Creare chiavi di autenticazione in ONTAP 9.6 e versioni successive
Suggerisci modifiche
PDF
È possibile utilizzare security key-manager key create Per creare le chiavi di autenticazione per un nodo e memorizzarle nei server KMIP configurati.
Se la configurazione della protezione richiede l'utilizzo di chiavi diverse per l'autenticazione dei dati e l'autenticazione FIPS 140-2, è necessario creare una chiave separata per ciascuna di esse. In caso contrario, è possibile utilizzare la stessa chiave di autenticazione per la conformità FIPS utilizzata per l'accesso ai dati.
ONTAP crea chiavi di autenticazione per tutti i nodi del cluster.
-
Questo comando non è supportato quando Onboard Key Manager è attivato. Tuttavia, quando Onboard Key Manager è attivato, vengono create automaticamente due chiavi di autenticazione. I tasti possono essere visualizzati con il seguente comando:
security key-manager key query -key-type NSE-AK
-
Viene visualizzato un avviso se i server di gestione delle chiavi configurati memorizzano già più di 128 chiavi di autenticazione.
-
È possibile utilizzare il
security key-manager key deletecomando per eliminare le chiavi non utilizzate. Ilsecurity key-manager key deletecomando fallisce se la chiave specificata è attualmente in uso da ONTAP. (Per utilizzare questo comando è necessario avere Privileges maggiore diadmin).
In un ambiente MetroCluster, prima di eliminare una chiave, è necessario assicurarsi che la chiave non sia in uso nel cluster partner. È possibile utilizzare i seguenti comandi sul cluster partner per verificare che la chiave non sia in uso:
-
storage encryption disk show -data-key-id <key-id> -
storage encryption disk show -fips-key-id <key-id>
-
Per eseguire questa attività, è necessario essere un amministratore del cluster.
-
Creare le chiavi di autenticazione per i nodi del cluster:
security key-manager key create -key-tag <passphrase_label> -prompt-for-key true|false
L'impostazione
prompt-for-key=truefa sì che il sistema richieda all'amministratore del cluster di utilizzare la passphrase durante l'autenticazione dei dischi crittografati. In caso contrario, il sistema genera automaticamente una passphrase da 32 byte. Ilsecurity key-manager key createcomando sostituisce ilsecurity key-manager create-keycomando. Ulteriori informazioni susecurity key-manager key createnella "Riferimento al comando ONTAP".Nell'esempio seguente vengono create le chiavi di autenticazione per
cluster1, che genera automaticamente una passphrase da 32 byte:cluster1::> security key-manager key create Key ID: <id_value>
-
Verificare che le chiavi di autenticazione siano state create:
security key-manager key query -node node
Il
security key-manager key querycomando sostituisce ilsecurity key-manager query keycomando.L'ID della chiave visualizzato nell'output è un identificatore utilizzato per fare riferimento alla chiave di autenticazione. Non si tratta della chiave di autenticazione effettiva o della chiave di crittografia dei dati.
Nell'esempio seguente viene verificata la creazione di chiavi di autenticazione per
cluster1:cluster1::> security key-manager key query Vserver: cluster1 Key Manager: external Node: node1 Key Tag Key Type Restored ------------------------------------ -------- -------- node1 NSE-AK yes Key ID: <id_value> node1 NSE-AK yes Key ID: <id_value> Vserver: cluster1 Key Manager: external Node: node2 Key Tag Key Type Restored ------------------------------------ -------- -------- node2 NSE-AK yes Key ID: <id_value> node2 NSE-AK yes Key ID: <id_value>Ulteriori informazioni su
security key-manager key querynella "Riferimento al comando ONTAP".