Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Abilita la gestione delle chiavi esterne per la crittografia basata su hardware in ONTAP 9.6 e versioni successive

Collaboratori netapp-aoife netapp-aaron-holt netapp-bhouser netapp-dbagwell netapp-ahibbard netapp-thomi netapp-aherbin
PDF

È possibile utilizzare uno o più server KMIP per proteggere le chiavi utilizzate dal cluster per accedere ai dati crittografati. È possibile collegare fino a quattro server KMIP a un nodo. Si consiglia di utilizzare almeno due server per la ridondanza e il disaster recovery.

A partire da ONTAP 9.11.1, è possibile aggiungere fino a 3 server chiavi secondari per server chiavi primario per creare un server chiavi in cluster. Per ulteriori informazioni, vedere Configurare i server di chiavi esterne in cluster.

Prima di iniziare

  • I certificati del server e del client SSL KMIP devono essere stati installati.

  • Per eseguire questa attività, è necessario essere un amministratore del cluster.

  • È necessario configurare l'ambiente MetroCluster prima di configurare un gestore di chiavi esterno.

  • In un ambiente MetroCluster, è necessario installare lo stesso certificato SSL KMIP su entrambi i cluster.

Fasi

  1. Configurare la connettività del gestore delle chiavi per il cluster:

    security key-manager external enable -vserver admin_SVM -key-servers host_name|IP_address:port,... -client-cert client_certificate -server-ca-cert server_CA_certificates

    Nota

    • Il security key-manager external enable comando sostituisce il security key-manager setup comando. È possibile eseguire security key-manager external modify il comando per modificare la configurazione della gestione esterna delle chiavi. Ulteriori informazioni su security key-manager external enable nella "Riferimento al comando ONTAP".

    • In un ambiente MetroCluster, se si sta configurando la gestione esterna delle chiavi per la SVM amministrativa, è necessario ripetere security key-manager external enable sul cluster partner.

    Il seguente comando abilita la gestione esterna delle chiavi per cluster1 con tre key server esterni. Il primo server chiavi viene specificato utilizzando il nome host e la porta, il secondo viene specificato utilizzando un indirizzo IP e la porta predefinita, mentre il terzo viene specificato utilizzando un indirizzo IPv6 e una porta:

    clusterl::> security key-manager external enable -key-servers ks1.local:15696,10.0.0.10,[fd20:8b1e:b255:814e:32bd:f35c:832c:5a09]:1234 -client-cert AdminVserverClientCert -server-ca-certs AdminVserverServerCaCert

  2. Verificare che tutti i server KMIP configurati siano connessi:

    security key-manager external show-status -node node_name -vserver SVM -key-server host_name|IP_address:port -key-server-status available|not-responding|unknown

    Nota

    Il security key-manager external show-status comando sostituisce il security key-manager show -status comando. Ulteriori informazioni su security key-manager external show-status nella "Riferimento al comando ONTAP".

    		 
    cluster1::> security key-manager external show-status

Node  Vserver  Key Server                                     Status
----  -------  ---------------------------------------        -------------
node1
      cluster1
               10.0.0.10:5696                                 available
               fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
               ks1.local:15696                                available
node2
      cluster1
               10.0.0.10:5696                                 available
               fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
               ks1.local:15696                                available

6 entries were displayed.
Informazioni correlate