手動ブートリカバリ後の暗号化キーの復元 - FAS50
変更を提案
PDF
FAS50ストレージシステムの交換用ブートメディアで暗号化を復元し、データ保護を継続してください。交換プロセスでは、キーの可用性の確認、暗号化設定の再適用、データへの安全なアクセスの確認が行われます。
キー マネージャーの種類に応じて適切な手順を実行し、システムの暗号化を復元します。システムで使用されているキー マネージャーが不明な場合は、ブート メディアの交換手順の開始時にキャプチャした設定を確認してください。
ONTAPブートメニューからオンボードキーマネージャ(OKM)設定をリストアします。
次の情報を用意してください。
-
クラスタ全体のパスフレーズを入力 "オンボード キー管理の有効化"
-
正しいパスフレーズとバックアップデータがあることを確認するには、 "オンボードキー管理のバックアップとクラスタ全体のパスフレーズを検証する方法"手順
障害のあるコントローラーの場合:
-
コンソール ケーブルを障害のあるコントローラーに接続します。
-
ONTAPブート メニューから適切なオプションを選択します。
ONTAP バージョン このオプションを選択します。 ONTAP 9.8 以降
オプション10を選択します。
ブートメニューの例を表示します。
Please choose one of the following: (1) Normal Boot. (2) Boot without /etc/rc. (3) Change password. (4) Clean configuration and initialize all disks. (5) Maintenance mode boot. (6) Update flash from backup config. (7) Install new software first. (8) Reboot node. (9) Configure Advanced Drive Partitioning. (10) Set Onboard Key Manager recovery secrets. (11) Configure node for external key management. Selection (1-11)? 10
ONTAP 9.7以前
非表示オプションを選択します
recover_onboard_keymanagerブートメニューの例を表示します。
Please choose one of the following: (1) Normal Boot. (2) Boot without /etc/rc. (3) Change password. (4) Clean configuration and initialize all disks. (5) Maintenance mode boot. (6) Update flash from backup config. (7) Install new software first. (8) Reboot node. (9) Configure Advanced Drive Partitioning. Selection (1-19)? recover_onboard_keymanager
-
プロンプトが表示されたら、回復プロセスを続行することを確認します。
プロンプトの例を表示
This option must be used only in disaster recovery procedures. Are you sure? (y or n): -
クラスタ全体のパスフレーズを2回入力します。
パスフレーズを入力している間、コンソールに入力内容が表示されません。
プロンプトの例を表示
Enter the passphrase for onboard key management:Enter the passphrase again to confirm: -
バックアップ情報を入力します。
-
ダッシュを含め、BEGIN BACKUP 行から END BACKUP 行までのコンテンツ全体を貼り付けます。
プロンプトの例を表示
Enter the backup data: --------------------------BEGIN BACKUP-------------------------- 0123456789012345678901234567890123456789012345678901234567890123 1234567890123456789012345678901234567890123456789012345678901234 2345678901234567890123456789012345678901234567890123456789012345 3456789012345678901234567890123456789012345678901234567890123456 4567890123456789012345678901234567890123456789012345678901234567 AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 0123456789012345678901234567890123456789012345678901234567890123 1234567890123456789012345678901234567890123456789012345678901234 2345678901234567890123456789012345678901234567890123456789012345 AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA ---------------------------END BACKUP---------------------------
-
入力の最後に Enter キーを 2 回押します。
回復プロセスが完了し、次のメッセージが表示されます。
Successfully recovered keymanager secrets.
プロンプトの例を表示
Trying to recover keymanager secrets.... Setting recovery material for the onboard key manager Recovery secrets set successfully Trying to delete any existing km_onboard.wkeydb file. Successfully recovered keymanager secrets. *********************************************************************************** * Select option "(1) Normal Boot." to complete recovery process. * * Run the "security key-manager onboard sync" command to synchronize the key database after the node reboots. ***********************************************************************************
+
表示された出力が以下の場合、続行しないでください。 Successfully recovered keymanager secrets。トラブルシューティングを実行してエラーを修正します。 -
-
オプションを選択 `1`ブートメニューからONTAPのブートを続行します。
プロンプトの例を表示
*********************************************************************************** * Select option "(1) Normal Boot." to complete the recovery process. * *********************************************************************************** (1) Normal Boot. (2) Boot without /etc/rc. (3) Change password. (4) Clean configuration and initialize all disks. (5) Maintenance mode boot. (6) Update flash from backup config. (7) Install new software first. (8) Reboot node. (9) Configure Advanced Drive Partitioning. (10) Set Onboard Key Manager recovery secrets. (11) Configure node for external key management. Selection (1-11)? 1
-
コントローラーのコンソールに次のメッセージが表示されていることを確認します。
Waiting for giveback…(Press Ctrl-C to abort wait)パートナーコントローラーの場合:
-
障害のあるコントローラーを返却します。
storage failover giveback -fromnode local -only-cfo-aggregates true障害のあるコントローラーの場合:
-
CFO アグリゲートのみで起動した後、キー マネージャーを同期します。
security key-manager onboard sync -
プロンプトが表示されたら、オンボード キー マネージャーのクラスター全体のパスフレーズを入力します。
プロンプトの例を表示
Enter the cluster-wide passphrase for the Onboard Key Manager: All offline encrypted volumes will be brought online and the corresponding volume encryption keys (VEKs) will be restored automatically within 10 minutes. If any offline encrypted volumes are not brought online automatically, they can be brought online manually using the "volume online -vserver <vserver> -volume <volume_name>" command.
同期が成功すると、追加のメッセージなしでクラスター プロンプトが返されます。同期が失敗した場合、クラスター プロンプトに戻る前にエラー メッセージが表示されます。エラーが修正され、同期が正常に実行されるまで続行しないでください。 -
すべてのキーが同期されていることを確認します。
security key-manager key query -restored falseコマンドは結果を返さないはずです。結果が表示された場合は、結果が返されなくなるまで同期コマンドを繰り返します。
パートナーコントローラーの場合:
-
障害のあるコントローラーを返却します。
storage failover giveback -fromnode local -
自動ギブバックを無効にした場合はリストアします。
storage failover modify -node local -auto-giveback true -
AutoSupportが有効になっている場合は、ケースの自動作成をリストアします。
system node autosupport invoke -node * -type all -message MAINT=END
ONTAPブートメニューから外部キーマネージャの設定をリストアします。
別のクラスター ノードまたはバックアップから次のファイルを収集します。
-
`/cfcard/kmip/servers.cfg`ファイルまたはKMIPサーバーのアドレスとポート
-
`/cfcard/kmip/certs/client.crt`ファイル(クライアント証明書)
-
`/cfcard/kmip/certs/client.key`ファイル(クライアントキー)
-
`/cfcard/kmip/certs/CA.pem`ファイル(KMIP サーバー CA 証明書)
障害のあるコントローラーの場合:
-
コンソール ケーブルを障害のあるコントローラーに接続します。
-
オプションを選択 `11`ONTAPブート メニューから。
ブートメニューの例を表示します。
(1) Normal Boot. (2) Boot without /etc/rc. (3) Change password. (4) Clean configuration and initialize all disks. (5) Maintenance mode boot. (6) Update flash from backup config. (7) Install new software first. (8) Reboot node. (9) Configure Advanced Drive Partitioning. (10) Set Onboard Key Manager recovery secrets. (11) Configure node for external key management. Selection (1-11)? 11
-
プロンプトが表示されたら、必要な情報を収集したことを確認します。
プロンプトの例を表示
Do you have a copy of the /cfcard/kmip/certs/client.crt file? {y/n} Do you have a copy of the /cfcard/kmip/certs/client.key file? {y/n} Do you have a copy of the /cfcard/kmip/certs/CA.pem file? {y/n} Do you have a copy of the /cfcard/kmip/servers.cfg file? {y/n} -
プロンプトが表示されたら、クライアントとサーバーの情報を入力します。
-
BEGIN 行と END 行を含むクライアント証明書 (client.crt) ファイルの内容を入力します。
-
BEGIN 行と END 行を含むクライアント キー (client.key) ファイルの内容を入力します。
-
BEGIN 行と END 行を含む KMIP サーバー CA (CA.pem) ファイルの内容を入力します。
-
KMIP サーバーの IP アドレスを入力します。
-
KMIP サーバー ポートを入力します (デフォルトのポート 5696 を使用するには Enter キーを押します)。
例を示します
Enter the client certificate (client.crt) file contents: -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE----- Enter the client key (client.key) file contents: -----BEGIN RSA PRIVATE KEY----- <key_value> -----END RSA PRIVATE KEY----- Enter the KMIP server CA(s) (CA.pem) file contents: -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE----- Enter the IP address for the KMIP server: 10.10.10.10 Enter the port for the KMIP server [5696]: System is ready to utilize external key manager(s). Trying to recover keys from key servers.... kmip_init: configuring ports Running command '/sbin/ifconfig e0M' .. .. kmip_init: cmd: ReleaseExtraBSDPort e0M
回復プロセスが完了し、次のメッセージが表示されます。
Successfully recovered keymanager secrets.
例を示します
System is ready to utilize external key manager(s). Trying to recover keys from key servers.... Performing initialization of OpenSSL Successfully recovered keymanager secrets.
-
-
オプションを選択 `1`ブートメニューからONTAPのブートを続行します。
プロンプトの例を表示
*************************************************************************** * Select option "(1) Normal Boot." to complete the recovery process. * *************************************************************************** (1) Normal Boot. (2) Boot without /etc/rc. (3) Change password. (4) Clean configuration and initialize all disks. (5) Maintenance mode boot. (6) Update flash from backup config. (7) Install new software first. (8) Reboot node. (9) Configure Advanced Drive Partitioning. (10) Set Onboard Key Manager recovery secrets. (11) Configure node for external key management. Selection (1-11)? 1
-
自動ギブバックを無効にした場合はリストアします。
storage failover modify -node local -auto-giveback true -
AutoSupportが有効になっている場合は、ケースの自動作成をリストアします。
system node autosupport invoke -node * -type all -message MAINT=END
ブートメディアで暗号化をリストアしたら、を実行する必要があり"故障した部品をNetAppに返却します。"ます。