在 ONTAP 9.6 和更高版本中创建身份验证密钥

您可以使用security key-manager key create该命令为节点创建身份验证密钥并将其存储在已配置的 KMIP 服务器上。

开始之前

您必须是集群管理员才能执行此任务。

关于本任务

如果安全设置要求您针对数据身份验证和 FIPS 140-2 身份验证使用不同的密钥，则应分别为每个验证创建单独的密钥。如果未要求，则可以使用数据访问所用的相同身份验证密钥，确保 FIPS 合规。

ONTAP 会为集群中的所有节点创建身份验证密钥。

启用板载密钥管理时不支持此命令。
如果已配置的密钥管理服务器已存储 128 个以上的身份验证密钥，则会收到警告。
您可以使用密钥管理服务器软件删除任何未使用的密钥、然后再次运行该命令。

步骤

为集群节点创建验证密钥： security key-manager key create -key-tag passphrase_label -prompt-for-key true|false
注：设置 prompt-for key=true 会导致系统在验证加密驱动器时提示集群管理员使用密码短语。否则，系统将自动生成 32 字节密码短语。
security key-manager key create该命令将替换security key-manager create-key该命令。有关完整的命令语法，请参见手册页。

示例
以下示例为 cluster1 创建身份验证密钥、自动生成 32 字节密码短语：
```
cluster1::> security key-manager key create
Key ID: 000000000000000002000000000001006268333f870860128fbe17d393e5083b0000000000000000
```

验证是否已创建验证密钥： security key-manager key query -node node

注：security key-manager key query该命令将替换security key-manager query key该命令。有关完整的命令语法，请参见手册页。

输出中显示的密钥 ID 是用于引用身份验证密钥的标识符。它并不是实际的身份验证密钥或数据加密密钥。

示例

以下示例验证是否已为集群 1 创建验证密钥：

cluster1::> security key-manager key query
       Vserver: cluster1
   Key Manager: external
          Node: node1

Key Tag                               Key Type  Restored
------------------------------------  --------  --------
node1                                 NSE-AK    yes
    Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000
node1                                 NSE-AK    yes
    Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000

       Vserver: cluster1
   Key Manager: external
          Node: node2 

Key Tag                               Key Type  Restored
------------------------------------  --------  --------
node2                                 NSE-AK    yes
    Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000
node2                                 NSE-AK    yes
    Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000