オンボードキー管理暗号化キーのリストア
変更を提案
PDF
オンボードキー管理の暗号化キーをリストアする手順は、ONTAPのバージョンによって異なります。
-
NSEで外部キー管理(KMIP)サーバを使用する場合は、外部キー管理ツールのデータベースを削除しておく必要があります。詳細については、を参照してください。 "外部キー管理からオンボードキー管理への移行"
-
このタスクを実行するには、クラスタ管理者である必要があります。
|
Flash Cacheモジュールを搭載したシステムでNSEを使用する場合は、NVEまたはNAEも有効にする必要があります。NSEでは、Flash Cacheモジュール上のデータは暗号化されません。 |
ONTAP 9.6以降
|
ONTAP 9.8以降を実行していてルートボリュームが暗号化されている場合は、の手順を実行します [ontap-9-8]。 |
-
キーをリストアする必要があることを確認します。+
security key-manager key query -node node -
キーをリストアします。+
security key-manager onboard syncコマンド構文全体については、マニュアルページを参照してください。
次のONTAP 9 .6コマンドは、オンボードキー階層のキーを同期します。
cluster1::> security key-manager onboard sync Enter the cluster-wide passphrase for onboard key management in Vserver "cluster1":: <32..256 ASCII characters long text>
-
パスフレーズのプロンプトで、クラスタのオンボードキー管理のパスフレーズを入力します。
ルートボリュームを暗号化したONTAP 9.8以降
ONTAP 9 .8以降を実行しており、ルートボリュームが暗号化されている場合は、ブートメニューでオンボードキー管理のリカバリパスフレーズを設定する必要があります。このプロセスは、ブートメディアを交換する場合にも必要です。
-
ノードをブートメニューでブートし、オプションを選択します
(10) Set onboard key management recovery secrets。 -
と入力して、 `y`このオプションを使用します。
-
プロンプトで、クラスタのオンボードキー管理のパスフレーズを入力します。
-
プロンプトで、バックアップキーのデータを入力します。
ノードがブートメニューに戻ります。
-
ブートメニューからオプションを選択します
(1) Normal Boot。
ONTAP 9.5以前
-
キーをリストアする必要があることを確認します。+
security key-manager key show -
ONTAP 9 .8以降を実行していて、ルートボリュームが暗号化されている場合は、次の手順を実行します。
ONTAP 9 .6または9.7を実行している場合、またはONTAP 9 .8以降を実行していてルートボリュームが暗号化されていない場合は、この手順をスキップします。
-
キーをリストアします。+
security key-manager setup -node nodeコマンド構文全体については、マニュアルページを参照してください。
-
パスフレーズのプロンプトで、クラスタのオンボードキー管理のパスフレーズを入力します。