Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP 9.6以降でハードウェアベースの暗号化の外部キー管理を有効にする

共同作成者 netapp-aoife netapp-aaron-holt netapp-barbe netapp-bhouser netapp-dbagwell netapp-ahibbard netapp-thomi netapp-aherbin
PDF

1つ以上のKMIPサーバを使用して、暗号化されたデータにアクセスする際にクラスタで使用するキーを安全に保管できます。1つのノードに最大4つのKMIPサーバを接続できます。冗長性とディザスタ リカバリのために少なくとも2つのサーバを使用することを推奨します。

ONTAP 9.11.1以降では、プライマリキーサーバごとに最大3台のセカンダリキーサーバを追加して、クラスタ化されたキーサーバを作成できます。詳細については、クラスタ化された外部キー サーバの設定を参照してください。

開始する前に

  • KMIP SSLクライアント証明書とサーバ証明書をインストールしておく必要があります。

  • このタスクを実行するには、クラスタ管理者である必要があります。

  • MetroCluster環境内:

    • 外部キー管理ツールを設定する前に、MetroCluster環境を設定する必要があります。

    • 両方のクラスタに同じ KMIP SSL 証明書をインストールする必要があります。

手順

  1. クラスタのキー管理ツールの接続を設定します。

    security key-manager external enable -vserver admin_SVM -key-servers host_name|IP_address:port,... -client-cert client_certificate -server-ca-cert server_CA_certificates

    メモ

    • `security key-manager external enable`コマンドは `security key-manager setup`コマンドを置き換えます。 `security key-manager external modify`コマンドを実行すると、外部キー管理の設定を変更できます。"ONTAPコマンド リファレンス"で `security key-manager external enable`の詳細をご覧ください。

    • MetroCluster環境で、管理SVMの外部キー管理を構成する場合は、パートナークラスタで `security key-manager external enable`コマンドを繰り返す必要があります。

    次のコマンドは、 `cluster1`の外部キー管理を3つの外部キーサーバで有効にします。最初のキーサーバはホスト名とポートを使用して指定され、2番目はIPアドレスとデフォルトポートを使用して指定され、3番目はIPv6アドレスとポートを使用して指定されます:

    clusterl::> security key-manager external enable -key-servers ks1.local:15696,10.0.0.10,[fd20:8b1e:b255:814e:32bd:f35c:832c:5a09]:1234 -client-cert AdminVserverClientCert -server-ca-certs AdminVserverServerCaCert

  2. 設定したすべてのKMIPサーバが接続されていることを確認します。

    security key-manager external show-status -node node_name -vserver SVM -key-server host_name|IP_address:port -key-server-status available|not-responding|unknown

    メモ 
    `security key-manager external show-status`コマンドは `security key-manager show -status`コマンドを置き換えます。link:https://docs.netapp.com/us-en/ontap-cli/security-key-manager-external-show-status.html["ONTAPコマンド リファレンス"^]の `security key-manager external show-status`の詳細を参照してください。
    		 
    cluster1::> security key-manager external show-status

Node  Vserver  Key Server                                     Status
----  -------  ---------------------------------------        -------------
node1
      cluster1
               10.0.0.10:5696                                 available
               fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
               ks1.local:15696                                available
node2
      cluster1
               10.0.0.10:5696                                 available
               fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
               ks1.local:15696                                available

6 entries were displayed.
関連情報