Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Restaurar encriptação - FAS2820

Colaboradores dougthomp netapp-jsnyder
PDFs

Restaure a encriptação no suporte de arranque de substituição.

Se o seu sistema de armazenamento estiver executando o ONTAP 9.17.1 ou posterior, use o"procedimento automatizado de recuperação de inicialização" . Se o seu sistema estiver executando uma versão anterior do ONTAP, você deverá usar o procedimento de recuperação de inicialização manual.

Siga os passos adequados para restaurar a criptografia no seu sistema, de acordo com o tipo de gerenciador de chaves utilizado. Se você não tiver certeza de qual gerenciador de chaves seu sistema utiliza, verifique as configurações que você registrou no início do procedimento de substituição da mídia de inicialização.

Gerenciador de chaves integrado (OKM)

Restaure a configuração OKM (Onboard Key Manager) no menu de inicialização do ONTAP.

Antes de começar

Certifique-se de ter as seguintes informações disponíveis:

Passos

No controlador incapacitado:

  1. Conecte o cabo do console ao controle com defeito.

  2. No menu de inicialização do ONTAP , selecione a opção apropriada:

    Versão de ONTAP Selecione esta opção

    ONTAP 9 .8 ou posterior

    Selecione a opção 10.

    Mostrar exemplo de menu de inicialização 
    Please choose one of the following:

(1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
(10) Set Onboard Key Manager recovery secrets.
(11) Configure node for external key management.
Selection (1-11)? 10

    ONTAP 9 F.7 e anteriores

    Selecione a opção oculta recover_onboard_keymanager

    Mostrar exemplo de menu de inicialização 
    Please choose one of the following:

(1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
Selection (1-19)? recover_onboard_keymanager

  3. Confirme que deseja continuar o processo de recuperação quando solicitado:

    Mostrar prompt de exemplo

    This option must be used only in disaster recovery procedures. Are you sure? (y or n):

  4. Introduza duas vezes a frase-passe de todo o cluster.

    Ao digitar a senha, o console não exibe nenhuma entrada.

    Mostrar prompt de exemplo

    Enter the passphrase for onboard key management:

    Enter the passphrase again to confirm:

  5. Insira as informações de backup:

    1. Cole todo o conteúdo da linha BEGIN BACKUP até a linha END BACKUP, incluindo os traços.

      Mostrar prompt de exemplo 
      Enter the backup data:

--------------------------BEGIN BACKUP--------------------------
0123456789012345678901234567890123456789012345678901234567890123
1234567890123456789012345678901234567890123456789012345678901234
2345678901234567890123456789012345678901234567890123456789012345
3456789012345678901234567890123456789012345678901234567890123456
4567890123456789012345678901234567890123456789012345678901234567
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
0123456789012345678901234567890123456789012345678901234567890123
1234567890123456789012345678901234567890123456789012345678901234
2345678901234567890123456789012345678901234567890123456789012345
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

---------------------------END BACKUP---------------------------

    2. Pressione Enter duas vezes ao final da entrada de dados.

      O processo de recuperação é concluído e exibe a seguinte mensagem:

      Successfully recovered keymanager secrets.

    Mostrar prompt de exemplo 
    Trying to recover keymanager secrets....
Setting recovery material for the onboard key manager
Recovery secrets set successfully
Trying to delete any existing km_onboard.wkeydb file.

Successfully recovered keymanager secrets.

***********************************************************************************
* Select option "(1) Normal Boot." to complete recovery process.
*
* Run the "security key-manager onboard sync" command to synchronize the key database after the node reboots.
***********************************************************************************

    +

    Aviso Não prossiga se a saída exibida for diferente de Successfully recovered keymanager secrets . Realize a resolução de problemas para corrigir o erro.

  6. Selecione a opção 1 a partir do menu de inicialização para continuar a inicialização no ONTAP.

    Mostrar prompt de exemplo 
    ***********************************************************************************
* Select option "(1) Normal Boot." to complete the recovery process.
*
***********************************************************************************


(1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
(10) Set Onboard Key Manager recovery secrets.
(11) Configure node for external key management.
Selection (1-11)? 1

  7. Confirme se o console do controlador exibe a seguinte mensagem:

    Waiting for giveback…​(Press Ctrl-C to abort wait)

    No controlador parceiro:

  8. Devolva o controle remoto com defeito:

    storage failover giveback -fromnode local -only-cfo-aggregates true

    No controlador incapacitado:

  9. Após inicializar apenas com o agregado CFO, sincronize o gerenciador de chaves:

    security key-manager onboard sync

  10. Quando solicitado, insira a senha de acesso ao Onboard Key Manager, que será aplicada em todo o cluster.

    Mostrar prompt de exemplo 
    Enter the cluster-wide passphrase for the Onboard Key Manager:

All offline encrypted volumes will be brought online and the corresponding volume encryption keys (VEKs) will be restored automatically within 10 minutes. If any offline encrypted volumes are not brought online automatically, they can be brought online manually using the "volume online -vserver <vserver> -volume <volume_name>" command.
    Observação Se a sincronização for bem-sucedida, o prompt do cluster será retornado sem mensagens adicionais. Se a sincronização falhar, uma mensagem de erro será exibida antes de retornar ao prompt do cluster. Não prossiga até que o erro seja corrigido e a sincronização seja concluída com sucesso.

  11. Verifique se todas as chaves estão sincronizadas:

    security key-manager key query -restored false

    O comando não deve retornar nenhum resultado. Se algum resultado aparecer, repita o comando de sincronização até que nenhum resultado seja retornado.

    No controlador parceiro:

  12. Devolva o controle remoto com defeito:

    storage failover giveback -fromnode local

  13. Restaure a giveback automática se você a tiver desativado:

    storage failover modify -node local -auto-giveback true

  14. Se o AutoSupport estiver ativado, restaure a criação automática de casos:

    system node autosupport invoke -node * -type all -message MAINT=END

Gerenciador de chaves externo (EKM)

Restaure a configuração do Gerenciador de chaves Externo no menu de inicialização do ONTAP.

Antes de começar

Reúna os seguintes arquivos de outro nó do cluster ou do seu backup:

  • `/cfcard/kmip/servers.cfg`arquivo ou o endereço e porta do servidor KMIP

  • `/cfcard/kmip/certs/client.crt`arquivo (certificado do cliente)

  • `/cfcard/kmip/certs/client.key`arquivo (chave do cliente)

  • `/cfcard/kmip/certs/CA.pem`arquivo (certificados CA do servidor KMIP)

Passos

No controlador incapacitado:

  1. Conecte o cabo do console ao controle com defeito.

  2. Selecione a opção 11 a partir do menu de inicialização do ONTAP .

    Mostrar exemplo de menu de inicialização 
    (1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
(10) Set Onboard Key Manager recovery secrets.
(11) Configure node for external key management.
Selection (1-11)? 11

  3. Confirme que reuniu as informações necessárias quando solicitado:

    Mostrar prompt de exemplo 
    Do you have a copy of the /cfcard/kmip/certs/client.crt file? {y/n}
Do you have a copy of the /cfcard/kmip/certs/client.key file? {y/n}
Do you have a copy of the /cfcard/kmip/certs/CA.pem file? {y/n}
Do you have a copy of the /cfcard/kmip/servers.cfg file? {y/n}

  4. Insira as informações do cliente e do servidor quando solicitado:

    1. Insira o conteúdo do arquivo de certificado do cliente (client.crt), incluindo as linhas BEGIN e END.

    2. Insira o conteúdo do arquivo de chave do cliente (client.key), incluindo as linhas BEGIN e END.

    3. Insira o conteúdo do arquivo CA.pem do servidor KMIP, incluindo as linhas BEGIN e END.

    4. Insira o endereço IP do servidor KMIP.

    5. Digite a porta do servidor KMIP (pressione Enter para usar a porta padrão 5696).

      Mostrar exemplo 
      Enter the client certificate (client.crt) file contents:
-----BEGIN CERTIFICATE-----
<certificate_value>
-----END CERTIFICATE-----

Enter the client key (client.key) file contents:
-----BEGIN RSA PRIVATE KEY-----
<key_value>
-----END RSA PRIVATE KEY-----

Enter the KMIP server CA(s) (CA.pem) file contents:
-----BEGIN CERTIFICATE-----
<certificate_value>
-----END CERTIFICATE-----

Enter the IP address for the KMIP server: 10.10.10.10
Enter the port for the KMIP server [5696]:

System is ready to utilize external key manager(s).
Trying to recover keys from key servers....
kmip_init: configuring ports
Running command '/sbin/ifconfig e0M'
..
..
kmip_init: cmd: ReleaseExtraBSDPort e0M

      O processo de recuperação é concluído e exibe a seguinte mensagem:

      Successfully recovered keymanager secrets.

    Mostrar exemplo 
    System is ready to utilize external key manager(s).
Trying to recover keys from key servers....
Performing initialization of OpenSSL
Successfully recovered keymanager secrets.

  5. Selecione a opção 1 a partir do menu de inicialização para continuar a inicialização no ONTAP.

    Mostrar prompt de exemplo 
    ***************************************************************************
* Select option "(1) Normal Boot." to complete the recovery process.
*
***************************************************************************

(1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
(10) Set Onboard Key Manager recovery secrets.
(11) Configure node for external key management.
Selection (1-11)? 1

  6. Restaure a giveback automática se você a tiver desativado:

    storage failover modify -node local -auto-giveback true

  7. Se o AutoSupport estiver ativado, restaure a criação automática de casos:

    system node autosupport invoke -node * -type all -message MAINT=END

O que se segue?

Depois de restaurar a encriptação no suporte de arranque, tem de "Devolva a peça com falha ao NetApp".