Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Ripristinare la crittografia - ASA A250

Collaboratori netapp-jsnyder Sreeju-mm
PDF

Ripristinare la crittografia sul supporto di avvio sostitutivo.

Completare i passaggi appropriati per ripristinare la crittografia sul sistema in base al tipo di gestore delle chiavi. Se non sei sicuro del gestore chiavi utilizzato dal tuo sistema, controlla le impostazioni acquisite all'inizio della procedura di sostituzione del supporto di avvio.

Onboard Key Manager (OKM)

Ripristinare la configurazione di Onboard Key Manager (OKM) dal menu di avvio di ONTAP.

Prima di iniziare

Assicurati di avere a disposizione le seguenti informazioni:

Fasi

Sul controller non autorizzato:

  1. Collegare il cavo della console al controller non funzionante.

  2. Dal menu di avvio ONTAP , selezionare l'opzione appropriata:

    Versione di ONTAP Selezionare questa opzione

    ONTAP 9.8 o versione successiva

    Selezionare l'opzione 10.

    Mostra un esempio di menu di avvio 
    Please choose one of the following:

(1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
(10) Set Onboard Key Manager recovery secrets.
(11) Configure node for external key management.
Selection (1-11)? 10

    ONTAP 9.7 e versioni precedenti

    Selezionare l'opzione nascosta recover_onboard_keymanager

    Mostra un esempio di menu di avvio 
    Please choose one of the following:

(1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
Selection (1-19)? recover_onboard_keymanager

  3. Quando richiesto, conferma di voler continuare il processo di ripristino:

    Mostra prompt di esempio

    This option must be used only in disaster recovery procedures. Are you sure? (y or n):

  4. Inserire due volte la passphrase a livello di cluster.

    Durante l'inserimento della passphrase, la console non mostra alcun input.

    Mostra prompt di esempio

    Enter the passphrase for onboard key management:

    Enter the passphrase again to confirm:

  5. Inserisci le informazioni di backup:

    1. Incollare l'intero contenuto dalla riga BEGIN BACKUP alla riga END BACKUP, inclusi i trattini.

      Mostra prompt di esempio 
      Enter the backup data:

--------------------------BEGIN BACKUP--------------------------
0123456789012345678901234567890123456789012345678901234567890123
1234567890123456789012345678901234567890123456789012345678901234
2345678901234567890123456789012345678901234567890123456789012345
3456789012345678901234567890123456789012345678901234567890123456
4567890123456789012345678901234567890123456789012345678901234567
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
0123456789012345678901234567890123456789012345678901234567890123
1234567890123456789012345678901234567890123456789012345678901234
2345678901234567890123456789012345678901234567890123456789012345
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

---------------------------END BACKUP---------------------------

    2. Premere Invio due volte alla fine dell'input.

      Il processo di ripristino viene completato e viene visualizzato il seguente messaggio:

      Successfully recovered keymanager secrets.

    Mostra prompt di esempio 
    Trying to recover keymanager secrets....
Setting recovery material for the onboard key manager
Recovery secrets set successfully
Trying to delete any existing km_onboard.wkeydb file.

Successfully recovered keymanager secrets.

***********************************************************************************
* Select option "(1) Normal Boot." to complete recovery process.
*
* Run the "security key-manager onboard sync" command to synchronize the key database after the node reboots.
***********************************************************************************

    +

    Attenzione Non procedere se l'output visualizzato è diverso da Successfully recovered keymanager secrets . Eseguire la risoluzione dei problemi per correggere l'errore.

  6. Seleziona l'opzione 1 dal menu di avvio per continuare l'avvio in ONTAP.

    Mostra prompt di esempio 
    ***********************************************************************************
* Select option "(1) Normal Boot." to complete the recovery process.
*
***********************************************************************************


(1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
(10) Set Onboard Key Manager recovery secrets.
(11) Configure node for external key management.
Selection (1-11)? 1

  7. Verificare che la console del controller visualizzi il seguente messaggio:

    Waiting for giveback…​(Press Ctrl-C to abort wait)

    Sul controller del partner:

  8. Restituire il controller non funzionante:

    storage failover giveback -fromnode local -only-cfo-aggregates true

    Sul controller non autorizzato:

  9. Dopo aver avviato solo con l'aggregato CFO, sincronizzare il gestore delle chiavi:

    security key-manager onboard sync

  10. Quando richiesto, immettere la passphrase dell'intero cluster per Onboard Key Manager.

    Mostra prompt di esempio 
    Enter the cluster-wide passphrase for the Onboard Key Manager:

All offline encrypted volumes will be brought online and the corresponding volume encryption keys (VEKs) will be restored automatically within 10 minutes. If any offline encrypted volumes are not brought online automatically, they can be brought online manually using the "volume online -vserver <vserver> -volume <volume_name>" command.
    Nota Se la sincronizzazione ha esito positivo, viene restituito il prompt del cluster senza messaggi aggiuntivi. Se la sincronizzazione fallisce, viene visualizzato un messaggio di errore prima di tornare al prompt del cluster. Non continuare finché l'errore non sarà stato corretto e la sincronizzazione non sarà stata eseguita correttamente.

  11. Verificare che tutte le chiavi siano sincronizzate:

    security key-manager key query -restored false

    Il comando non dovrebbe restituire alcun risultato. Se vengono visualizzati dei risultati, ripetere il comando sync finché non vengono restituiti più risultati.

    Sul controller del partner:

  12. Restituire il controller non funzionante:

    storage failover giveback -fromnode local

  13. Ripristinare lo sconto automatico se è stato disattivato:

    storage failover modify -node local -auto-giveback true

  14. Se AutoSupport è attivato, ripristinare la creazione automatica dei casi:

    system node autosupport invoke -node * -type all -message MAINT=END

Gestore chiavi esterno (EKM)

Ripristinare la configurazione del gestore chiavi esterno dal menu di avvio di ONTAP.

Prima di iniziare

Raccogli i seguenti file da un altro nodo del cluster o dal tuo backup:

  • `/cfcard/kmip/servers.cfg`file o l'indirizzo e la porta del server KMIP

  • `/cfcard/kmip/certs/client.crt`file (certificato client)

  • `/cfcard/kmip/certs/client.key`file (chiave client)

  • `/cfcard/kmip/certs/CA.pem`file (certificati CA del server KMIP)

Fasi

Sul controller non autorizzato:

  1. Collegare il cavo della console al controller non funzionante.

  2. Seleziona l'opzione 11 dal menu di avvio di ONTAP .

    Mostra un esempio di menu di avvio 
    (1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
(10) Set Onboard Key Manager recovery secrets.
(11) Configure node for external key management.
Selection (1-11)? 11

  3. Quando richiesto, conferma di aver raccolto le informazioni richieste:

    Mostra prompt di esempio 
    Do you have a copy of the /cfcard/kmip/certs/client.crt file? {y/n}
Do you have a copy of the /cfcard/kmip/certs/client.key file? {y/n}
Do you have a copy of the /cfcard/kmip/certs/CA.pem file? {y/n}
Do you have a copy of the /cfcard/kmip/servers.cfg file? {y/n}

  4. Quando richiesto, immettere le informazioni sul client e sul server:

    1. Immettere il contenuto del file del certificato client (client.crt), comprese le righe BEGIN e END.

    2. Immettere il contenuto del file della chiave client (client.key), comprese le righe BEGIN e END.

    3. Immettere il contenuto del file CA(s) del server KMIP (CA.pem), comprese le righe BEGIN e END.

    4. Immettere l'indirizzo IP del server KMIP.

    5. Immettere la porta del server KMIP (premere Invio per utilizzare la porta predefinita 5696).

      Mostra esempio 
      Enter the client certificate (client.crt) file contents:
-----BEGIN CERTIFICATE-----
<certificate_value>
-----END CERTIFICATE-----

Enter the client key (client.key) file contents:
-----BEGIN RSA PRIVATE KEY-----
<key_value>
-----END RSA PRIVATE KEY-----

Enter the KMIP server CA(s) (CA.pem) file contents:
-----BEGIN CERTIFICATE-----
<certificate_value>
-----END CERTIFICATE-----

Enter the IP address for the KMIP server: 10.10.10.10
Enter the port for the KMIP server [5696]:

System is ready to utilize external key manager(s).
Trying to recover keys from key servers....
kmip_init: configuring ports
Running command '/sbin/ifconfig e0M'
..
..
kmip_init: cmd: ReleaseExtraBSDPort e0M

      Il processo di ripristino viene completato e viene visualizzato il seguente messaggio:

      Successfully recovered keymanager secrets.

    Mostra esempio 
    System is ready to utilize external key manager(s).
Trying to recover keys from key servers....
Performing initialization of OpenSSL
Successfully recovered keymanager secrets.

  5. Seleziona l'opzione 1 dal menu di avvio per continuare l'avvio in ONTAP.

    Mostra prompt di esempio 
    ***************************************************************************
* Select option "(1) Normal Boot." to complete the recovery process.
*
***************************************************************************

(1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
(10) Set Onboard Key Manager recovery secrets.
(11) Configure node for external key management.
Selection (1-11)? 1

  6. Ripristinare lo sconto automatico se è stato disattivato:

    storage failover modify -node local -auto-giveback true

  7. Se AutoSupport è attivato, ripristinare la creazione automatica dei casi:

    system node autosupport invoke -node * -type all -message MAINT=END