恢复外部密钥管理加密密钥

您可以手动恢复外部密钥管理加密密钥并“将”其推送到其他节点。如果要在群集中添加新节点、或重新启动在为群集创建密钥时临时关闭的节点、则可能需要执行此操作。

开始之前

要执行此任务,您必须是集群或 SVM 管理员。

步骤

  1. 验证是否需要恢复密钥:
    对于此 ONTAP 版本 ... 命令
    ONTAP 9.6 及更高版本 security key-manager key query -node node
    ONTAP 9.5 及更低版本 security key-manager key show
    有关完整的命令语法,请参见手册页。
    示例

    以下 ONTAP 9.6 命令可让您验证是否需要在集群 1 中恢复外部密钥管理加密密钥

    cluster1::> security key-manager key query
    Vserver: cluster_1
    Key Manager: external
    Node: node1
    Key Server: ""
    
    Key Tag Key Type Restored
    ------- -------- --------
    node1 NSE-AK false
    Key ID: 0000000000000000020000000000010003c6139e9a2beaf817ff69d72f33663c0000000000000000
    node1 NSE-AK true
    Key ID: 00000000000000000200000000000100fb5fdc42e0043632b2f7f7f439fe77c50000000000000000
    
    Vserver: cluster_1
    Key Manager: external
    Node: node2
    Key Server: ""
    
    Key Tag Key Type Restored
    ------- -------- --------
    node2 NSE-AK true
    Key ID: 0000000000000000020000000000010003c6139e9a2beaf817ff69d72f33663c0000000000000000
    node2 NSE-AK true
    Key ID: 00000000000000000200000000000100fb5fdc42e0043632b2f7f7f439fe77c50000000000000000
    4 entries were displayed.
    
  2. 如果““已恢复””列显示“的”键为 false ,请恢复该键:
    对于此 ONTAP 版本 ... 命令
    ONTAP 9.6 及更高版本 security key-manager external restore -vserver SVM -node node -key-server host_name|IP_address:port -key-id key_id -key-tag key_tag
    ONTAP 9.5 及更低版本 security key-manager restore -node node -address IP_address -key-id key_id -key-tag key_tag
    注:node 默认为所有节点。有关完整的命令语法,请参见手册页。启用板载密钥管理时不支持此命令。
    示例

    以下 ONTAP 9.6 命令可将外部密钥管理验证密钥恢复到集群 1 中的所有节点

    clusterl::> security key-manager external restore