Cree claves de autenticación en ONTAP 9.6 y versiones posteriores
Sugerir cambios
PDF
Puede usar el security key-manager key create comando para crear las claves de autenticación de un nodo y almacenarlas en los servidores KMIP configurados.
Si la configuración de seguridad requiere el uso de claves diferentes para la autenticación de datos y la autenticación FIPS 140-2-2, debe crear una clave independiente para cada una. Si este no es el caso, puede usar la misma clave de autenticación para el cumplimiento de FIPS que utiliza para el acceso a los datos.
ONTAP crea claves de autenticación para todos los nodos del clúster.
-
Este comando no es compatible cuando el gestor de claves incorporado está habilitado. Sin embargo, se crean automáticamente dos claves de autenticación cuando se habilita el gestor de claves incorporado. Las teclas se pueden ver con el siguiente comando:
security key-manager key query -key-type NSE-AK
-
Recibe una advertencia si los servidores de gestión de claves configurados ya almacenan más de 128 claves de autenticación.
-
Puede usar el
security key-manager key deletecomando para eliminar las claves no utilizadas. Elsecurity key-manager key deletecomando falla si la clave dada está actualmente en uso en ONTAP. (Para utilizar este comando, debe tener un Privileges mayor queadmin).
En un entorno de MetroCluster, antes de eliminar una clave, debe asegurarse de que la clave no se esté utilizando en el clúster de partners. Puede utilizar los siguientes comandos en el clúster de partners para comprobar que la clave no esté en uso:
-
storage encryption disk show -data-key-id <key-id> -
storage encryption disk show -fips-key-id <key-id>
-
Para realizar esta tarea, debe ser un administrador de clústeres.
-
Cree las claves de autenticación para los nodos del clúster:
security key-manager key create -key-tag <passphrase_label> -prompt-for-key true|false
Al establecer esta configuración
prompt-for-key=true, el sistema solicita al administrador del clúster que la clave de acceso se use al autenticar las unidades cifradas. De lo contrario, el sistema genera automáticamente una frase de acceso de 32 bytes. Elsecurity key-manager key createcomando reemplazasecurity key-manager create-keyel comando. Obtenga más información sobresecurity key-manager key createen el "Referencia de comandos del ONTAP".En el siguiente ejemplo se crean las claves de autenticación para
cluster1, generar automáticamente una frase de contraseña de 32 bytes:cluster1::> security key-manager key create Key ID: <id_value>
-
Compruebe que se han creado las claves de autenticación:
security key-manager key query -node node
El
security key-manager key querycomando reemplazasecurity key-manager query keyel comando.El ID de clave que se muestra en el resultado es un identificador que se utiliza para hacer referencia a la clave de autenticación. No es la clave de autenticación real ni la clave de cifrado de datos.
En el siguiente ejemplo se verifica que se han creado claves de autenticación para
cluster1:cluster1::> security key-manager key query Vserver: cluster1 Key Manager: external Node: node1 Key Tag Key Type Restored ------------------------------------ -------- -------- node1 NSE-AK yes Key ID: <id_value> node1 NSE-AK yes Key ID: <id_value> Vserver: cluster1 Key Manager: external Node: node2 Key Tag Key Type Restored ------------------------------------ -------- -------- node2 NSE-AK yes Key ID: <id_value> node2 NSE-AK yes Key ID: <id_value>Obtenga más información sobre
security key-manager key queryen el "Referencia de comandos del ONTAP".