Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Restaurar cifrado - FAS2820

Colaboradores dougthomp netapp-jsnyder
PDF

Restaure el cifrado en el soporte de arranque de reemplazo.

Si su sistema de almacenamiento ejecuta ONTAP 9.17.1 o posterior, utilice el"procedimiento de recuperación de arranque automatizado" . Si su sistema está ejecutando una versión anterior de ONTAP, debe utilizar el procedimiento de recuperación de arranque manual.

Complete los pasos adecuados para restaurar el cifrado en su sistema según el tipo de administrador de claves que utilice. Si no está seguro de qué administrador de claves utiliza su sistema, revise la configuración que capturó al inicio del procedimiento de reemplazo del medio de arranque.

Gestión de claves incorporada (OKM)

Restaure la configuración del Administrador de claves integrado (OKM) desde el menú de inicio de ONTAP.

Antes de empezar

Asegúrese de tener disponible la siguiente información:

Pasos

Sobre el controlador averiado:

  1. Conecte el cable de la consola al controlador averiado.

  2. Desde el menú de arranque de ONTAP , seleccione la opción adecuada:

    Versión de ONTAP Seleccione esta opción

    ONTAP 9.8 o posterior

    Seleccione la opción 10.

    Mostrar ejemplo de menú de inicio 
    Please choose one of the following:

(1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
(10) Set Onboard Key Manager recovery secrets.
(11) Configure node for external key management.
Selection (1-11)? 10

    ONTAP 9,7 y anteriores

    Seleccione la opción oculta recover_onboard_keymanager

    Mostrar ejemplo de menú de inicio 
    Please choose one of the following:

(1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
Selection (1-19)? recover_onboard_keymanager

  3. Confirma que deseas continuar con el proceso de recuperación cuando se te solicite:

    Mostrar símbolo del sistema de ejemplo

    This option must be used only in disaster recovery procedures. Are you sure? (y or n):

  4. Introduzca dos veces la clave de acceso para todo el clúster.

    Al introducir la contraseña, la consola no muestra ninguna entrada.

    Mostrar símbolo del sistema de ejemplo

    Enter the passphrase for onboard key management:

    Enter the passphrase again to confirm:

  5. Introduzca la información de la copia de seguridad:

    1. Pegue todo el contenido desde la línea BEGIN BACKUP hasta la línea END BACKUP, incluyendo los guiones.

      Mostrar símbolo del sistema de ejemplo 
      Enter the backup data:

--------------------------BEGIN BACKUP--------------------------
0123456789012345678901234567890123456789012345678901234567890123
1234567890123456789012345678901234567890123456789012345678901234
2345678901234567890123456789012345678901234567890123456789012345
3456789012345678901234567890123456789012345678901234567890123456
4567890123456789012345678901234567890123456789012345678901234567
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
0123456789012345678901234567890123456789012345678901234567890123
1234567890123456789012345678901234567890123456789012345678901234
2345678901234567890123456789012345678901234567890123456789012345
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

---------------------------END BACKUP---------------------------

    2. Pulse la tecla Intro dos veces al final del texto introducido.

      El proceso de recuperación finaliza y muestra el siguiente mensaje:

      Successfully recovered keymanager secrets.

    Mostrar símbolo del sistema de ejemplo 
    Trying to recover keymanager secrets....
Setting recovery material for the onboard key manager
Recovery secrets set successfully
Trying to delete any existing km_onboard.wkeydb file.

Successfully recovered keymanager secrets.

***********************************************************************************
* Select option "(1) Normal Boot." to complete recovery process.
*
* Run the "security key-manager onboard sync" command to synchronize the key database after the node reboots.
***********************************************************************************

    +

    Advertencia No continúe si el resultado mostrado es diferente de Successfully recovered keymanager secrets . Realice la resolución de problemas para corregir el error.

  6. Seleccionar opción 1 Desde el menú de arranque, continúe arrancando en ONTAP.

    Mostrar símbolo del sistema de ejemplo 
    ***********************************************************************************
* Select option "(1) Normal Boot." to complete the recovery process.
*
***********************************************************************************


(1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
(10) Set Onboard Key Manager recovery secrets.
(11) Configure node for external key management.
Selection (1-11)? 1

  7. Confirma que la consola del controlador muestra el siguiente mensaje:

    Waiting for giveback…​(Press Ctrl-C to abort wait)

    En el controlador asociado:

  8. Devuelva el controlador defectuoso:

    storage failover giveback -fromnode local -only-cfo-aggregates true

    Sobre el controlador averiado:

  9. Tras arrancar únicamente con el agregado CFO, sincronice el gestor de claves:

    security key-manager onboard sync

  10. Introduzca la contraseña de todo el clúster para el Administrador de claves integrado cuando se le solicite.

    Mostrar símbolo del sistema de ejemplo 
    Enter the cluster-wide passphrase for the Onboard Key Manager:

All offline encrypted volumes will be brought online and the corresponding volume encryption keys (VEKs) will be restored automatically within 10 minutes. If any offline encrypted volumes are not brought online automatically, they can be brought online manually using the "volume online -vserver <vserver> -volume <volume_name>" command.
    Nota Si la sincronización se realiza correctamente, se devuelve el indicador del clúster sin mensajes adicionales. Si falla la sincronización, aparecerá un mensaje de error antes de volver al indicador del clúster. No continúe hasta que se corrija el error y la sincronización se ejecute correctamente.

  11. Verifique que todas las claves estén sincronizadas:

    security key-manager key query -restored false

    El comando no debería devolver ningún resultado. Si aparece algún resultado, repita el comando de sincronización hasta que no se devuelvan más resultados.

    En el controlador asociado:

  12. Devuelva el controlador defectuoso:

    storage failover giveback -fromnode local

  13. Restaure la devolución automática del control si la desactivó:

    storage failover modify -node local -auto-giveback true

  14. Si AutoSupport está habilitado, restaure la creación automática de casos:

    system node autosupport invoke -node * -type all -message MAINT=END

Gestor de claves externo (EKM)

Restaure la configuración del Administrador de claves externo desde el menú de inicio de ONTAP.

Antes de empezar

Reúna los siguientes archivos de otro nodo del clúster o de su copia de seguridad:

  • `/cfcard/kmip/servers.cfg`archivo o la dirección y el puerto del servidor KMIP

  • `/cfcard/kmip/certs/client.crt`archivo (certificado de cliente)

  • `/cfcard/kmip/certs/client.key`archivo (clave de cliente)

  • `/cfcard/kmip/certs/CA.pem`archivo (certificados CA del servidor KMIP)

Pasos

Sobre el controlador averiado:

  1. Conecte el cable de la consola al controlador averiado.

  2. Seleccionar opción 11 desde el menú de arranque de ONTAP .

    Mostrar ejemplo de menú de inicio 
    (1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
(10) Set Onboard Key Manager recovery secrets.
(11) Configure node for external key management.
Selection (1-11)? 11

  3. Confirma que has recopilado la información requerida cuando se te solicite:

    Mostrar símbolo del sistema de ejemplo 
    Do you have a copy of the /cfcard/kmip/certs/client.crt file? {y/n}
Do you have a copy of the /cfcard/kmip/certs/client.key file? {y/n}
Do you have a copy of the /cfcard/kmip/certs/CA.pem file? {y/n}
Do you have a copy of the /cfcard/kmip/servers.cfg file? {y/n}

  4. Introduzca la información del cliente y del servidor cuando se le solicite:

    1. Introduzca el contenido del archivo de certificado de cliente (client.crt), incluidas las líneas BEGIN y END.

    2. Introduzca el contenido del archivo de clave de cliente (client.key), incluidas las líneas BEGIN y END.

    3. Ingrese el contenido del archivo CA(s) del servidor KMIP (CA.pem), incluidas las líneas BEGIN y END.

    4. Introduzca la dirección IP del servidor KMIP.

    5. Ingrese el puerto del servidor KMIP (presione Enter para usar el puerto predeterminado 5696).

      Muestra el ejemplo 
      Enter the client certificate (client.crt) file contents:
-----BEGIN CERTIFICATE-----
<certificate_value>
-----END CERTIFICATE-----

Enter the client key (client.key) file contents:
-----BEGIN RSA PRIVATE KEY-----
<key_value>
-----END RSA PRIVATE KEY-----

Enter the KMIP server CA(s) (CA.pem) file contents:
-----BEGIN CERTIFICATE-----
<certificate_value>
-----END CERTIFICATE-----

Enter the IP address for the KMIP server: 10.10.10.10
Enter the port for the KMIP server [5696]:

System is ready to utilize external key manager(s).
Trying to recover keys from key servers....
kmip_init: configuring ports
Running command '/sbin/ifconfig e0M'
..
..
kmip_init: cmd: ReleaseExtraBSDPort e0M

      El proceso de recuperación finaliza y muestra el siguiente mensaje:

      Successfully recovered keymanager secrets.

    Muestra el ejemplo 
    System is ready to utilize external key manager(s).
Trying to recover keys from key servers....
Performing initialization of OpenSSL
Successfully recovered keymanager secrets.

  5. Seleccionar opción 1 Desde el menú de arranque, continúe arrancando en ONTAP.

    Mostrar símbolo del sistema de ejemplo 
    ***************************************************************************
* Select option "(1) Normal Boot." to complete the recovery process.
*
***************************************************************************

(1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
(10) Set Onboard Key Manager recovery secrets.
(11) Configure node for external key management.
Selection (1-11)? 1

  6. Restaure la devolución automática del control si la desactivó:

    storage failover modify -node local -auto-giveback true

  7. Si AutoSupport está habilitado, restaure la creación automática de casos:

    system node autosupport invoke -node * -type all -message MAINT=END

El futuro

Después de restaurar el cifrado en el soporte de arranque, debe "Devuelva la pieza fallida a NetApp".