Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Controllare le chiavi di crittografia integrate - AFF C800

Collaboratori

Prima di spegnere il controller compromesso e controllare lo stato delle chiavi di crittografia integrate, è necessario controllare lo stato del controller compromesso, disattivare il giveback automatico e verificare quale versione di ONTAP è in esecuzione sul sistema.

Se si dispone di un cluster con più di due nodi, questo deve trovarsi in quorum. Se il cluster non si trova in quorum o un controller integro mostra false per idoneità e salute, è necessario correggere il problema prima di spegnere il controller compromesso; vedere "Sincronizzare un nodo con il cluster".

Fasi
  1. Controllare lo stato del controller compromesso:

    • Se il controller non utilizzato viene visualizzato al prompt di login, accedere come admin.

    • Se il controller compromesso è al prompt DEL CARICATORE e fa parte della configurazione ha, accedere come admin sul controller integro.

    • Se il controller compromesso si trova in una configurazione standalone e al prompt DEL CARICATORE, contattare "mysupport.netapp.com".

  2. Se AutoSupport è attivato, eliminare la creazione automatica del caso richiamando un messaggio AutoSupport: system node autosupport invoke -node * -type all -message MAINT=number_of_hours_downh

    Il seguente messaggio AutoSupport elimina la creazione automatica del caso per due ore: cluster1:*> system node autosupport invoke -node * -type all -message MAINT=2h

  3. Verificare la versione di ONTAP in esecuzione sul controller compromesso se attivato o sul controller partner se il controller non funzionante è attivo, utilizzando version -v comando:

  4. Se il controller compromesso fa parte di una configurazione ha, disattivare il giveback automatico dal controller integro: storage failover modify -node local -auto-giveback false oppure storage failover modify -node local -auto-giveback-after-panic false

Opzione 1: Selezionare NVE o NSE nei sistemi che eseguono ONTAP 9.5 e versioni precedenti

Prima di spegnere il controller compromesso, è necessario verificare se il sistema ha abilitato NetApp Volume Encryption (NVE) o NetApp Storage Encryption (NSE). In tal caso, è necessario verificare la configurazione.

Fasi
  1. Collegare il cavo della console al controller compromesso.

  2. Controllare se NVE è configurato per qualsiasi volume nel cluster: volume show -is-encrypted true

    Se nell'output sono elencati volumi, NVE viene configurato ed è necessario verificare la configurazione di NVE. Se nell'elenco non sono presenti volumi, verificare che NSE sia configurato.

  3. Verificare se NSE è configurato: storage encryption disk show

    • Se l'output del comando elenca i dettagli del disco con le informazioni di modalità e ID chiave, NSE è configurato ed è necessario verificare la configurazione NSE.

    • Se NVE e NSE non sono configurati, è possibile spegnere il controller compromesso.

Verificare la configurazione NVE

Fasi
  1. Visualizzare gli ID delle chiavi di autenticazione memorizzati nei server di gestione delle chiavi: security key-manager query

    • Se il Restored viene visualizzata la colonna yes vengono visualizzati tutti i principali manager available, è sicuro spegnere il controller compromesso.

    • Se il Restored la colonna visualizza un valore diverso da yes, o se viene visualizzato un gestore di chiavi unavailable, è necessario completare alcuni passaggi aggiuntivi.

    • Se viene visualizzato il messaggio questo comando non è supportato quando è attivata la gestione delle chiavi integrate, è necessario completare altri passaggi.

  2. Se il Restored la colonna visualizzata non è diversa da yes, o se viene visualizzato un gestore di chiavi unavailable:

    1. Recuperare e ripristinare tutte le chiavi di autenticazione e gli ID chiave associati: security key-manager restore -address *

      Se il comando non riesce, contattare il supporto NetApp.

    1. Verificare che il Restored viene visualizzata la colonna yes per tutte le chiavi di autenticazione e visualizzate da tutti i gestori delle chiavi available: security key-manager query

    2. Spegnere il controller compromesso.

  3. Se viene visualizzato il messaggio questo comando non è supportato quando è attivata la gestione delle chiavi integrate, visualizzare i tasti memorizzati nel gestore delle chiavi integrato: security key-manager key show -detail

    1. Se il Restored viene visualizzata la colonna yes eseguire manualmente il backup delle informazioni di gestione delle chiavi integrate:

      • Accedere alla modalità avanzata dei privilegi e digitare y quando viene richiesto di continuare: set -priv advanced

      • Immettere il comando per visualizzare le informazioni di backup OKM: security key-manager backup show

      • Copiare il contenuto delle informazioni di backup in un file separato o nel file di log. Sarà necessario in situazioni di emergenza in cui potrebbe essere necessario ripristinare manualmente OKM.

      • Tornare alla modalità admin: set -priv admin

      • Spegnere il controller compromesso.

    2. Se il Restored la colonna visualizza un valore diverso da yes:

      • Eseguire la procedura guidata di configurazione del gestore delle chiavi: security key-manager setup -node target/impaired node name

        Nota Inserire la passphrase di gestione della chiave integrata del cliente al prompt. Se non è possibile fornire la passphrase, contattare "mysupport.netapp.com"
      • Verificare che il Restored viene visualizzata la colonna yes per tutte le chiavi di autenticazione: security key-manager key show -detail

      • Accedere alla modalità avanzata dei privilegi e digitare y quando viene richiesto di continuare: set -priv advanced

      • Immettere il comando per visualizzare le informazioni di backup OKM: security key-manager backup show

      • Copiare il contenuto delle informazioni di backup in un file separato o nel file di log. Sarà necessario in situazioni di emergenza in cui potrebbe essere necessario ripristinare manualmente OKM.

      • Tornare alla modalità admin: set -priv admin

      • È possibile arrestare il controller in modo sicuro.

Verificare la configurazione NSE

Fasi
  1. Visualizzare gli ID delle chiavi di autenticazione memorizzati nei server di gestione delle chiavi: security key-manager query

    • Se il Restored viene visualizzata la colonna yes vengono visualizzati tutti i principali manager available, è sicuro spegnere il controller compromesso.

    • Se il Restored la colonna visualizza un valore diverso da yes, o se viene visualizzato un gestore di chiavi unavailable, è necessario completare alcuni passaggi aggiuntivi.

    • Se viene visualizzato il messaggio questo comando non è supportato quando è attivata la gestione delle chiavi integrate, è necessario completare altri passaggi

  2. Se il Restored la colonna visualizzata non è diversa da yes, o se viene visualizzato un gestore di chiavi unavailable:

    1. Recuperare e ripristinare tutte le chiavi di autenticazione e gli ID chiave associati: security key-manager restore -address *

      Se il comando non riesce, contattare il supporto NetApp.

    1. Verificare che il Restored viene visualizzata la colonna yes per tutte le chiavi di autenticazione e visualizzate da tutti i gestori delle chiavi available: security key-manager query

    2. Spegnere il controller compromesso.

  3. Se viene visualizzato il messaggio questo comando non è supportato quando è attivata la gestione delle chiavi integrate, visualizzare i tasti memorizzati nel gestore delle chiavi integrato: security key-manager key show -detail

    1. Se il Restored viene visualizzata la colonna yes, eseguire manualmente il backup delle informazioni di gestione delle chiavi integrate:

      • Accedere alla modalità avanzata dei privilegi e digitare y quando viene richiesto di continuare: set -priv advanced

      • Immettere il comando per visualizzare le informazioni di backup OKM: security key-manager backup show

      • Copiare il contenuto delle informazioni di backup in un file separato o nel file di log. Sarà necessario in situazioni di emergenza in cui potrebbe essere necessario ripristinare manualmente OKM.

      • Tornare alla modalità admin: set -priv admin

      • Spegnere il controller compromesso.

    2. Se il Restored la colonna visualizza un valore diverso da yes:

      • Eseguire la procedura guidata di configurazione del gestore delle chiavi: security key-manager setup -node target/impaired node name

        Nota Inserire la passphrase OKM del cliente quando richiesto. Se non è possibile fornire la passphrase, contattare "mysupport.netapp.com"
      • Verificare che il Restored viene visualizzata la colonna yes per tutte le chiavi di autenticazione: security key-manager key show -detail

      • Accedere alla modalità avanzata dei privilegi e digitare y quando viene richiesto di continuare: set -priv advanced

      • Immettere il comando per eseguire il backup delle informazioni OKM: security key-manager backup show

        Nota Assicurarsi che le informazioni OKM siano salvate nel file di log. Queste informazioni saranno necessarie in situazioni di emergenza in cui potrebbe essere necessario ripristinare manualmente OKM.
      • Copiare il contenuto delle informazioni di backup in un file separato o nel registro. Sarà necessario in situazioni di emergenza in cui potrebbe essere necessario ripristinare manualmente OKM.

      • Tornare alla modalità admin: set -priv admin

      • È possibile spegnere il controller in modo sicuro.

Opzione 2: Selezionare NVE o NSE nei sistemi che eseguono ONTAP 9.6 e versioni successive

Prima di spegnere il controller compromesso, è necessario verificare se il sistema ha abilitato NetApp Volume Encryption (NVE) o NetApp Storage Encryption (NSE). In tal caso, è necessario verificare la configurazione.

  1. Verificare se NVE è in uso per qualsiasi volume nel cluster: volume show -is-encrypted true

    Se nell'output sono elencati volumi, NVE viene configurato ed è necessario verificare la configurazione di NVE. Se nell'elenco non sono presenti volumi, verificare che NSE sia configurato e in uso.

  2. Verificare se NSE è configurato e in uso: storage encryption disk show

    • Se l'output del comando elenca i dettagli del disco con le informazioni di modalità e ID chiave, NSE è configurato ed è necessario verificare la configurazione NSE e in uso.

    • Se non viene visualizzato alcun disco, NSE non è configurato.

    • Se NVE e NSE non sono configurati, nessun disco è protetto con chiavi NSE, è sicuro spegnere il controller compromesso.

Verificare la configurazione NVE

  1. Visualizzare gli ID delle chiavi di autenticazione memorizzati nei server di gestione delle chiavi: security key-manager key query

    Nota Dopo la release di ONTAP 9.6, potrebbero essere disponibili altri tipi di gestore delle chiavi. I tipi sono KMIP, AKV, e. GCP. La procedura per la conferma di questi tipi è la stessa di quella per la conferma external oppure onboard tipi di gestore delle chiavi.
    • Se il Key Manager display dei tipi external e a. Restored viene visualizzata la colonna yes, è sicuro spegnere il controller compromesso.

    • Se il Key Manager display dei tipi onboard e a. Restored viene visualizzata la colonna yes, è necessario completare alcuni passaggi aggiuntivi.

    • Se il Key Manager display dei tipi external e a. Restored la colonna visualizza un valore diverso da yes, è necessario completare alcuni passaggi aggiuntivi.

    • Se il Key Manager display dei tipi onboard e a. Restored la colonna visualizza un valore diverso da yes, è necessario completare alcuni passaggi aggiuntivi.

  2. Se il Key Manager display dei tipi onboard e a. Restored viene visualizzata la colonna yes, Eseguire manualmente il backup delle informazioni OKM:

    1. Accedere alla modalità avanzata dei privilegi e digitare y quando viene richiesto di continuare: set -priv advanced

    2. Immettere il comando per visualizzare le informazioni di gestione delle chiavi: security key-manager onboard show-backup

    3. Copiare il contenuto delle informazioni di backup in un file separato o nel file di log. Sarà necessario in situazioni di emergenza in cui potrebbe essere necessario ripristinare manualmente OKM.

    4. Tornare alla modalità admin: set -priv admin

    5. Spegnere il controller compromesso.

  3. Se il Key Manager display dei tipi external e a. Restored la colonna visualizza un valore diverso da yes:

    1. Ripristinare le chiavi di autenticazione per la gestione delle chiavi esterne in tutti i nodi del cluster: security key-manager external restore

      Se il comando non riesce, contattare il supporto NetApp.

    1. Verificare che il Restored colonna uguale a. yes per tutte le chiavi di autenticazione: security key-manager key query

    2. Spegnere il controller compromesso.

  4. Se il Key Manager display dei tipi onboard e a. Restored la colonna visualizza un valore diverso da yes:

    1. Immettere il comando di sincronizzazione del gestore delle chiavi di sicurezza integrato: security key-manager onboard sync

      Nota Immettere la passphrase di gestione della chiave alfanumerica integrata a 32 caratteri del cliente al prompt. Se non è possibile fornire la passphrase, contattare il supporto NetApp. "mysupport.netapp.com"
    2. Verificare Restored viene visualizzata la colonna yes per tutte le chiavi di autenticazione: security key-manager key query

    3. Verificare che il Key Manager viene visualizzato il tipo onboard, Quindi eseguire manualmente il backup delle informazioni OKM.

    4. Accedere alla modalità avanzata dei privilegi e digitare y quando viene richiesto di continuare: set -priv advanced

    5. Immettere il comando per visualizzare le informazioni di backup per la gestione delle chiavi: security key-manager onboard show-backup

    6. Copiare il contenuto delle informazioni di backup in un file separato o nel file di log. Sarà necessario in situazioni di emergenza in cui potrebbe essere necessario ripristinare manualmente OKM.

    7. Tornare alla modalità admin: set -priv admin

    8. È possibile spegnere il controller in modo sicuro.

Verificare la configurazione NSE

  1. Visualizzare gli ID delle chiavi di autenticazione memorizzati nei server di gestione delle chiavi: security key-manager key query -key-type NSE-AK

    Nota Dopo la release di ONTAP 9.6, potrebbero essere disponibili altri tipi di gestore delle chiavi. I tipi sono KMIP, AKV, e. GCP. La procedura per la conferma di questi tipi è la stessa di quella per la conferma external oppure onboard tipi di gestore delle chiavi.
    • Se il Key Manager display dei tipi external e a. Restored viene visualizzata la colonna yes, è sicuro spegnere il controller compromesso.

    • Se il Key Manager display dei tipi onboard e a. Restored viene visualizzata la colonna yes, è necessario completare alcuni passaggi aggiuntivi.

    • Se il Key Manager display dei tipi external e a. Restored la colonna visualizza un valore diverso da yes, è necessario completare alcuni passaggi aggiuntivi.

    • Se il Key Manager display dei tipi external e a. Restored la colonna visualizza un valore diverso da yes, è necessario completare alcuni passaggi aggiuntivi.

  2. Se il Key Manager display dei tipi onboard e a. Restored viene visualizzata la colonna yes, Eseguire manualmente il backup delle informazioni OKM:

    1. Accedere alla modalità avanzata dei privilegi e digitare y quando viene richiesto di continuare: set -priv advanced

    2. Immettere il comando per visualizzare le informazioni di gestione delle chiavi: security key-manager onboard show-backup

    3. Copiare il contenuto delle informazioni di backup in un file separato o nel file di log. Sarà necessario in situazioni di emergenza in cui potrebbe essere necessario ripristinare manualmente OKM.

    4. Tornare alla modalità admin: set -priv admin

    5. È possibile spegnere il controller in modo sicuro.

  3. Se il Key Manager display dei tipi external e a. Restored la colonna visualizza un valore diverso da yes:

    1. Ripristinare le chiavi di autenticazione per la gestione delle chiavi esterne in tutti i nodi del cluster: security key-manager external restore

      Se il comando non riesce, contattare il supporto NetApp.

    1. Verificare che il Restored colonna uguale a. yes per tutte le chiavi di autenticazione: security key-manager key query

    2. È possibile spegnere il controller in modo sicuro.

  4. Se il Key Manager display dei tipi onboard e a. Restored la colonna visualizza un valore diverso da yes:

    1. Immettere il comando di sincronizzazione del gestore delle chiavi di sicurezza integrato: security key-manager onboard sync

      Immettere la passphrase di gestione della chiave alfanumerica integrata a 32 caratteri del cliente al prompt. Se non è possibile fornire la passphrase, contattare il supporto NetApp.

    1. Verificare Restored viene visualizzata la colonna yes per tutte le chiavi di autenticazione: security key-manager key query

    2. Verificare che il Key Manager viene visualizzato il tipo onboard, Quindi eseguire manualmente il backup delle informazioni OKM.

    3. Accedere alla modalità avanzata dei privilegi e digitare y quando viene richiesto di continuare: set -priv advanced

    4. Immettere il comando per visualizzare le informazioni di backup per la gestione delle chiavi: security key-manager onboard show-backup

    5. Copiare il contenuto delle informazioni di backup in un file separato o nel file di log. Sarà necessario in situazioni di emergenza in cui potrebbe essere necessario ripristinare manualmente OKM.

    6. Tornare alla modalità admin: set -priv admin

    7. È possibile spegnere il controller in modo sicuro.