Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Activez la gestion intégrée des clés dans ONTAP 9.6 et versions ultérieures

Contributeurs netapp-aaron-holt netapp-barbe netapp-ahibbard netapp-dbagwell netapp-aoife netapp-thomi netapp-aherbin
PDF

Vous pouvez utiliser le gestionnaire de clés intégré pour authentifier les nœuds de cluster sur un lecteur FIPS ou SED. Le gestionnaire de clés intégré est un outil intégré qui sert des clés d'authentification aux nœuds du même système de stockage que vos données. Le gestionnaire de clés intégré est conforme à la norme FIPS-140-2 de niveau 1.

Vous pouvez utiliser le gestionnaire de clés intégré pour sécuriser les clés que le cluster utilise pour accéder aux données chiffrées. Vous devez activer le gestionnaire de clés intégré sur chaque cluster qui accède à un volume chiffré ou à un disque auto-chiffré.

Description de la tâche

Vous devez exécuter le security key-manager onboard enable commande à chaque ajout d'un nœud au cluster. Dans les configurations MetroCluster, vous devez exécuter security key-manager onboard enable sur le cluster local, puis s'exécute security key-manager onboard sync sur le cluster distant, en utilisant la même phrase de passe sur chacun d'eux.

En savoir plus sur security key-manager onboard enable et security key-manager onboard sync dans le"Référence de commande ONTAP" .

Par défaut, vous n'êtes pas tenu de saisir la phrase de passe du gestionnaire de clés lors du redémarrage d'un nœud. Sauf dans MetroCluster, vous pouvez utiliser cc-mode-enabled=yes option pour exiger que les utilisateurs saisissent la phrase de passe après un redémarrage.

Remarque

Lorsque le gestionnaire de clés intégré est activé en mode critères communs (cc-mode-enabled=yes), le comportement du système est modifié de l'une des manières suivantes :

  • Le système surveille les tentatives consécutives de mot de passe de cluster ayant échoué lorsqu'il fonctionne en mode critères communs.

    Si NetApp Storage Encryption (NSE) est activé et que vous ne saisissez pas la phrase secrète appropriée au démarrage, le système ne peut pas s'authentifier sur ses disques et redémarre automatiquement. Pour corriger ce problème, vous devez saisir la phrase secrète correcte du cluster à l'invite de démarrage. Une fois démarré, le système peut saisir jusqu'à 5 tentatives consécutives de saisie de la phrase secrète du cluster dans une période de 24 heures pour toute commande nécessitant une phrase secrète comme paramètre. Si la limite est atteinte (par exemple, vous n'avez pas saisi correctement la phrase de passe du cluster 5 fois de suite) alors vous devez attendre l'expiration du délai de 24 heures ou redémarrer le nœud pour réinitialiser la limite.

  • Les mises à jour d'images système utilisent le certificat de signature de code NetApp RSA-3072 avec des digests signés SHA-384 pour vérifier l'intégrité de l'image au lieu du certificat de signature de code RSA-2048 NetApp habituel et des digests signés par code SHA-256.

    La commande de mise à niveau vérifie que le contenu de l'image n'a pas été modifié ou corrompu en vérifiant diverses signatures numériques. Si la validation fonctionne, la mise à jour de l'image passe à l'étape suivante. Si la validation ne fonctionne pas, la mise à jour de l'image échoue. En savoir plus sur cluster image dans le"Référence de commande ONTAP" .
Remarque Le gestionnaire de clés intégré stocke les clés dans la mémoire volatile. Le contenu de la mémoire volatile est effacé lors du redémarrage ou de l'arrêt du système. Dans des conditions de fonctionnement normales, le contenu de la mémoire volatile est effacé dans les 30 secondes lorsqu'un système est arrêté.
Avant de commencer
Étapes

  1. Lancez la commande de configuration du gestionnaire de clés :

    security key-manager onboard enable -cc-mode-enabled yes|no

    Remarque Défini cc-mode-enabled=yes pour exiger que les utilisateurs saisissent la phrase de passe du gestionnaire de clés après un redémarrage. L' - cc-mode-enabled`option n'est pas prise en charge dans les configurations MetroCluster. `security key-manager onboard enable`La commande remplace `security key-manager setup la commande.

    L'exemple suivant démarre la commande Key Manager setup sur cluster1 sans exiger la saisie de la phrase de passe après chaque redémarrage :

  2. Saisissez une phrase secrète entre 32 et 256 caractères, ou pour « cc-mode », une phrase secrète entre 64 et 256 caractères.

    Remarque Si la phrase de passe « CC-mode » spécifiée est inférieure à 64 caractères, il y a un délai de cinq secondes avant que l'opération de configuration du gestionnaire de clés n'affiche à nouveau l'invite de phrase de passe.

  3. À l'invite de confirmation de la phrase de passe, saisissez à nouveau la phrase de passe.

  4. Vérifiez que le système crée les clés d’authentification :

    security key-manager key query -node node

    Remarque security key-manager key query`La commande remplace `security key-manager query key la commande.

    Pour en savoir plus, security key-manager key query consultez le "Référence de commande ONTAP".

Une fois que vous avez terminé

Copiez la phrase secrète dans un emplacement sécurisé à l'extérieur du système de stockage pour une utilisation ultérieure.

Le système sauvegarde automatiquement les informations de gestion des clés dans la base de données répliquée (RDB) du cluster. Vous devez également sauvegarder ces informations manuellement pour la reprise après sinistre.

Informations associées