您可以使用security key-manager key create该命令为节点创建身份验证密钥并将其存储在已配置的 KMIP 服务器上。
关于本任务
如果安全设置要求您针对数据身份验证和 FIPS 140-2 身份验证使用不同的密钥,则应分别为每个验证创建单独的密钥。如果未要求,则可以使用数据访问所用的相同身份验证密钥,确保 FIPS 合规。
ONTAP 会为集群中的所有节点创建身份验证密钥。
步骤
- 为集群节点创建验证密钥: security key-manager key create -key-tag passphrase_label -prompt-for-key true|false
注:设置
prompt-for key=true 会导致系统在验证加密驱动器时提示集群管理员使用密码短语。否则,系统将自动生成 32 字节密码短语。
security key-manager key create该命令将替换security key-manager create-key该命令。有关完整的命令语法,请参见手册页。
示例
以下示例为 cluster1 创建身份验证密钥、自动生成 32 字节密码短语:
cluster1::> security key-manager key create
Key ID: 000000000000000002000000000001006268333f870860128fbe17d393e5083b0000000000000000
- 验证是否已创建验证密钥: security key-manager key query -node node
注:security key-manager key query该命令将替换
security key-manager query key该命令。有关完整的命令语法,请参见手册页。
输出中显示的密钥 ID 是用于引用身份验证密钥的标识符。它并不是实际的身份验证密钥或数据加密密钥。
示例
以下示例验证是否已为集群 1 创建验证密钥:
cluster1::> security key-manager key query
Vserver: cluster1
Key Manager: external
Node: node1
Key Tag Key Type Restored
------------------------------------ -------- --------
node1 NSE-AK yes
Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000
node1 NSE-AK yes
Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000
Vserver: cluster1
Key Manager: external
Node: node2
Key Tag Key Type Restored
------------------------------------ -------- --------
node2 NSE-AK yes
Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000
node2 NSE-AK yes
Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000