암호화 복원 - ASA C800
교체 부팅 미디어에서 암호화를 복원합니다.
부팅 미디어 교체 절차의 시작 부분에 캡처한 설정을 사용하여 온보드 키 관리자(OKM), NSE(NetApp 스토리지 암호화) 또는 NVE(NetApp 볼륨 암호화)가 활성화된 시스템별 단계를 완료해야 합니다.
시스템에 구성된 키 관리자에 따라 다음 옵션 중 하나를 선택하여 부팅 메뉴에서 복원합니다.
옵션 1: Onboard Key Manager 구성을 복원합니다
ONTAP 부팅 메뉴에서 Onboard Key Manager(OKM) 구성을 복원합니다.
-
OKM 구성을 복원하는 동안 다음 정보가 있는지 확인하십시오.
-
클러스터 전체 암호를 입력했습니다. "온보딩 키 관리를 활성화합니다"
-
-
"온보드 키 관리 백업 및 클러스터 전체 암호를 확인하는 방법"계속하기 전에 절차를 수행하십시오.
-
콘솔 케이블을 대상 컨트롤러에 연결합니다.
-
ONTAP 부팅 메뉴의 부팅 메뉴에서 적절한 옵션을 선택합니다.
ONTAP 버전입니다 이 옵션을 선택합니다 ONTAP 9.8 이상
옵션 10 을 선택합니다.
부팅 메뉴의 예를 표시합니다
Please choose one of the following: (1) Normal Boot. (2) Boot without /etc/rc. (3) Change password. (4) Clean configuration and initialize all disks. (5) Maintenance mode boot. (6) Update flash from backup config. (7) Install new software first. (8) Reboot node. (9) Configure Advanced Drive Partitioning. (10) Set Onboard Key Manager recovery secrets. (11) Configure node for external key management. Selection (1-11)? 10
ONTAP 9.7 이하
숨겨진 옵션을 선택합니다
recover_onboard_keymanager
부팅 메뉴의 예를 표시합니다
Please choose one of the following: (1) Normal Boot. (2) Boot without /etc/rc. (3) Change password. (4) Clean configuration and initialize all disks. (5) Maintenance mode boot. (6) Update flash from backup config. (7) Install new software first. (8) Reboot node. (9) Configure Advanced Drive Partitioning. Selection (1-19)? recover_onboard_keymanager
-
복구 프로세스를 계속 진행할지 확인합니다.
예제 프롬프트를 표시합니다
This option must be used only in disaster recovery procedures. Are you sure? (y or n):
-
클러스터 전체의 암호를 두 번 입력합니다.
암호문을 입력하는 동안 콘솔에 아무 입력도 표시되지 않습니다.
예제 프롬프트를 표시합니다
Enter the passphrase for onboard key management:
Enter the passphrase again to confirm:
-
백업 정보를 입력합니다.
-
시작 백업 라인의 전체 컨텐츠를 백업 종료 라인을 통해 붙여 넣습니다.
예제 프롬프트를 표시합니다
Enter the backup data: --------------------------BEGIN BACKUP-------------------------- 0123456789012345678901234567890123456789012345678901234567890123 1234567890123456789012345678901234567890123456789012345678901234 2345678901234567890123456789012345678901234567890123456789012345 3456789012345678901234567890123456789012345678901234567890123456 4567890123456789012345678901234567890123456789012345678901234567 AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 0123456789012345678901234567890123456789012345678901234567890123 1234567890123456789012345678901234567890123456789012345678901234 2345678901234567890123456789012345678901234567890123456789012345 AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA ---------------------------END BACKUP---------------------------
-
입력 끝에 있는 Enter 키를 두 번 누릅니다.
복구 프로세스가 완료됩니다.
예제 프롬프트를 표시합니다
Trying to recover keymanager secrets.... Setting recovery material for the onboard key manager Recovery secrets set successfully Trying to delete any existing km_onboard.wkeydb file. Successfully recovered keymanager secrets. *********************************************************************************** * Select option "(1) Normal Boot." to complete recovery process. * * Run the "security key-manager onboard sync" command to synchronize the key database after the node reboots. ***********************************************************************************
표시된 출력이 과(와) 다른 경우 계속 진행하지 마십시오. Successfully recovered keymanager secrets
문제 해결을 수행하여 오류를 수정합니다. -
-
부팅 메뉴에서 옵션 1을 선택하여 ONTAP로 계속 부팅합니다.
예제 프롬프트를 표시합니다
*********************************************************************************** * Select option "(1) Normal Boot." to complete the recovery process. * *********************************************************************************** (1) Normal Boot. (2) Boot without /etc/rc. (3) Change password. (4) Clean configuration and initialize all disks. (5) Maintenance mode boot. (6) Update flash from backup config. (7) Install new software first. (8) Reboot node. (9) Configure Advanced Drive Partitioning. (10) Set Onboard Key Manager recovery secrets. (11) Configure node for external key management. Selection (1-11)? 1
-
컨트롤러의 콘솔에 다음 메시지가 표시되는지 확인합니다.
Waiting for giveback…(Press Ctrl-C to abort wait)
-
파트너 노드에서 다음 명령을 입력하여 파트너 컨트롤러를 반환하십시오.
storage failover giveback -fromnode local -only-cfo-aggregates true
.. -
CFO 애그리게이트만 부팅한 후 다음 명령을 실행합니다.
security key-manager onboard sync
-
Onboard Key Manager의 클러스터 전체 암호를 입력합니다.
예제 프롬프트를 표시합니다
Enter the cluster-wide passphrase for the Onboard Key Manager: All offline encrypted volumes will be brought online and the corresponding volume encryption keys (VEKs) will be restored automatically within 10 minutes. If any offline encrypted volumes are not brought online automatically, they can be brought online manually using the "volume online -vserver <vserver> -volume <volume_name>" command.
동기화에 성공하면 추가 메시지 없이 클러스터 프롬프트가 반환됩니다. 동기화가 실패하면 클러스터 프롬프트로 돌아가기 전에 오류 메시지가 나타납니다. 오류가 수정되고 동기화가 성공적으로 실행될 때까지 계속하지 마십시오. -
다음 명령을 입력하여 모든 키가 동기화되었는지 확인합니다.
security key-manager key query -restored false
..There are no entries matching your query.
복원된 매개 변수에서 false를 필터링할 때 결과가 나타나지 않습니다. -
다음 명령을 입력하여 파트너의 노드를 반환합니다.
storage failover giveback -fromnode local
-
사용하지 않도록 설정한 경우 다음 명령을 입력하여 자동 반환을 복원합니다.
storage failover modify -node local -auto-giveback true
-
AutoSupport가 활성화된 경우 다음 명령을 입력하여 자동 케이스 생성을 복원합니다.
system node autosupport invoke -node * -type all -message MAINT=END
옵션 2: 외부 키 관리자 구성을 복원합니다
ONTAP 부팅 메뉴에서 외부 키 관리자 구성을 복원합니다.
EKM(External Key Manager) 구성을 복원하려면 다음 정보가 필요합니다.
-
다른 클러스터 노드에서 /cfcard/kMIP/servers.cfg 파일의 복사본 또는 다음 정보:
-
KMIP 서버 주소입니다.
-
KMIP 포트입니다.
-
-
다른 클러스터 노드 또는 클라이언트 인증서의 파일 복사본입니다.
/cfcard/kmip/certs/client.crt
-
다른 클러스터 노드 또는 클라이언트 키의 파일 복사본입니다.
/cfcard/kmip/certs/client.key
-
다른 클러스터 노드 또는 KMIP 서버 CA의 파일 복사본입니다.
/cfcard/kmip/certs/CA.pem
-
콘솔 케이블을 대상 컨트롤러에 연결합니다.
-
ONTAP 부팅 메뉴에서 옵션 11 을 선택합니다.
부팅 메뉴의 예를 표시합니다
(1) Normal Boot. (2) Boot without /etc/rc. (3) Change password. (4) Clean configuration and initialize all disks. (5) Maintenance mode boot. (6) Update flash from backup config. (7) Install new software first. (8) Reboot node. (9) Configure Advanced Drive Partitioning. (10) Set Onboard Key Manager recovery secrets. (11) Configure node for external key management. Selection (1-11)? 11
-
메시지가 표시되면 필요한 정보를 수집했는지 확인합니다.
예제 프롬프트를 표시합니다
Do you have a copy of the /cfcard/kmip/certs/client.crt file? {y/n} Do you have a copy of the /cfcard/kmip/certs/client.key file? {y/n} Do you have a copy of the /cfcard/kmip/certs/CA.pem file? {y/n} Do you have a copy of the /cfcard/kmip/servers.cfg file? {y/n}
-
메시지가 표시되면 클라이언트 및 서버 정보를 입력합니다.
프롬프트를 표시합니다
Enter the client certificate (client.crt) file contents: Enter the client key (client.key) file contents: Enter the KMIP server CA(s) (CA.pem) file contents: Enter the server configuration (servers.cfg) file contents:
예제 보기
Enter the client certificate (client.crt) file contents: -----BEGIN CERTIFICATE----- MIIDvjCCAqagAwIBAgICN3gwDQYJKoZIhvcNAQELBQAwgY8xCzAJBgNVBAYTAlVT MRMwEQYDVQQIEwpDYWxpZm9ybmlhMQwwCgYDVQQHEwNTVkwxDzANBgNVBAoTBk5l MSUbQusvzAFs8G3P54GG32iIRvaCFnj2gQpCxciLJ0qB2foiBGx5XVQ/Mtk+rlap Pk4ECW/wqSOUXDYtJs1+RB+w0+SHx8mzxpbz3mXF/X/1PC3YOzVNCq5eieek62si Fp8= -----END CERTIFICATE----- Enter the client key (client.key) file contents: -----BEGIN RSA PRIVATE KEY----- <key_value> -----END RSA PRIVATE KEY----- Enter the KMIP server CA(s) (CA.pem) file contents: -----BEGIN CERTIFICATE----- MIIEizCCA3OgAwIBAgIBADANBgkqhkiG9w0BAQsFADCBjzELMAkGA1UEBhMCVVMx 7yaumMQETNrpMfP+nQMd34y4AmseWYGM6qG0z37BRnYU0Wf2qDL61cQ3/jkm7Y94 EQBKG1NY8dVyjphmYZv+ -----END CERTIFICATE----- Enter the IP address for the KMIP server: 10.10.10.10 Enter the port for the KMIP server [5696]: System is ready to utilize external key manager(s). Trying to recover keys from key servers.... kmip_init: configuring ports Running command '/sbin/ifconfig e0M' .. .. kmip_init: cmd: ReleaseExtraBSDPort e0M
클라이언트 및 서버 정보를 입력하면 복구 프로세스가 완료됩니다.
예제 보기
System is ready to utilize external key manager(s). Trying to recover keys from key servers.... [Aug 29 21:06:28]: 0x808806100: 0: DEBUG: kmip2::main: [initOpenssl]:460: Performing initialization of OpenSSL Successfully recovered keymanager secrets.
-
부팅 메뉴에서 옵션 1을 선택하여 ONTAP로 계속 부팅합니다.
예제 프롬프트를 표시합니다
*********************************************************************************** * Select option "(1) Normal Boot." to complete the recovery process. * *********************************************************************************** (1) Normal Boot. (2) Boot without /etc/rc. (3) Change password. (4) Clean configuration and initialize all disks. (5) Maintenance mode boot. (6) Update flash from backup config. (7) Install new software first. (8) Reboot node. (9) Configure Advanced Drive Partitioning. (10) Set Onboard Key Manager recovery secrets. (11) Configure node for external key management. Selection (1-11)? 1
-
사용하지 않도록 설정한 경우 다음 명령을 입력하여 자동 반환을 복원합니다.
storage failover modify -node local -auto-giveback true
-
AutoSupport가 활성화된 경우 다음 명령을 입력하여 자동 케이스 생성을 복원합니다.
system node autosupport invoke -node * -type all -message MAINT=END