ONTAP外部キー管理暗号化キーを復元する
変更を提案
PDF
外部キー管理の暗号化キーを手動でリストアし、別のノードにプッシュすることができます。この処理は、クラスタのキーの作成時に一時的に停止していたノードを再起動する場合に実行します。
ONTAP 9.6 以降では、 `security key-manager key query -node node_name`コマンドを使用して、キーを復元する必要があるかどうかを確認できます。
ONTAP 9.5 以前では、 `security key-manager key show`コマンドを使用して、暗号化キーを復元する必要があるかどうかを確認できます。
|
Flash Cacheモジュールを搭載したシステムでNSEを使用する場合は、NVEまたはNAEも有効にする必要があります。NSEでは、Flash Cacheモジュール上のデータは暗号化されません。 |
`security key-manager key query`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-key-manager-key-query.html["ONTAPコマンド リファレンス"^]をご覧ください。
このタスクを実行するには、クラスタ管理者またはSVMの管理者である必要があります。
-
ONTAP 9.8以降を実行していてルート ボリュームが暗号化されている場合は、次の手順を実行します。
ONTAP 9.7以前を実行している場合、またはONTAP 9.8以降を実行していてルート ボリュームが暗号化されていない場合は、この手順を省略してください。
-
ブート引数を設定します:+
setenv kmip.init.ipaddr <ip-address>
setenv kmip.init.netmask <netmask>
setenv kmip.init.gateway <gateway>
setenv kmip.init.interface e0M
boot_ontap -
ノードをブートメニューにブートし、オプション `(11) Configure node for external key management`を選択します。
-
プロンプトに従って管理証明書を入力します。
管理証明書の情報をすべて入力すると、システムがブート メニューに戻ります。
-
ブートメニューからオプション `(1) Normal Boot`を選択します。
-
-
キーをリストアします。
ONTAPバージョン
使用するコマンド
ONTAP 9.6以降
`security key-manager external restore -vserver SVM -node node -key-server host_name
IP_address:port -key-id key_id -key-tag key_tag`
ONTAP 9.5以前
`node`デフォルトではすべてのノードが対象になります。
このコマンドは、オンボード キー管理が有効な場合はサポートされません。
次のONTAP 9.6コマンドは、外部キー管理認証キーを `cluster1`のすべてのノードに復元します:
clusterl::> security key-manager external restore