Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Restaurer le chiffrement - AFF A200

Contributeurs netapp-jsnyder thrisun netapp-martyh
PDF

Restaurez le chiffrement sur le support de démarrage de remplacement.

Suivez les étapes appropriées pour restaurer le chiffrement sur votre système en fonction de votre type de gestionnaire de clés. Si vous ne savez pas quel gestionnaire de clés votre système utilise, vérifiez les paramètres que vous avez enregistrés au début de la procédure de remplacement du support de démarrage.

Gestionnaire de clés intégré Onboard Key Manager (OKM)

Restaurez la configuration du gestionnaire de clés intégré (OKM) à partir du menu de démarrage ONTAP.

Avant de commencer

Assurez-vous d'avoir les informations suivantes à disposition :

Étapes

Sur la manette défectueuse :

  1. Connectez le câble de la console à la manette défectueuse.

  2. Dans le menu de démarrage ONTAP , sélectionnez l'option appropriée :

    Version ONTAP Sélectionnez cette option

    ONTAP 9.8 ou version ultérieure

    Sélectionnez l'option 10.

    Affiche un exemple de menu de démarrage 
    Please choose one of the following:

(1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
(10) Set Onboard Key Manager recovery secrets.
(11) Configure node for external key management.
Selection (1-11)? 10

    ONTAP 9.7 et versions antérieures

    Sélectionnez l'option cachée recover_onboard_keymanager

    Affiche un exemple de menu de démarrage 
    Please choose one of the following:

(1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
Selection (1-19)? recover_onboard_keymanager

  3. Confirmez que vous souhaitez poursuivre le processus de récupération lorsque vous y êtes invité :

    Afficher l'exemple d'invite

    This option must be used only in disaster recovery procedures. Are you sure? (y or n):

  4. Saisissez deux fois la phrase de passe au niveau du cluster.

    Lors de la saisie du mot de passe, la console n'affiche aucune entrée.

    Afficher l'exemple d'invite

    Enter the passphrase for onboard key management:

    Enter the passphrase again to confirm:

  5. Saisissez les informations de sauvegarde :

    1. Collez l'intégralité du contenu de la ligne BEGIN BACKUP jusqu'à la ligne END BACKUP, y compris les tirets.

      Afficher l'exemple d'invite 
      Enter the backup data:

--------------------------BEGIN BACKUP--------------------------
0123456789012345678901234567890123456789012345678901234567890123
1234567890123456789012345678901234567890123456789012345678901234
2345678901234567890123456789012345678901234567890123456789012345
3456789012345678901234567890123456789012345678901234567890123456
4567890123456789012345678901234567890123456789012345678901234567
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
0123456789012345678901234567890123456789012345678901234567890123
1234567890123456789012345678901234567890123456789012345678901234
2345678901234567890123456789012345678901234567890123456789012345
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

---------------------------END BACKUP---------------------------

    2. Appuyez deux fois sur la touche Entrée à la fin de la saisie.

      Le processus de récupération est terminé et affiche le message suivant :

      Successfully recovered keymanager secrets.

    Afficher l'exemple d'invite 
    Trying to recover keymanager secrets....
Setting recovery material for the onboard key manager
Recovery secrets set successfully
Trying to delete any existing km_onboard.wkeydb file.

Successfully recovered keymanager secrets.

***********************************************************************************
* Select option "(1) Normal Boot." to complete recovery process.
*
* Run the "security key-manager onboard sync" command to synchronize the key database after the node reboots.
***********************************************************************************

    +

    Avertissement Ne poursuivez pas si le résultat affiché est autre que Successfully recovered keymanager secrets . Effectuez un dépannage pour corriger l'erreur.

  6. Sélectionnez une option 1 depuis le menu de démarrage pour continuer le démarrage dans ONTAP.

    Afficher l'exemple d'invite 
    ***********************************************************************************
* Select option "(1) Normal Boot." to complete the recovery process.
*
***********************************************************************************


(1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
(10) Set Onboard Key Manager recovery secrets.
(11) Configure node for external key management.
Selection (1-11)? 1

  7. Vérifiez que la console de la manette affiche le message suivant :

    Waiting for giveback…​(Press Ctrl-C to abort wait)

    Sur la manette partenaire :

  8. Restituez la manette défectueuse :

    storage failover giveback -fromnode local -only-cfo-aggregates true

    Sur la manette défectueuse :

  9. Après avoir démarré avec uniquement l'agrégat CFO, synchronisez le gestionnaire de clés :

    security key-manager onboard sync

  10. Saisissez la phrase secrète globale du cluster pour le gestionnaire de clés intégré lorsque vous y êtes invité.

    Afficher l'exemple d'invite 
    Enter the cluster-wide passphrase for the Onboard Key Manager:

All offline encrypted volumes will be brought online and the corresponding volume encryption keys (VEKs) will be restored automatically within 10 minutes. If any offline encrypted volumes are not brought online automatically, they can be brought online manually using the "volume online -vserver <vserver> -volume <volume_name>" command.
    Remarque Si la synchronisation réussit, l'invite du cluster est renvoyée sans message supplémentaire. En cas d'échec de la synchronisation, un message d'erreur s'affiche avant le retour à l'invite du cluster. Ne poursuivez pas tant que l'erreur n'est pas corrigée et que la synchronisation n'a pas réussi.

  11. Vérifiez que toutes les clés sont synchronisées :

    security key-manager key query -restored false

    La commande ne devrait renvoyer aucun résultat. Si des résultats apparaissent, répétez la commande de synchronisation jusqu'à ce qu'aucun résultat ne soit renvoyé.

    Sur la manette partenaire :

  12. Restituez la manette défectueuse :

    storage failover giveback -fromnode local

  13. Restaurez le rétablissement automatique si vous l'avez désactivé :

    storage failover modify -node local -auto-giveback true

  14. Si AutoSupport est activé, restaurez la création automatique de dossiers :

    system node autosupport invoke -node * -type all -message MAINT=END

Gestionnaire de clés externe (EKM)

Restaurez la configuration du gestionnaire de clés externe à partir du menu de démarrage ONTAP.

Avant de commencer

Récupérez les fichiers suivants depuis un autre nœud du cluster ou depuis votre sauvegarde :

  • `/cfcard/kmip/servers.cfg`fichier ou l'adresse et le port du serveur KMIP

  • `/cfcard/kmip/certs/client.crt`fichier (certificat client)

  • `/cfcard/kmip/certs/client.key`fichier (clé client)

  • `/cfcard/kmip/certs/CA.pem`fichier (certificats d'autorité de certification du serveur KMIP)

Étapes

Sur la manette défectueuse :

  1. Connectez le câble de la console à la manette défectueuse.

  2. Sélectionnez une option 11 depuis le menu de démarrage ONTAP .

    Affiche un exemple de menu de démarrage 
    (1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
(10) Set Onboard Key Manager recovery secrets.
(11) Configure node for external key management.
Selection (1-11)? 11

  3. Confirmez avoir recueilli les informations requises lorsque vous y êtes invité :

    Afficher l'exemple d'invite 
    Do you have a copy of the /cfcard/kmip/certs/client.crt file? {y/n}
Do you have a copy of the /cfcard/kmip/certs/client.key file? {y/n}
Do you have a copy of the /cfcard/kmip/certs/CA.pem file? {y/n}
Do you have a copy of the /cfcard/kmip/servers.cfg file? {y/n}

  4. Saisissez les informations du client et du serveur lorsque vous y êtes invité :

    1. Saisissez le contenu du fichier de certificat client (client.crt), y compris les lignes BEGIN et END.

    2. Saisissez le contenu du fichier de clé client (client.key), y compris les lignes BEGIN et END.

    3. Entrez le contenu du fichier CA(s) du serveur KMIP (CA.pem), y compris les lignes BEGIN et END.

    4. Saisissez l'adresse IP du serveur KMIP.

    5. Saisissez le port du serveur KMIP (appuyez sur Entrée pour utiliser le port par défaut 5696).

      Montrer l'exemple 
      Enter the client certificate (client.crt) file contents:
-----BEGIN CERTIFICATE-----
<certificate_value>
-----END CERTIFICATE-----

Enter the client key (client.key) file contents:
-----BEGIN RSA PRIVATE KEY-----
<key_value>
-----END RSA PRIVATE KEY-----

Enter the KMIP server CA(s) (CA.pem) file contents:
-----BEGIN CERTIFICATE-----
<certificate_value>
-----END CERTIFICATE-----

Enter the IP address for the KMIP server: 10.10.10.10
Enter the port for the KMIP server [5696]:

System is ready to utilize external key manager(s).
Trying to recover keys from key servers....
kmip_init: configuring ports
Running command '/sbin/ifconfig e0M'
..
..
kmip_init: cmd: ReleaseExtraBSDPort e0M

      Le processus de récupération est terminé et affiche le message suivant :

      Successfully recovered keymanager secrets.

    Montrer l'exemple 
    System is ready to utilize external key manager(s).
Trying to recover keys from key servers....
Performing initialization of OpenSSL
Successfully recovered keymanager secrets.

  5. Sélectionnez une option 1 depuis le menu de démarrage pour continuer le démarrage dans ONTAP.

    Afficher l'exemple d'invite 
    ***************************************************************************
* Select option "(1) Normal Boot." to complete the recovery process.
*
***************************************************************************

(1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
(10) Set Onboard Key Manager recovery secrets.
(11) Configure node for external key management.
Selection (1-11)? 1

  6. Restaurez le rétablissement automatique si vous l'avez désactivé :

    storage failover modify -node local -auto-giveback true

  7. Si AutoSupport est activé, restaurez la création automatique de dossiers :

    system node autosupport invoke -node * -type all -message MAINT=END