Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

암호화 복원 - AFF A1K

기여자

교체 부팅 미디어에서 암호화를 복원합니다.

부팅 미디어 교체 절차의 시작 부분에 캡처한 설정을 사용하여 온보드 키 관리자(OKM), NSE(NetApp 스토리지 암호화) 또는 NVE(NetApp 볼륨 암호화)가 활성화된 시스템별 단계를 완료해야 합니다.

시스템에 구성된 키 관리자에 따라 다음 옵션 중 하나를 선택하여 부팅 메뉴에서 복원합니다.

옵션 1: Onboard Key Manager 구성을 복원합니다

ONTAP 부팅 메뉴에서 Onboard Key Manager(OKM) 구성을 복원합니다.

시작하기 전에
단계
  1. 콘솔 케이블을 대상 컨트롤러에 연결합니다.

  2. ONTAP 부팅 메뉴의 부팅 메뉴에서 적절한 옵션을 선택합니다.

    ONTAP 버전입니다 이 옵션을 선택합니다

    ONTAP 9.8 이상

    옵션 10 을 선택합니다.

    부팅 메뉴의 예를 표시합니다
    Please choose one of the following:
    
    (1)  Normal Boot.
    (2)  Boot without /etc/rc.
    (3)  Change password.
    (4)  Clean configuration and initialize all disks.
    (5)  Maintenance mode boot.
    (6)  Update flash from backup config.
    (7)  Install new software first.
    (8)  Reboot node.
    (9)  Configure Advanced Drive Partitioning.
    (10) Set Onboard Key Manager recovery secrets.
    (11) Configure node for external key management.
    Selection (1-11)? 10

    ONTAP 9.7 이하

    숨겨진 옵션을 선택합니다 recover_onboard_keymanager

    부팅 메뉴의 예를 표시합니다
    Please choose one of the following:
    
    (1)  Normal Boot.
    (2)  Boot without /etc/rc.
    (3)  Change password.
    (4)  Clean configuration and initialize all disks.
    (5)  Maintenance mode boot.
    (6)  Update flash from backup config.
    (7)  Install new software first.
    (8)  Reboot node.
    (9)  Configure Advanced Drive Partitioning.
    Selection (1-19)? recover_onboard_keymanager
  3. 복구 프로세스를 계속 진행할지 확인합니다.

    예제 프롬프트를 표시합니다

    This option must be used only in disaster recovery procedures. Are you sure? (y or n):

  4. 클러스터 전체의 암호를 두 번 입력합니다.

    암호문을 입력하는 동안 콘솔에 아무 입력도 표시되지 않습니다.

    예제 프롬프트를 표시합니다

    Enter the passphrase for onboard key management:

    Enter the passphrase again to confirm:

  5. 백업 정보를 입력합니다.

    1. 시작 백업 라인의 전체 컨텐츠를 백업 종료 라인을 통해 붙여 넣습니다.

      예제 프롬프트를 표시합니다
      Enter the backup data:
      
      --------------------------BEGIN BACKUP--------------------------
      0123456789012345678901234567890123456789012345678901234567890123
      1234567890123456789012345678901234567890123456789012345678901234
      2345678901234567890123456789012345678901234567890123456789012345
      3456789012345678901234567890123456789012345678901234567890123456
      4567890123456789012345678901234567890123456789012345678901234567
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      0123456789012345678901234567890123456789012345678901234567890123
      1234567890123456789012345678901234567890123456789012345678901234
      2345678901234567890123456789012345678901234567890123456789012345
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
      
      ---------------------------END BACKUP---------------------------
    2. 입력 끝에 있는 Enter 키를 두 번 누릅니다.

      복구 프로세스가 완료됩니다.

      예제 프롬프트를 표시합니다
      Trying to recover keymanager secrets....
      Setting recovery material for the onboard key manager
      Recovery secrets set successfully
      Trying to delete any existing km_onboard.wkeydb file.
      
      Successfully recovered keymanager secrets.
      
      ***********************************************************************************
      * Select option "(1) Normal Boot." to complete recovery process.
      *
      * Run the "security key-manager onboard sync" command to synchronize the key database after the node reboots.
      ***********************************************************************************
    경고 표시된 출력이 과(와) 다른 경우 계속 진행하지 마십시오. Successfully recovered keymanager secrets 문제 해결을 수행하여 오류를 수정합니다.
  6. 부팅 메뉴에서 옵션 1을 선택하여 ONTAP로 계속 부팅합니다.

    예제 프롬프트를 표시합니다
    ***********************************************************************************
    * Select option "(1) Normal Boot." to complete the recovery process.
    *
    ***********************************************************************************
    
    
    (1)  Normal Boot.
    (2)  Boot without /etc/rc.
    (3)  Change password.
    (4)  Clean configuration and initialize all disks.
    (5)  Maintenance mode boot.
    (6)  Update flash from backup config.
    (7)  Install new software first.
    (8)  Reboot node.
    (9)  Configure Advanced Drive Partitioning.
    (10) Set Onboard Key Manager recovery secrets.
    (11) Configure node for external key management.
    Selection (1-11)? 1
  7. 컨트롤러의 콘솔에 다음 메시지가 표시되는지 확인합니다.

    Waiting for giveback…​(Press Ctrl-C to abort wait)

  8. 파트너 노드에서 다음 명령을 입력하여 파트너 컨트롤러를 반환하십시오.

    storage failover giveback -fromnode local -only-cfo-aggregates true..

  9. CFO 애그리게이트만 부팅한 후 다음 명령을 실행합니다.

    security key-manager onboard sync

  10. Onboard Key Manager의 클러스터 전체 암호를 입력합니다.

    예제 프롬프트를 표시합니다
    Enter the cluster-wide passphrase for the Onboard Key Manager:
    
    All offline encrypted volumes will be brought online and the corresponding volume encryption keys (VEKs) will be restored automatically within 10 minutes. If any offline encrypted volumes are not brought online automatically, they can be brought online manually using the "volume online -vserver <vserver> -volume <volume_name>" command.
    참고 동기화에 성공하면 추가 메시지 없이 클러스터 프롬프트가 반환됩니다. 동기화가 실패하면 클러스터 프롬프트로 돌아가기 전에 오류 메시지가 나타납니다. 오류가 수정되고 동기화가 성공적으로 실행될 때까지 계속하지 마십시오.
  11. 다음 명령을 입력하여 모든 키가 동기화되었는지 확인합니다.

    security key-manager key query -restored false..

    There are no entries matching your query.

    참고 복원된 매개 변수에서 false를 필터링할 때 결과가 나타나지 않습니다.
  12. 다음 명령을 입력하여 파트너의 노드를 반환합니다.

    storage failover giveback -fromnode local

  13. 사용하지 않도록 설정한 경우 다음 명령을 입력하여 자동 반환을 복원합니다.

    storage failover modify -node local -auto-giveback true

  14. AutoSupport가 활성화된 경우 다음 명령을 입력하여 자동 케이스 생성을 복원합니다.

    system node autosupport invoke -node * -type all -message MAINT=END

옵션 2: 외부 키 관리자 구성을 복원합니다

ONTAP 부팅 메뉴에서 외부 키 관리자 구성을 복원합니다.

시작하기 전에

EKM(External Key Manager) 구성을 복원하려면 다음 정보가 필요합니다.

  • 다른 클러스터 노드에서 /cfcard/kMIP/servers.cfg 파일의 복사본 또는 다음 정보:

    • KMIP 서버 주소입니다.

    • KMIP 포트입니다.

  • 다른 클러스터 노드 또는 클라이언트 인증서의 파일 복사본입니다. /cfcard/kmip/certs/client.crt

  • 다른 클러스터 노드 또는 클라이언트 키의 파일 복사본입니다. /cfcard/kmip/certs/client.key

  • 다른 클러스터 노드 또는 KMIP 서버 CA의 파일 복사본입니다. /cfcard/kmip/certs/CA.pem

단계
  1. 콘솔 케이블을 대상 컨트롤러에 연결합니다.

  2. ONTAP 부팅 메뉴에서 옵션 11 을 선택합니다.

    부팅 메뉴의 예를 표시합니다
    (1)  Normal Boot.
    (2)  Boot without /etc/rc.
    (3)  Change password.
    (4)  Clean configuration and initialize all disks.
    (5)  Maintenance mode boot.
    (6)  Update flash from backup config.
    (7)  Install new software first.
    (8)  Reboot node.
    (9)  Configure Advanced Drive Partitioning.
    (10) Set Onboard Key Manager recovery secrets.
    (11) Configure node for external key management.
    Selection (1-11)? 11
  3. 메시지가 표시되면 필요한 정보를 수집했는지 확인합니다.

    예제 프롬프트를 표시합니다
    Do you have a copy of the /cfcard/kmip/certs/client.crt file? {y/n}
    Do you have a copy of the /cfcard/kmip/certs/client.key file? {y/n}
    Do you have a copy of the /cfcard/kmip/certs/CA.pem file? {y/n}
    Do you have a copy of the /cfcard/kmip/servers.cfg file? {y/n}
  4. 메시지가 표시되면 클라이언트 및 서버 정보를 입력합니다.

    프롬프트를 표시합니다
    Enter the client certificate (client.crt) file contents:
    Enter the client key (client.key) file contents:
    Enter the KMIP server CA(s) (CA.pem) file contents:
    Enter the server configuration (servers.cfg) file contents:
    예제 보기
    Enter the client certificate (client.crt) file contents:
    -----BEGIN CERTIFICATE-----
    MIIDvjCCAqagAwIBAgICN3gwDQYJKoZIhvcNAQELBQAwgY8xCzAJBgNVBAYTAlVT
    MRMwEQYDVQQIEwpDYWxpZm9ybmlhMQwwCgYDVQQHEwNTVkwxDzANBgNVBAoTBk5l
    MSUbQusvzAFs8G3P54GG32iIRvaCFnj2gQpCxciLJ0qB2foiBGx5XVQ/Mtk+rlap
    Pk4ECW/wqSOUXDYtJs1+RB+w0+SHx8mzxpbz3mXF/X/1PC3YOzVNCq5eieek62si
    Fp8=
    -----END CERTIFICATE-----
    
    Enter the client key (client.key) file contents:
    -----BEGIN RSA PRIVATE KEY-----
    <key_value>
    -----END RSA PRIVATE KEY-----
    
    Enter the KMIP server CA(s) (CA.pem) file contents:
    -----BEGIN CERTIFICATE-----
    MIIEizCCA3OgAwIBAgIBADANBgkqhkiG9w0BAQsFADCBjzELMAkGA1UEBhMCVVMx
    7yaumMQETNrpMfP+nQMd34y4AmseWYGM6qG0z37BRnYU0Wf2qDL61cQ3/jkm7Y94
    EQBKG1NY8dVyjphmYZv+
    -----END CERTIFICATE-----
    
    Enter the IP address for the KMIP server: 10.10.10.10
    Enter the port for the KMIP server [5696]:
    
    System is ready to utilize external key manager(s).
    Trying to recover keys from key servers....
    kmip_init: configuring ports
    Running command '/sbin/ifconfig e0M'
    ..
    ..
    kmip_init: cmd: ReleaseExtraBSDPort e0M

    클라이언트 및 서버 정보를 입력하면 복구 프로세스가 완료됩니다.

    예제 보기
    System is ready to utilize external key manager(s).
    Trying to recover keys from key servers....
    [Aug 29 21:06:28]: 0x808806100: 0: DEBUG: kmip2::main: [initOpenssl]:460: Performing initialization of OpenSSL
    Successfully recovered keymanager secrets.
  5. 부팅 메뉴에서 옵션 1을 선택하여 ONTAP로 계속 부팅합니다.

    예제 프롬프트를 표시합니다
    ***********************************************************************************
    * Select option "(1) Normal Boot." to complete the recovery process.
    *
    ***********************************************************************************
    
    
    (1)  Normal Boot.
    (2)  Boot without /etc/rc.
    (3)  Change password.
    (4)  Clean configuration and initialize all disks.
    (5)  Maintenance mode boot.
    (6)  Update flash from backup config.
    (7)  Install new software first.
    (8)  Reboot node.
    (9)  Configure Advanced Drive Partitioning.
    (10) Set Onboard Key Manager recovery secrets.
    (11) Configure node for external key management.
    Selection (1-11)? 1
  6. 사용하지 않도록 설정한 경우 다음 명령을 입력하여 자동 반환을 복원합니다.

    storage failover modify -node local -auto-giveback true

  7. AutoSupport가 활성화된 경우 다음 명령을 입력하여 자동 케이스 생성을 복원합니다.

    system node autosupport invoke -node * -type all -message MAINT=END