Restaurar cifrado - FAS70 y FAS90
Restaure el cifrado en el soporte de arranque de reemplazo.
Paso 1: Restaure el gestor de claves incorporado
Debe completar los pasos específicos de los sistemas que tengan habilitado el gestor de claves incorporado (OKM), el cifrado de almacenamiento de NetApp (NSE) o el cifrado de volúmenes de NetApp (NVE) mediante la configuración capturada al principio de este procedimiento.
Si se habilitan NSE o NVE junto con el gestor de claves incorporado o externo, debe restaurar la configuración capturada al principio de este procedimiento. |
-
Conecte el cable de consola a la controladora de destino.
-
Seleccione una de las siguientes opciones para restaurar la configuración del administrador de claves incorporado desde el menú de arranque ONATP.
Restaure la configuración del gestor de claves incorporado desde el menú de arranque de ONATP.
Necesita la siguiente información al restaurar la configuración de OKM:
-
Se ha introducido la clave de acceso para todo el clúster "al tiempo que habilita la gestión de claves incorporada".
-
Realice el "Cómo comprobar el backup de gestión de claves incorporada y la clave de acceso para todo el clúster" procedimiento antes de continuar.
-
En el menú de arranque de ONTAP, seleccione la opción 10:
Please choose one of the following: (1) Normal Boot. (2) Boot without /etc/rc. (3) Change password. (4) Clean configuration and initialize all disks. (5) Maintenance mode boot. (6) Update flash from backup config. (7) Install new software first. (8) Reboot node. (9) Configure Advanced Drive Partitioning. (10) Set Onboard Key Manager recovery secrets. (11) Configure node for external key management. Selection (1-11)? 10
-
Confirme la continuación del proceso.
This option must be used only in disaster recovery procedures. Are you sure? (y or n):
y -
Introduzca dos veces la clave de acceso para todo el clúster.
Al introducir la frase de acceso, la consola no mostrará ninguna entrada. Enter the passphrase for onboard key management:
Enter the passphrase again to confirm:
-
Introduzca la información de backup. Pegue todo el contenido desde la línea de COPIA DE SEGURIDAD DE INICIO hasta la línea de COPIA DE SEGURIDAD FINAL.
Pulse la tecla ENTER dos veces al final de la entrada.
Enter the backup data: --------------------------BEGIN BACKUP-------------------------- 0123456789012345678901234567890123456789012345678901234567890123 1234567890123456789012345678901234567890123456789012345678901234 2345678901234567890123456789012345678901234567890123456789012345 3456789012345678901234567890123456789012345678901234567890123456 4567890123456789012345678901234567890123456789012345678901234567 AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 0123456789012345678901234567890123456789012345678901234567890123 1234567890123456789012345678901234567890123456789012345678901234 2345678901234567890123456789012345678901234567890123456789012345 AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA ---------------------------END BACKUP---------------------------
-
Se completará el proceso de recuperación.
Trying to recover keymanager secrets.... Setting recovery material for the onboard key manager Recovery secrets set successfully Trying to delete any existing km_onboard.wkeydb file. Successfully recovered keymanager secrets. *********************************************************************************** * Select option "(1) Normal Boot." to complete recovery process. * * Run the "security key-manager onboard sync" command to synchronize the key database after the node reboots. ***********************************************************************************
No continúe si la salida mostrada es otra cosa que Successfully recovered keymanager secrets
. Realice la solución de problemas para corregir el error. -
Seleccione la opción 1 en el menú de arranque para continuar arrancando en ONTAP.
*********************************************************************************** * Select option "(1) Normal Boot." to complete the recovery process. * *********************************************************************************** (1) Normal Boot. (2) Boot without /etc/rc. (3) Change password. (4) Clean configuration and initialize all disks. (5) Maintenance mode boot. (6) Update flash from backup config. (7) Install new software first. (8) Reboot node. (9) Configure Advanced Drive Partitioning. (10) Set Onboard Key Manager recovery secrets. (11) Configure node for external key management. Selection (1-11)? 1
-
Confirme que se muestre la consola de la controladora
Waiting for giveback…(Press Ctrl-C to abort wait)
-
Desde el nodo del partner, devolver la controladora asociada: Storage failover giveback -fromnode local -only-cfo-aggregates true
-
Una vez iniciado solo con CFO aggregate, ejecute el comando security key-manager onboard sync:
-
Introduzca la clave de acceso para todo el clúster de Onboard Key Manager:
Enter the cluster-wide passphrase for the Onboard Key Manager: All offline encrypted volumes will be brought online and the corresponding volume encryption keys (VEKs) will be restored automatically within 10 minutes. If any offline encrypted volumes are not brought online automatically, they can be brought online manually using the "volume online -vserver <vserver> -volume <volume_name>" command.
-
Asegúrese de que todas las claves estén sincronizadas: Security key-manager key query -restored false
There are no entries matching your query.
No deberían aparecer resultados al filtrar por false en el parámetro restaurado. -
Devolución del nodo del partner: Storage failover giveback -fromnode local
Restaure la configuración del gestor de claves externo desde el menú de arranque de ONATP.
Necesitará la siguiente información para restaurar la configuración del gestor de claves externo (EKM):
-
Necesita una copia del archivo /cfcard/kmip/servers.cfg de otro nodo de cluster o la siguiente información:
-
La dirección del servidor KMIP.
-
El puerto KMIP.
-
Una copia del archivo /cfcard/kmip/certs/client.crt de otro nodo del clúster o del certificado de cliente.
-
Una copia del archivo /cfcard/kmip/certs/client.key de otro nodo del clúster o la clave de cliente.
-
Una copia del archivo /cfcard/kmip/certs/CA.pem de otro nodo del clúster o de las CA del servidor KMIP.
-
Seleccione la opción 11 en el menú de inicio de ONTAP.
(1) Normal Boot. (2) Boot without /etc/rc. (3) Change password. (4) Clean configuration and initialize all disks. (5) Maintenance mode boot. (6) Update flash from backup config. (7) Install new software first. (8) Reboot node. (9) Configure Advanced Drive Partitioning. (10) Set Onboard Key Manager recovery secrets. (11) Configure node for external key management. Selection (1-11)? 11
-
Cuando se le solicite, confirme que ha recopilado la información necesaria:
-
Do you have a copy of the /cfcard/kmip/certs/client.crt file? {y/n}
y -
Do you have a copy of the /cfcard/kmip/certs/client.key file? {y/n}
y -
Do you have a copy of the /cfcard/kmip/certs/CA.pem file? {y/n}
y -
Do you have a copy of the /cfcard/kmip/servers.cfg file? {y/n}
yEn su lugar, también puede realizar estas indicaciones:
-
Do you have a copy of the /cfcard/kmip/servers.cfg file? {y/n}
n-
Do you know the KMIP server address? {y/n}
y -
Do you know the KMIP Port? {y/n}
y
-
-
-
Proporcione la información para cada una de estas peticiones de datos:
-
Enter the client certificate (client.crt) file contents:
-
Enter the client key (client.key) file contents:
-
Enter the KMIP server CA(s) (CA.pem) file contents:
-
Enter the server configuration (servers.cfg) file contents:
Example Enter the client certificate (client.crt) file contents: -----BEGIN CERTIFICATE----- MIIDvjCCAqagAwIBAgICN3gwDQYJKoZIhvcNAQELBQAwgY8xCzAJBgNVBAYTAlVT MRMwEQYDVQQIEwpDYWxpZm9ybmlhMQwwCgYDVQQHEwNTVkwxDzANBgNVBAoTBk5l MSUbQusvzAFs8G3P54GG32iIRvaCFnj2gQpCxciLJ0qB2foiBGx5XVQ/Mtk+rlap Pk4ECW/wqSOUXDYtJs1+RB+w0+SHx8mzxpbz3mXF/X/1PC3YOzVNCq5eieek62si Fp8= -----END CERTIFICATE----- Enter the client key (client.key) file contents: -----BEGIN RSA PRIVATE KEY----- MIIEpQIBAAKCAQEAoU1eajEG6QC2h2Zih0jEaGVtQUexNeoCFwKPoMSePmjDNtrU MSB1SlX3VgCuElHk57XPdq6xSbYlbkIb4bAgLztHEmUDOkGmXYAkblQ= -----END RSA PRIVATE KEY----- Enter the KMIP server CA(s) (CA.pem) file contents: -----BEGIN CERTIFICATE----- MIIEizCCA3OgAwIBAgIBADANBgkqhkiG9w0BAQsFADCBjzELMAkGA1UEBhMCVVMx 7yaumMQETNrpMfP+nQMd34y4AmseWYGM6qG0z37BRnYU0Wf2qDL61cQ3/jkm7Y94 EQBKG1NY8dVyjphmYZv+ -----END CERTIFICATE----- Enter the IP address for the KMIP server: 10.10.10.10 Enter the port for the KMIP server [5696]: System is ready to utilize external key manager(s). Trying to recover keys from key servers.... kmip_init: configuring ports Running command '/sbin/ifconfig e0M' .. .. kmip_init: cmd: ReleaseExtraBSDPort e0M
-
-
El proceso de recuperación se completará:
System is ready to utilize external key manager(s). Trying to recover keys from key servers.... [Aug 29 21:06:28]: 0x808806100: 0: DEBUG: kmip2::main: [initOpenssl]:460: Performing initialization of OpenSSL Successfully recovered keymanager secrets.
-
Seleccione la opción 1 en el menú de arranque para continuar arrancando en ONTAP.
*********************************************************************************** * Select option "(1) Normal Boot." to complete the recovery process. * *********************************************************************************** (1) Normal Boot. (2) Boot without /etc/rc. (3) Change password. (4) Clean configuration and initialize all disks. (5) Maintenance mode boot. (6) Update flash from backup config. (7) Install new software first. (8) Reboot node. (9) Configure Advanced Drive Partitioning. (10) Set Onboard Key Manager recovery secrets. (11) Configure node for external key management. Selection (1-11)? 1
Paso 2: Complete la sustitución del soporte de arranque
Complete el proceso de sustitución de medios de arranque después del arranque normal realizando las comprobaciones finales y devolviendo almacenamiento.
-
Compruebe la salida de la consola:
Si la consola muestra… Realice lo siguiente… La solicitud de inicio de sesión de
Vaya al paso 6.
Esperando devolución…
-
Inicie sesión en el controlador asociado.
-
Confirme que la controladora de destino está lista para la devolución con el comando storage failover show.
-
-
Mueva el cable de consola a la controladora asociada y devuelva el almacenamiento de la controladora de destino mediante el comando storage failover giveback -fromnode local -only-cfo-aggregates true.
-
Si el comando falla debido a un disco fallido, desactive físicamente el disco que ha fallado, pero deje el disco en la ranura hasta que se reciba un reemplazo.
-
Si el comando falla porque el partner no está listo, espere 5 minutos hasta que el subsistema HA se sincronice entre los partners.
-
Si se produce un error en el comando debido a un proceso de NDMP, SnapMirror o SnapVault, deshabilite el proceso. Consulte el centro de documentación adecuado para obtener más información.
-
-
Espere 3 minutos y compruebe el estado de la conmutación por error con el comando storage failover show.
-
En el símbolo del sistema de clustershell, introduzca el comando network interface show -is-home false para mostrar las interfaces lógicas que no están en su controlador principal y su puerto.
Si alguna interfaz se muestra `false`como , revierta esas interfaces de nuevo a su puerto raíz mediante el comando net int revert -vserver Cluster -lif _nodename.
-
Mueva el cable de la consola al controlador de destino y ejecute el comando version -v para comprobar las versiones de ONTAP.
-
Utilice el
storage encryption disk show
para revisar la salida. -
Utilice el comando security key-manager key query para mostrar los identificadores de claves de las claves de autenticación almacenadas en los servidores de gestión de claves.
-
Si la
Restored
columna =yes/true
, ha finalizado y puede continuar con el proceso de sustitución. -
Si
Key Manager type
=external
y laRestored
columna = cualquier otra cosa que no seayes/true
, utilice el comando security key-manager external restore para restaurar los ID de clave de las claves de autenticación.Si el comando falla, póngase en contacto con el servicio de atención al cliente. -
Si
Key Manager type
=onboard
y laRestored
columna = cualquier otra cosa que no seayes/true
, utilice el comando security key-manager onboard sync para sincronizar las claves integradas que faltan en el nodo reparado.Utilice el comando security key-manager key query para verificar que la
Restored
columna =yes/true
para todas las claves de autenticación.
-
-
Conecte el cable de la consola al controlador asociado.
-
Respalde la controladora con el
storage failover giveback -fromnode local
comando. -
Restaure la devolución automática del control si la deshabilitó con el comando storage failover modify -node local -auto-giveback true.
-
Si AutoSupport está habilitado, restaure/anule la supresión de la creación automática de casos mediante el comando system node AutoSupport invoke -node * -type all -message MAINT=END.