.pem
del archivo de otro nodo del clúster o las CA del servidor KMIP.
-
Conecte el cable de consola a la controladora de destino.
-
Seleccione la opción 11 en el menú de inicio de ONTAP.
Mostrar ejemplo de menú de inicio
(1) Normal Boot. (2) Boot without /etc/rc. (3) Change password. (4) Clean configuration and initialize all disks. (5) Maintenance mode boot. (6) Update flash from backup config. (7) Install new software first. (8) Reboot node. (9) Configure Advanced Drive Partitioning. (10) Set Onboard Key Manager recovery secrets. (11) Configure node for external key management. Selection (1-11)? 11
-
Cuando se le solicite, confirme que ha recopilado la información obligatoria.
Mostrar símbolo del sistema de ejemplo
Do you have a copy of the /cfcard/kmip/certs/client.crt file? {y/n} Do you have a copy of the /cfcard/kmip/certs/client.key file? {y/n} Do you have a copy of the /cfcard/kmip/certs/CA.pem file? {y/n} Do you have a copy of the /cfcard/kmip/servers.cfg file? {y/n}
-
Cuando se le solicite, introduzca la información del cliente y del servidor.
Mostrar petición de datos
Enter the client certificate (client.crt) file contents: Enter the client key (client.key) file contents: Enter the KMIP server CA(s) (CA.pem) file contents: Enter the server configuration (servers.cfg) file contents:
Muestra el ejemplo
Enter the client certificate (client.crt) file contents: -----BEGIN CERTIFICATE----- MIIDvjCCAqagAwIBAgICN3gwDQYJKoZIhvcNAQELBQAwgY8xCzAJBgNVBAYTAlVT MRMwEQYDVQQIEwpDYWxpZm9ybmlhMQwwCgYDVQQHEwNTVkwxDzANBgNVBAoTBk5l MSUbQusvzAFs8G3P54GG32iIRvaCFnj2gQpCxciLJ0qB2foiBGx5XVQ/Mtk+rlap Pk4ECW/wqSOUXDYtJs1+RB+w0+SHx8mzxpbz3mXF/X/1PC3YOzVNCq5eieek62si Fp8= -----END CERTIFICATE----- Enter the client key (client.key) file contents: -----BEGIN RSA PRIVATE KEY----- <key_value> -----END RSA PRIVATE KEY----- Enter the KMIP server CA(s) (CA.pem) file contents: -----BEGIN CERTIFICATE----- MIIEizCCA3OgAwIBAgIBADANBgkqhkiG9w0BAQsFADCBjzELMAkGA1UEBhMCVVMx 7yaumMQETNrpMfP+nQMd34y4AmseWYGM6qG0z37BRnYU0Wf2qDL61cQ3/jkm7Y94 EQBKG1NY8dVyjphmYZv+ -----END CERTIFICATE----- Enter the IP address for the KMIP server: 10.10.10.10 Enter the port for the KMIP server [5696]: System is ready to utilize external key manager(s). Trying to recover keys from key servers.... kmip_init: configuring ports Running command '/sbin/ifconfig e0M' .. .. kmip_init: cmd: ReleaseExtraBSDPort e0M
Después de introducir la información del cliente y el servidor, el proceso de recuperación finaliza.
Muestra el ejemplo
System is ready to utilize external key manager(s). Trying to recover keys from key servers.... [Aug 29 21:06:28]: 0x808806100: 0: DEBUG: kmip2::main: [initOpenssl]:460: Performing initialization of OpenSSL Successfully recovered keymanager secrets.
-
Seleccione la opción 1 en el menú de arranque para continuar arrancando en ONTAP.
Mostrar símbolo del sistema de ejemplo
*********************************************************************************** * Select option "(1) Normal Boot." to complete the recovery process. * *********************************************************************************** (1) Normal Boot. (2) Boot without /etc/rc. (3) Change password. (4) Clean configuration and initialize all disks. (5) Maintenance mode boot. (6) Update flash from backup config. (7) Install new software first. (8) Reboot node. (9) Configure Advanced Drive Partitioning. (10) Set Onboard Key Manager recovery secrets. (11) Configure node for external key management. Selection (1-11)? 1
-
Restaure la devolución automática, si la deshabilitó, introduciendo el siguiente comando.
storage failover modify -node local -auto-giveback true
-
Si AutoSupport está habilitado, restaure la creación automática de casos introduciendo el siguiente comando.
system node autosupport invoke -node * -type all -message MAINT=END