Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Activer la gestion des clés externes pour le chiffrement matériel dans ONTAP 9.6 et versions ultérieures

Contributeurs netapp-aoife netapp-aaron-holt netapp-bhouser netapp-dbagwell netapp-ahibbard netapp-thomi netapp-aherbin
PDF

Vous pouvez utiliser un ou plusieurs serveurs KMIP pour sécuriser les clés que le cluster utilise pour accéder aux données chiffrées. Vous pouvez connecter jusqu'à quatre serveurs KMIP à un nœud. Un minimum de deux serveurs est recommandé pour la redondance et la reprise après sinistre.

À partir de ONTAP 9.11.1, vous pouvez ajouter jusqu'à 3 serveurs de clés secondaires par serveur de clés principal pour créer un serveur de clés en cluster. Pour plus d'informations, voir Configurez les serveurs de clés externes en cluster.

Avant de commencer

  • Les certificats client SSL KMIP et serveur doivent avoir été installés.

  • Vous devez être un administrateur de cluster pour effectuer cette tâche.

  • Vous devez configurer l'environnement MetroCluster avant de configurer un gestionnaire de clés externe.

  • Dans un environnement MetroCluster, vous devez installer le même certificat SSL KMIP sur les deux clusters.

Étapes

  1. Configurer la connectivité du gestionnaire de clés pour le cluster :

    security key-manager external enable -vserver admin_SVM -key-servers host_name|IP_address:port,... -client-cert client_certificate -server-ca-cert server_CA_certificates

    Remarque

    • security key-manager external enable`La commande remplace `security key-manager setup la commande. Vous pouvez exécuter security key-manager external modify la commande pour modifier la configuration de la gestion externe des clés. Pour en savoir plus, security key-manager external enable consultez le "Référence de commande ONTAP".

    • Dans un environnement MetroCluster, si vous configurez une gestion externe des clés pour le SVM admin, vous devez répéter l'opération security key-manager external enable commande sur le cluster partenaire.

    La commande suivante active la gestion externe des clés pour cluster1 avec trois serveurs de clés externes. Le premier serveur de clés est spécifié à l'aide de son nom d'hôte et de son port, le second est spécifié à l'aide d'une adresse IP et du port par défaut, et le troisième est spécifié à l'aide d'une adresse et d'un port IPv6 :

    clusterl::> security key-manager external enable -key-servers ks1.local:15696,10.0.0.10,[fd20:8b1e:b255:814e:32bd:f35c:832c:5a09]:1234 -client-cert AdminVserverClientCert -server-ca-certs AdminVserverServerCaCert

  2. Vérifiez que tous les serveurs KMIP configurés sont connectés :

    security key-manager external show-status -node node_name -vserver SVM -key-server host_name|IP_address:port -key-server-status available|not-responding|unknown

    Remarque 
    `security key-manager external show-status`La commande remplace `security key-manager show -status` la commande. Pour en savoir plus, `security key-manager external show-status` consultez le link:https://docs.netapp.com/us-en/ontap-cli/security-key-manager-external-show-status.html["Référence de commande ONTAP"^].
    		 
    cluster1::> security key-manager external show-status

Node  Vserver  Key Server                                     Status
----  -------  ---------------------------------------        -------------
node1
      cluster1
               10.0.0.10:5696                                 available
               fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
               ks1.local:15696                                available
node2
      cluster1
               10.0.0.10:5696                                 available
               fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
               ks1.local:15696                                available

6 entries were displayed.
Informations associées