Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Activez la gestion intégrée des clés dans ONTAP 9.6 et versions ultérieures

Contributeurs netapp-aaron-holt netapp-ahibbard netapp-dbagwell netapp-aoife netapp-thomi netapp-aherbin
PDF

Vous pouvez utiliser le gestionnaire de clés intégré pour authentifier les nœuds de cluster sur un lecteur FIPS ou SED. Le gestionnaire de clés intégré est un outil intégré qui sert des clés d'authentification aux nœuds du même système de stockage que vos données. Le gestionnaire de clés intégré est conforme à la norme FIPS-140-2 de niveau 1.

Vous pouvez utiliser le gestionnaire de clés intégré pour sécuriser les clés que le cluster utilise pour accéder aux données chiffrées. Vous devez activer le gestionnaire de clés intégré sur chaque cluster qui accède à un volume chiffré ou à un disque auto-chiffré.

Description de la tâche

Vous devez exécuter le security key-manager onboard enable commande à chaque ajout d'un nœud au cluster. Dans les configurations MetroCluster, vous devez exécuter security key-manager onboard enable sur le cluster local, puis s'exécute security key-manager onboard sync sur le cluster distant, en utilisant la même phrase de passe sur chacun d'eux.

Pour en savoir plus sur security key-manager onboard enable et security key-manager onboard sync dans le "Référence de commande ONTAP".

Par défaut, vous n'êtes pas tenu de saisir la phrase de passe du gestionnaire de clés lors du redémarrage d'un nœud. Sauf dans MetroCluster, vous pouvez utiliser cc-mode-enabled=yes option pour exiger que les utilisateurs saisissent la phrase de passe après un redémarrage.

Remarque

Lorsque le gestionnaire de clés intégré est activé en mode critères communs (cc-mode-enabled=yes), le comportement du système est modifié de l'une des manières suivantes :

  • Le système surveille les tentatives consécutives de mot de passe de cluster ayant échoué lorsqu'il fonctionne en mode critères communs.

    Si NetApp Storage Encryption (NSE) est activé et que vous ne saisissez pas la phrase secrète appropriée au démarrage, le système ne peut pas s'authentifier sur ses disques et redémarre automatiquement. Pour corriger ce problème, vous devez saisir la phrase secrète correcte du cluster à l'invite de démarrage. Une fois démarré, le système peut saisir jusqu'à 5 tentatives consécutives de saisie de la phrase secrète du cluster dans une période de 24 heures pour toute commande nécessitant une phrase secrète comme paramètre. Si la limite est atteinte (par exemple, vous n'avez pas saisi correctement la phrase de passe du cluster 5 fois de suite) alors vous devez attendre l'expiration du délai de 24 heures ou redémarrer le nœud pour réinitialiser la limite.

  • Les mises à jour d'images système utilisent le certificat de signature de code NetApp RSA-3072 avec des digests signés SHA-384 pour vérifier l'intégrité de l'image au lieu du certificat de signature de code RSA-2048 NetApp habituel et des digests signés par code SHA-256.

    La commande de mise à niveau vérifie que le contenu de l'image n'a pas été modifié ou corrompu en vérifiant diverses signatures numériques. Le processus de mise à jour de l'image passe à l'étape suivante si la validation réussit ; sinon, la mise à jour de l'image échoue. Pour en savoir plus, cluster image consultez le "Référence de commande ONTAP".
Remarque Le gestionnaire de clés intégré stocke les clés dans la mémoire volatile. Le contenu de la mémoire volatile est effacé lors du redémarrage ou de l'arrêt du système. Dans des conditions de fonctionnement normales, le contenu de la mémoire volatile est effacé dans les 30 secondes lorsqu'un système est arrêté.
Avant de commencer
Étapes

  1. Lancez la commande de configuration du gestionnaire de clés :

    security key-manager onboard enable -cc-mode-enabled yes|no

    Remarque Défini cc-mode-enabled=yes pour exiger que les utilisateurs saisissent la phrase de passe du gestionnaire de clés après un redémarrage. L' - cc-mode-enabled`option n'est pas prise en charge dans les configurations MetroCluster. `security key-manager onboard enable`La commande remplace `security key-manager setup la commande.

    L'exemple suivant démarre la commande Key Manager setup sur cluster1 sans exiger la saisie de la phrase de passe après chaque redémarrage :

    cluster1::> security key-manager onboard enable

Enter the cluster-wide passphrase for onboard key management in Vserver "cluster1"::    <32..256 ASCII characters long text>
Reenter the cluster-wide passphrase:    <32..256 ASCII characters long text>

  2. À l'invite de phrase de passe, entrez une phrase de passe comprise entre 32 et 256 caractères, ou une phrase de passe entre 64 et 256 caractères pour « mode CC ».

    Remarque Si la phrase de passe « CC-mode » spécifiée est inférieure à 64 caractères, il y a un délai de cinq secondes avant que l'opération de configuration du gestionnaire de clés n'affiche à nouveau l'invite de phrase de passe.

  3. À l'invite de confirmation de la phrase de passe, saisissez à nouveau la phrase de passe.

  4. Vérifiez que les clés d'authentification ont été créées :

    security key-manager key query -node node

    Remarque security key-manager key query`La commande remplace `security key-manager query key la commande.

    L'exemple suivant vérifie que les clés d'authentification ont été créées pour cluster1:

    cluster1::> security key-manager key query
       Vserver: cluster1
   Key Manager: onboard
          Node: node1

Key Tag                               Key Type  Restored
------------------------------------  --------  --------
node1                                 NSE-AK    yes
    Key ID: <id_value>
node1                                 NSE-AK    yes
    Key ID: <id_value>

       Vserver: cluster1
   Key Manager: onboard
          Node: node2

Key Tag                               Key Type  Restored
------------------------------------  --------  --------
node1                                 NSE-AK    yes
    Key ID: <id_value>
node2                                 NSE-AK    yes
    Key ID: <id_value>

    Pour en savoir plus, security key-manager key query consultez le "Référence de commande ONTAP".

Une fois que vous avez terminé

Copiez la phrase secrète dans un emplacement sécurisé à l'extérieur du système de stockage pour une utilisation ultérieure.

Toutes les informations de gestion des clés sont automatiquement sauvegardées dans la base de données répliquée (RDB) pour le cluster. Vous devez également sauvegarder les informations manuellement pour les utiliser en cas d'incident.

Informations associées