Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

リストア暗号化- ASA A900

共同作成者

交換用ブートメディアで暗号化をリストアします。

オンボードキーマネージャ(OKM)、NetApp Storage Encryption(NSE)、またはNetApp Volume Encryption(NVE)が有効になっているシステムに固有の手順を、ブートメディアの交換手順の最初にキャプチャした設定を使用して実行する必要があります。

システムで設定されているキー管理ツールに応じて、次のいずれかのオプションを選択してブートメニューからキー管理ツールを復元します。

オプション1:オンボードキーマネージャの設定をリストアする

ONTAPブートメニューからオンボードキーマネージャ(OKM)設定をリストアします。

作業を開始する前に
手順
  1. コンソールケーブルをターゲットコントローラに接続します。

  2. ONTAPのブートメニューで、ブートメニューから該当するオプションを選択します。

    ONTAP バージョン このオプションを選択します。

    ONTAP 9.8 以降

    オプション10を選択します。

    ブートメニューの例を表示します。
    Please choose one of the following:
    
    (1)  Normal Boot.
    (2)  Boot without /etc/rc.
    (3)  Change password.
    (4)  Clean configuration and initialize all disks.
    (5)  Maintenance mode boot.
    (6)  Update flash from backup config.
    (7)  Install new software first.
    (8)  Reboot node.
    (9)  Configure Advanced Drive Partitioning.
    (10) Set Onboard Key Manager recovery secrets.
    (11) Configure node for external key management.
    Selection (1-11)? 10

    ONTAP 9.7以前

    非表示オプションを選択します recover_onboard_keymanager

    ブートメニューの例を表示します。
    Please choose one of the following:
    
    (1)  Normal Boot.
    (2)  Boot without /etc/rc.
    (3)  Change password.
    (4)  Clean configuration and initialize all disks.
    (5)  Maintenance mode boot.
    (6)  Update flash from backup config.
    (7)  Install new software first.
    (8)  Reboot node.
    (9)  Configure Advanced Drive Partitioning.
    Selection (1-19)? recover_onboard_keymanager
  3. リカバリプロセスを続行することを確認します。

    プロンプトの例を表示

    This option must be used only in disaster recovery procedures. Are you sure? (y or n):

  4. クラスタ全体のパスフレーズを2回入力します。

    パスフレーズの入力中、コンソールに入力内容は表示されません。

    プロンプトの例を表示

    Enter the passphrase for onboard key management:

    Enter the passphrase again to confirm:

  5. バックアップ情報を入力します。

    1. BEGIN BACKUP行からEND BACKUP行まで、すべての内容を貼り付けます。

      プロンプトの例を表示
      Enter the backup data:
      
      --------------------------BEGIN BACKUP--------------------------
      0123456789012345678901234567890123456789012345678901234567890123
      1234567890123456789012345678901234567890123456789012345678901234
      2345678901234567890123456789012345678901234567890123456789012345
      3456789012345678901234567890123456789012345678901234567890123456
      4567890123456789012345678901234567890123456789012345678901234567
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      0123456789012345678901234567890123456789012345678901234567890123
      1234567890123456789012345678901234567890123456789012345678901234
      2345678901234567890123456789012345678901234567890123456789012345
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      
      ---------------------------END BACKUP---------------------------
    2. 入力の最後にあるENTERキーを2回押します。

      リカバリプロセスが完了します。

      プロンプトの例を表示
      Trying to recover keymanager secrets....
      Setting recovery material for the onboard key manager
      Recovery secrets set successfully
      Trying to delete any existing km_onboard.wkeydb file.
      
      Successfully recovered keymanager secrets.
      
      ***********************************************************************************
      * Select option "(1) Normal Boot." to complete recovery process.
      *
      * Run the "security key-manager onboard sync" command to synchronize the key database after the node reboots.
      ***********************************************************************************
    警告 表示された出力が以外の場合は、先に進まない `Successfully recovered keymanager secrets`でください。トラブルシューティングを実行してエラーを修正します。
  6. ブートメニューからオプション1を選択して、ONTAPのブートを続行します。

    プロンプトの例を表示
    ***********************************************************************************
    * Select option "(1) Normal Boot." to complete the recovery process.
    *
    ***********************************************************************************
    
    
    (1)  Normal Boot.
    (2)  Boot without /etc/rc.
    (3)  Change password.
    (4)  Clean configuration and initialize all disks.
    (5)  Maintenance mode boot.
    (6)  Update flash from backup config.
    (7)  Install new software first.
    (8)  Reboot node.
    (9)  Configure Advanced Drive Partitioning.
    (10) Set Onboard Key Manager recovery secrets.
    (11) Configure node for external key management.
    Selection (1-11)? 1
  7. コントローラのコンソールに次のメッセージが表示されていることを確認します。

    Waiting for giveback…​(Press Ctrl-C to abort wait)

  8. パートナーノードから次のコマンドを入力して、パートナーコントローラをギブバックします。

    `storage failover giveback -fromnode local -only-cfo-aggregates true`です。

  9. CFOアグリゲートのみでブートしたら、次のコマンドを実行します。

    security key-manager onboard sync

  10. オンボードキーマネージャのクラスタ全体のパスフレーズを入力します。

    プロンプトの例を表示
    Enter the cluster-wide passphrase for the Onboard Key Manager:
    
    All offline encrypted volumes will be brought online and the corresponding volume encryption keys (VEKs) will be restored automatically within 10 minutes. If any offline encrypted volumes are not brought online automatically, they can be brought online manually using the "volume online -vserver <vserver> -volume <volume_name>" command.
    メモ 同期に成功すると、追加のメッセージは表示されずにクラスタプロンプトが返されます。同期に失敗すると、クラスタプロンプトに戻る前にエラーメッセージが表示されます。エラーが修正されて同期が正常に実行されるまで、続行しないでください。
  11. 次のコマンドを入力して、すべてのキーが同期されていることを確認します。

    `security key-manager key query -restored false`です。

    There are no entries matching your query.

    メモ restoredパラメータでfalseをフィルタする場合、結果は表示されません。
  12. 次のコマンドを入力して、パートナーからノードをギブバックします。

    storage failover giveback -fromnode local

  13. 自動ギブバックを無効にした場合は、次のコマンドを入力してリストアします。

    storage failover modify -node local -auto-giveback true

  14. AutoSupportが有効になっている場合は、次のコマンドを入力してケースの自動作成をリストアします。

    system node autosupport invoke -node * -type all -message MAINT=END

オプション2:外部キーマネージャの設定をリストアする

ONTAPブートメニューから外部キーマネージャの設定をリストアします。

作業を開始する前に

外部キーマネージャ(EKM)設定をリストアするには、次の情報が必要です。

  • 別のクラスタノードの/cfcard/kmip/servers.cfgファイルのコピー、または次の情報。

    • KMIPサーバのアドレス。

    • KMIPポート。

  • 別のクラスタノードのファイルのコピー `/cfcard/kmip/certs/client.crt`またはクライアント証明書。

  • 別のクラスタノードまたはクライアントキーからのファイルのコピー /cfcard/kmip/certs/client.key

  • 別のクラスタノードまたはKMIPサーバCAのファイルのコピー /cfcard/kmip/certs/CA.pem

手順
  1. コンソールケーブルをターゲットコントローラに接続します。

  2. ONTAPのブートメニューからオプション11を選択します。

    ブートメニューの例を表示します。
    (1)  Normal Boot.
    (2)  Boot without /etc/rc.
    (3)  Change password.
    (4)  Clean configuration and initialize all disks.
    (5)  Maintenance mode boot.
    (6)  Update flash from backup config.
    (7)  Install new software first.
    (8)  Reboot node.
    (9)  Configure Advanced Drive Partitioning.
    (10) Set Onboard Key Manager recovery secrets.
    (11) Configure node for external key management.
    Selection (1-11)? 11
  3. プロンプトが表示されたら、必要な情報を収集したことを確認します。

    プロンプトの例を表示
    Do you have a copy of the /cfcard/kmip/certs/client.crt file? {y/n}
    Do you have a copy of the /cfcard/kmip/certs/client.key file? {y/n}
    Do you have a copy of the /cfcard/kmip/certs/CA.pem file? {y/n}
    Do you have a copy of the /cfcard/kmip/servers.cfg file? {y/n}
  4. プロンプトが表示されたら、クライアントとサーバの情報を入力します。

    プロンプトを表示
    Enter the client certificate (client.crt) file contents:
    Enter the client key (client.key) file contents:
    Enter the KMIP server CA(s) (CA.pem) file contents:
    Enter the server configuration (servers.cfg) file contents:
    例を示します
    Enter the client certificate (client.crt) file contents:
    -----BEGIN CERTIFICATE-----
    MIIDvjCCAqagAwIBAgICN3gwDQYJKoZIhvcNAQELBQAwgY8xCzAJBgNVBAYTAlVT
    MRMwEQYDVQQIEwpDYWxpZm9ybmlhMQwwCgYDVQQHEwNTVkwxDzANBgNVBAoTBk5l
    MSUbQusvzAFs8G3P54GG32iIRvaCFnj2gQpCxciLJ0qB2foiBGx5XVQ/Mtk+rlap
    Pk4ECW/wqSOUXDYtJs1+RB+w0+SHx8mzxpbz3mXF/X/1PC3YOzVNCq5eieek62si
    Fp8=
    -----END CERTIFICATE-----
    
    Enter the client key (client.key) file contents:
    -----BEGIN RSA PRIVATE KEY-----
    <key_value>
    -----END RSA PRIVATE KEY-----
    
    Enter the KMIP server CA(s) (CA.pem) file contents:
    -----BEGIN CERTIFICATE-----
    MIIEizCCA3OgAwIBAgIBADANBgkqhkiG9w0BAQsFADCBjzELMAkGA1UEBhMCVVMx
    7yaumMQETNrpMfP+nQMd34y4AmseWYGM6qG0z37BRnYU0Wf2qDL61cQ3/jkm7Y94
    EQBKG1NY8dVyjphmYZv+
    -----END CERTIFICATE-----
    
    Enter the IP address for the KMIP server: 10.10.10.10
    Enter the port for the KMIP server [5696]:
    
    System is ready to utilize external key manager(s).
    Trying to recover keys from key servers....
    kmip_init: configuring ports
    Running command '/sbin/ifconfig e0M'
    ..
    ..
    kmip_init: cmd: ReleaseExtraBSDPort e0M

    クライアントとサーバの情報を入力すると、リカバリプロセスが完了します。

    例を示します
    System is ready to utilize external key manager(s).
    Trying to recover keys from key servers....
    [Aug 29 21:06:28]: 0x808806100: 0: DEBUG: kmip2::main: [initOpenssl]:460: Performing initialization of OpenSSL
    Successfully recovered keymanager secrets.
  5. ブートメニューからオプション1を選択して、ONTAPのブートを続行します。

    プロンプトの例を表示
    ***********************************************************************************
    * Select option "(1) Normal Boot." to complete the recovery process.
    *
    ***********************************************************************************
    
    
    (1)  Normal Boot.
    (2)  Boot without /etc/rc.
    (3)  Change password.
    (4)  Clean configuration and initialize all disks.
    (5)  Maintenance mode boot.
    (6)  Update flash from backup config.
    (7)  Install new software first.
    (8)  Reboot node.
    (9)  Configure Advanced Drive Partitioning.
    (10) Set Onboard Key Manager recovery secrets.
    (11) Configure node for external key management.
    Selection (1-11)? 1
  6. 自動ギブバックを無効にした場合は、次のコマンドを入力してリストアします。

    storage failover modify -node local -auto-giveback true

  7. AutoSupportが有効になっている場合は、次のコマンドを入力してケースの自動作成をリストアします。

    system node autosupport invoke -node * -type all -message MAINT=END