Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Habilite la gestión de claves incorporada en ONTAP 9.6 y versiones posteriores

Colaboradores netapp-aaron-holt netapp-barbe netapp-ahibbard netapp-dbagwell netapp-aoife netapp-thomi netapp-aherbin
PDF

Puede usar el gestor de claves incorporado para autenticar nodos de clúster en una unidad FIPS o SED. El gestor de claves incorporado es una herramienta integrada que proporciona claves de autenticación a nodos del mismo sistema de almacenamiento que los datos. El gestor de claves incorporado es conforme a la normativa FIPS-140-2 de nivel 1.

Puede usar el administrador de claves incorporado para proteger las claves que el clúster utiliza para acceder a los datos cifrados. Debe habilitar el gestor de claves incorporado en cada clúster que acceda a un volumen cifrado o un disco de autocifrado.

Acerca de esta tarea

Debe ejecutar security key-manager onboard enable el comando cada vez que añade un nodo al clúster. En configuraciones de MetroCluster, security key-manager onboard enable primero debe ejecutar en el clúster local y luego ejecutar security key-manager onboard sync en el clúster remoto, con la misma clave de acceso en cada uno.

Obtenga más información sobre security key-manager onboard enable y security key-manager onboard sync en el"Referencia de comandos del ONTAP" .

De forma predeterminada, no es necesario introducir la clave de acceso del administrador de claves cuando se reinicia un nodo. Excepto en MetroCluster, puede usar cc-mode-enabled=yes la opción para requerir que los usuarios introduzcan la clave de acceso después de un reinicio.

Nota

Cuando Onboard Key Manager está activado en el modo Common Criteria (cc-mode-enabled=yes), el comportamiento del sistema se cambia de las siguientes formas:

  • El sistema supervisa los intentos fallidos consecutivos de acceso al clúster cuando funciona en modo de criterios comunes.

    Si se habilitó el cifrado en almacenamiento de NetApp (NSE) y no se puede introducir la clave de acceso del clúster correcta en el arranque, el sistema no puede autenticarse en sus unidades y se reinicia automáticamente. Para corregir esto, debe introducir la clave de acceso correcta del clúster en el símbolo del sistema de arranque. Una vez arrancado, el sistema permite 5 introducir correctamente la clave de acceso del clúster en un periodo de 24 horas para cualquier comando que requiera la clave de acceso del clúster como parámetro. Si se alcanza el límite (por ejemplo, no ha podido introducir correctamente la clave de acceso del clúster 5 veces en una fila), debe esperar al tiempo de espera de 24 horas o reiniciar el nodo para restablecer el límite.

  • Las actualizaciones de imágenes del sistema utilizan el certificado de firma de código RSA-3072 de NetApp junto con los resúmenes firmados con código SHA-384 para comprobar la integridad de la imagen en lugar del certificado de firma de código RSA-2048 de NetApp habitual y los resúmenes firmados con código SHA-256.

    El comando de actualización verifica que el contenido de la imagen no haya sido alterado o dañado comprobando varias firmas digitales. Si la validación funciona, la actualización de la imagen pasa al siguiente paso. Si la validación no funciona, la actualización de la imagen falla. Obtenga más información sobre cluster image en el"Referencia de comandos del ONTAP" .
Nota El gestor de claves incorporado almacena claves en la memoria volátil. El contenido de la memoria volátil se borra al reiniciar o detener el sistema. En condiciones normales de funcionamiento, el contenido de la memoria volátil se borrará en un plazo de 30 segundos cuando se pare un sistema.
Antes de empezar
Pasos

  1. Inicie el comando de configuración del gestor de claves:

    security key-manager onboard enable -cc-mode-enabled yes|no

    Nota Establezca esta opción cc-mode-enabled=yes para que los usuarios introduzcan la frase de contraseña del gestor de claves después de reiniciar. - cc-mode-enabled`La opción no es compatible con las configuraciones de MetroCluster. El `security key-manager onboard enable comando reemplaza security key-manager setup el comando.

    En el siguiente ejemplo, se inicia el comando key Manager setup en cluster1 sin necesidad de introducir la frase de contraseña después de cada reinicio:

  2. Introduzca una frase de contraseña entre 32 y 256 caracteres, o para “cc-mode”, una frase de contraseña entre 64 y 256 caracteres.

    Nota Si la frase de paso "'cc-mode'" especificada es menor de 64 caracteres, hay un retraso de cinco segundos antes de que la operación de configuración del gestor de claves vuelva a mostrar la indicación de contraseña.

  3. En la solicitud de confirmación de contraseña, vuelva a introducir la frase de contraseña.

  4. Verifique que el sistema cree las claves de autenticación:

    security key-manager key query -node node

    Nota El security key-manager key query comando reemplaza security key-manager query key el comando.

    Obtenga más información sobre security key-manager key query en el "Referencia de comandos del ONTAP".

Después de terminar

Copie la clave de acceso en una ubicación segura fuera del sistema de almacenamiento para usarla en el futuro.

El sistema realiza automáticamente una copia de seguridad de la información de administración de claves en la base de datos replicada (RDB) del clúster. También debe realizar una copia de seguridad de esta información manualmente para la recuperación ante desastres.

Información relacionada