在 ONTAP 9.6 和更高版本( NVE )中启用外部密钥管理

您可以使用一个或多个 KMIP 服务器来保护集群用于访问加密数据的密钥。从 ONTAP 9.6 开始、您可以使用一个或多个 KMIP 服务器来保护给定 SVM 访问加密数据所使用的密钥。

开始之前

关于本任务

您最多可以将四个 KMIP 服务器连接到集群或 SVM 。建议至少使用两台服务器进行冗余和灾难恢复。

外部密钥管理的范围确定密钥管理服务器是保护集群中的所有 SVM 还是仅保护选定的 SVM :

可以在同一个集群中使用这两个范围。如果已为 SVM 配置了密钥管理服务器、 ONTAP 将仅使用这些服务器来保护密钥。否则, ONTAP 会使用为集群配置的密钥管理服务器来保护密钥。

您可以在集群范围配置板载密钥管理、并在 SVM 范围配置外部密钥管理。您可以使用security key-manager key migrate该命令将集群范围内的板载密钥管理密钥迁移到 SVM 范围内的外部密钥管理器。

步骤

  1. 为集群配置密钥管理器连接: security key-manager external enable -vserver admin_SVM -key-servers host_name|IP_address:port,... -client-cert client_certificate -server-ca-cert server_CA_certificates
    注:security key-manager external enable该命令将替换security key-manager setup该命令。如果在集群登录提示符下运行该命令,admin_SVM则默认为当前集群的管理 SVM 。

    您必须是集群管理员才能配置集群范围。您可以运行security key-manager external modify该命令来更改外部密钥管理配置。

    示例

    以下命令可为具有三个外部密钥服务器的集群 1 启用外部密钥管理。第一个密钥服务器使用其主机名和端口指定、第二个密钥服务器使用 IP 地址和默认端口指定、第三个密钥服务器使用 IPv6 地址和端口指定:

    clusterl::> security key-manager external enable -vserver cluster1 -key-servers ks1.local:15696,10.0.0.10,[fd20:8b1e:b255:814e:32bd:f35c:832c:5a09]:1234 -client-cert AdminVserverClientCert -server-ca-certs AdminVserverServerCaCert
  2. 为 SVM 配置密钥管理器连接: security key-manager external enable -vserver SVM -key-servers host_name|IP_address:port,... -client-cert client_certificate -server-ca-cert server_CA_certificates
    注:如果在 SVM 登录提示符下运行该命令,SVM则默认为当前 SVM 。

    您必须是集群或 SVM 管理员才能配置 SVM 范围。您可以运行security key-manager external modify该命令来更改外部密钥管理配置。

    示例

    以下命令启用了 SVM1 的外部密钥管理、单密钥服务器在默认端口 5696 上侦听:

    svm1l::> security key-manager external enable -vserver svm1 -key-servers keyserver.svm1.com -client-cert SVM1ClientCert -server-ca-certs SVM1ServerCaCert
  3. 对任何其他 SVM 重复最后一步。
    注:您也可以使用security key-manager external add servers该命令配置其他 SVM 。security key-manager external add servers该命令将替换 security key-manager add该命令。有关完整的命令语法,请参见手册页。
  4. 验证是否已连接所有已配置的 KMIP 服务器: security key-manager external show-status -node node_name
    注:security key-manager external show-status该命令将替换 security key-manager show -status该命令。有关完整的命令语法,请参见手册页。
    示例
    cluster1::> security key-manager external show-status
    
    Node  Vserver  Key Server                                     Status
    ----  -------  ---------------------------------------        -------------
    node1
          svm1
                   keyserver.svm1.com:5696                        available
          cluster1
                   10.0.0.10:5696                                 available
                   fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
                   ks1.local:15696                                available
    node2
          svm1
                   keyserver.svm1.com:5696                        available
          cluster1
                   10.0.0.10:5696                                 available
                   fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
                   ks1.local:15696                                available
    
    8 entries were displayed.