Attivazione della gestione esterna delle chiavi in ONTAP 9.5 e versioni precedenti (basata su HW)
È possibile utilizzare uno o più server KMIP per proteggere le chiavi utilizzate dal cluster per accedere ai dati crittografati. È possibile collegare fino a quattro server KMIP a un nodo. Si consiglia di utilizzare almeno due server per la ridondanza e il disaster recovery.
ONTAP configura la connettività del server KMIP per tutti i nodi del cluster.
-
I certificati del server e del client SSL KMIP devono essere stati installati.
-
Per eseguire questa attività, è necessario essere un amministratore del cluster.
-
È necessario configurare l'ambiente MetroCluster prima di configurare un gestore di chiavi esterno.
-
In un ambiente MetroCluster, è necessario installare lo stesso certificato SSL KMIP su entrambi i cluster.
-
Configurare la connettività del gestore delle chiavi per i nodi del cluster:
security key-manager setup
Viene avviata la configurazione di Key Manager.
In un ambiente MetroCluster, è necessario eseguire questo comando su entrambi i cluster. -
Immettere la risposta appropriata a ogni richiesta.
-
Aggiunta di un server KMIP:
security key-manager add -address key_management_server_ipaddress
clusterl::> security key-manager add -address 20.1.1.1
In un ambiente MetroCluster, è necessario eseguire questo comando su entrambi i cluster. -
Aggiungere un server KMIP aggiuntivo per la ridondanza:
security key-manager add -address key_management_server_ipaddress
clusterl::> security key-manager add -address 20.1.1.2
In un ambiente MetroCluster, è necessario eseguire questo comando su entrambi i cluster. -
Verificare che tutti i server KMIP configurati siano connessi:
security key-manager show -status
Per la sintassi completa dei comandi, vedere la pagina man.
cluster1::> security key-manager show -status Node Port Registered Key Manager Status -------------- ---- ---------------------- --------------- cluster1-01 5696 20.1.1.1 available cluster1-01 5696 20.1.1.2 available cluster1-02 5696 20.1.1.1 available cluster1-02 5696 20.1.1.2 available
-
Facoltativamente, convertire volumi di testo normale in volumi crittografati.
volume encryption conversion start
Prima di convertire i volumi, è necessario configurare completamente un gestore di chiavi esterno. In un ambiente MetroCluster, è necessario configurare un gestore di chiavi esterno su entrambi i siti.