Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Habilitar la administración de claves externas para el cifrado basado en hardware en ONTAP 9.6 y versiones posteriores

Colaboradores netapp-aoife netapp-aaron-holt netapp-barbe netapp-bhouser netapp-dbagwell netapp-ahibbard netapp-thomi netapp-aherbin
PDF

Puede utilizar uno o varios servidores KMIP para proteger las claves que utiliza el clúster para acceder a los datos cifrados. Se pueden conectar hasta cuatro servidores KMIP a un nodo. Se recomienda un mínimo de dos servidores para la redundancia y la recuperación ante desastres.

A partir de ONTAP 9.11.1, puede agregar hasta 3 servidores de claves secundarios por servidor de claves primario para crear un servidor de claves en clúster. Para obtener más información, consulte Configurar servidores de claves externas en cluster.

Antes de empezar

  • Deben haberse instalado el cliente KMIP SSL y los certificados de servidor.

  • Para realizar esta tarea, debe ser un administrador de clústeres.

  • En un entorno MetroCluster :

    • Debe configurar el entorno de MetroCluster antes de configurar un gestor de claves externo.

    • Debe instalar el mismo certificado SSL KMIP en ambos clústeres.

Pasos

  1. Configure la conectividad del gestor de claves para el clúster:

    security key-manager external enable -vserver admin_SVM -key-servers host_name|IP_address:port,... -client-cert client_certificate -server-ca-cert server_CA_certificates

    Nota

    • El security key-manager external enable comando reemplaza security key-manager setup el comando. Es posible ejecutar security key-manager external modify el comando para cambiar la configuración de gestión de claves externas. Obtenga más información sobre security key-manager external enable en el "Referencia de comandos del ONTAP".

    • En un entorno MetroCluster, si se configura la gestión de claves externa para la SVM de administrador, debe repetir security key-manager external enable el comando en el clúster de socios.

    El siguiente comando habilita la gestión de claves externas cluster1 con tres servidores de claves externos. El primer servidor de claves se especifica mediante su nombre de host y puerto, el segundo se especifica mediante una dirección IP y el puerto predeterminado, y el tercero se especifica mediante una dirección IPv6 y un puerto:

    clusterl::> security key-manager external enable -key-servers ks1.local:15696,10.0.0.10,[fd20:8b1e:b255:814e:32bd:f35c:832c:5a09]:1234 -client-cert AdminVserverClientCert -server-ca-certs AdminVserverServerCaCert

  2. Compruebe que todos los servidores KMIP configurados están conectados:

    security key-manager external show-status -node node_name -vserver SVM -key-server host_name|IP_address:port -key-server-status available|not-responding|unknown

    Nota

    El security key-manager external show-status comando reemplaza security key-manager show -status el comando. Obtenga más información sobre security key-manager external show-status en el "Referencia de comandos del ONTAP".

    		 
    cluster1::> security key-manager external show-status

Node  Vserver  Key Server                                     Status
----  -------  ---------------------------------------        -------------
node1
      cluster1
               10.0.0.10:5696                                 available
               fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
               ks1.local:15696                                available
node2
      cluster1
               10.0.0.10:5696                                 available
               fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
               ks1.local:15696                                available

6 entries were displayed.
Información relacionada