Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Activez la gestion intégrée des clés dans ONTAP 9.6 et versions ultérieures

Contributeurs

Vous pouvez utiliser le gestionnaire de clés intégré pour authentifier les nœuds de cluster sur un lecteur FIPS ou SED. Le gestionnaire de clés intégré est un outil intégré qui sert des clés d'authentification aux nœuds du même système de stockage que vos données. Le gestionnaire de clés intégré est conforme à la norme FIPS-140-2 de niveau 1.

Vous pouvez utiliser le gestionnaire de clés intégré pour sécuriser les clés que le cluster utilise pour accéder aux données chiffrées. Vous devez activer le gestionnaire de clés intégré sur chaque cluster qui accède à un volume chiffré ou à un disque auto-chiffré.

Description de la tâche

Vous devez exécuter le security key-manager onboard enable commande à chaque ajout d'un nœud au cluster. Dans les configurations MetroCluster, vous devez exécuter security key-manager onboard enable sur le cluster local, puis s'exécute security key-manager onboard sync sur le cluster distant, en utilisant la même phrase de passe sur chacun d'eux.

Par défaut, vous n'êtes pas tenu de saisir la phrase de passe du gestionnaire de clés lors du redémarrage d'un nœud. Sauf dans MetroCluster, vous pouvez utiliser cc-mode-enabled=yes option pour exiger que les utilisateurs saisissent la phrase de passe après un redémarrage.

Remarque

Lorsque le gestionnaire de clés intégré est activé en mode critères communs (cc-mode-enabled=yes), le comportement du système est modifié de l'une des manières suivantes :

  • Le système surveille les tentatives consécutives de mot de passe de cluster ayant échoué lorsqu'il fonctionne en mode critères communs.

    Si NetApp Storage Encryption (NSE) est activé et que vous ne saisissez pas la phrase secrète appropriée au démarrage, le système ne peut pas s'authentifier sur ses disques et redémarre automatiquement. Pour corriger ce problème, vous devez saisir la phrase secrète correcte du cluster à l'invite de démarrage. Une fois démarré, le système peut saisir jusqu'à 5 tentatives consécutives de saisie de la phrase secrète du cluster dans une période de 24 heures pour toute commande nécessitant une phrase secrète comme paramètre. Si la limite est atteinte (par exemple, vous n'avez pas saisi correctement la phrase de passe du cluster 5 fois de suite) alors vous devez attendre l'expiration du délai de 24 heures ou redémarrer le nœud pour réinitialiser la limite.

  • Les mises à jour d'images système utilisent le certificat de signature de code NetApp RSA-3072 avec des digests signés SHA-384 pour vérifier l'intégrité de l'image au lieu du certificat de signature de code RSA-2048 NetApp habituel et des digests signés par code SHA-256.

    La commande de mise à niveau vérifie que le contenu de l'image n'a pas été modifié ou corrompu en vérifiant diverses signatures numériques. Le processus de mise à jour de l'image passe à l'étape suivante si la validation réussit ; sinon, la mise à jour de l'image échoue. Pour plus d'informations sur les mises à jour du système, reportez-vous à la page de manuel « image du cluster ».

Remarque Le gestionnaire de clés intégré stocke les clés dans la mémoire volatile. Le contenu de la mémoire volatile est effacé lors du redémarrage ou de l'arrêt du système. Dans des conditions de fonctionnement normales, le contenu de la mémoire volatile est effacé dans les 30 secondes lorsqu'un système est arrêté.
Avant de commencer
Étapes
  1. Lancez la commande de configuration du gestionnaire de clés :

    security key-manager onboard enable -cc-mode-enabled yes|no

    Remarque Réglez cc-mode-enabled=yes pour demander aux utilisateurs de saisir la phrase de passe du gestionnaire de clés après un redémarrage. Le - cc-mode-enabled Cette option n'est pas prise en charge dans les configurations MetroCluster. Le security key-manager onboard enable la commande remplace le security key-manager setup commande.

    L'exemple suivant démarre la commande Key Manager setup sur cluster1 sans exiger la saisie de la phrase de passe après chaque redémarrage :

    cluster1::> security key-manager onboard enable
    
    Enter the cluster-wide passphrase for onboard key management in Vserver "cluster1"::    <32..256 ASCII characters long text>
    Reenter the cluster-wide passphrase:    <32..256 ASCII characters long text>
  2. À l'invite de phrase de passe, entrez une phrase de passe comprise entre 32 et 256 caractères, ou une phrase de passe entre 64 et 256 caractères pour « mode CC ».

    Remarque Si la phrase de passe « CC-mode » spécifiée est inférieure à 64 caractères, il y a un délai de cinq secondes avant que l'opération de configuration du gestionnaire de clés n'affiche à nouveau l'invite de phrase de passe.
  3. À l'invite de confirmation de la phrase de passe, saisissez à nouveau la phrase de passe.

  4. Vérifiez que les clés d'authentification ont été créées :

    security key-manager key query -node node

    Remarque Le security key-manager key query la commande remplace le security key-manager query key commande. Pour connaître la syntaxe complète de la commande, reportez-vous à la page man.

    L'exemple suivant vérifie que les clés d'authentification ont été créées pour cluster1:

    cluster1::> security key-manager key query
           Vserver: cluster1
       Key Manager: onboard
              Node: node1
    
    Key Tag                               Key Type  Restored
    ------------------------------------  --------  --------
    node1                                 NSE-AK    yes
        Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000
    node1                                 NSE-AK    yes
        Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000
    
           Vserver: cluster1
       Key Manager: onboard
              Node: node2
    
    Key Tag                               Key Type  Restored
    ------------------------------------  --------  --------
    node1                                 NSE-AK    yes
        Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000
    node2                                 NSE-AK    yes
        Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000
Une fois que vous avez terminé

Copiez la phrase secrète dans un emplacement sécurisé à l'extérieur du système de stockage pour une utilisation ultérieure.

Toutes les informations de gestion des clés sont automatiquement sauvegardées dans la base de données répliquée (RDB) pour le cluster. Vous devez également sauvegarder les informations manuellement pour les utiliser en cas d'incident.