Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

检查加密密钥支持和状态- AFF A70和AFF A90

贡献者
PDF

在关闭受损控制器之前、请检查您的ONTAP版本是否支持NetApp卷加密(NVE)以及是否已正确配置密钥管理系统。

第1步:检查您的ONTAP版本是否支持NetApp卷加密

检查您的ONTAP版本是否支持NetApp卷加密(NVE)。此信息对于下载正确的ONTAP映像至关重要。

  1. 运行以下命令、确定您的ONTAP版本是否支持加密:

    version -v

    如果输出包括 1Ono-DARE,则您的集群版本不支持NVE。

  2. 根据您的系统是否支持NVE、执行以下操作之一:

    • 如果支持NVE、请下载采用NetApp卷加密的ONTAP映像。

    • 如果不支持NVE、请下载ONTAP映像*不使用* NetApp卷加密。

第2步:确定关闭控制器是否安全

要安全关闭控制器、请首先确定外部密钥管理器(External Key Manager、EKM)还是板载密钥管理器(Onboard Key Manager、OKM)处于活动状态。然后、验证正在使用的密钥管理器、显示相应的密钥信息、并根据身份验证密钥的状态采取措施。

  1. 确定您的系统上启用了哪个密钥管理器:

    ONTAP 版本 运行此命令

    ONTAP 9.14.1或更高版本

    security key-manager keystore show

    • 如果启用了EKM、 `EKM`则会在命令输出中列出。

    • 如果启用了OKM、 `OKM`则会在命令输出中列出。

    • 如果未启用密钥管理器、 `No key manager keystores configured`则会在命令输出中列出。

    ONTAP 9.13.1 或更早版本

    security key-manager show-key-store

    • 如果启用了EKM、 `external`则会在命令输出中列出。

    • 如果启用了OKM、 `onboard`则会在命令输出中列出。

    • 如果未启用密钥管理器、 `No key managers configured`则会在命令输出中列出。

  2. 根据系统上是否配置了密钥管理器、选择以下选项之一。

    未配置密钥管理器

    您可以安全地关闭受损控制器。转到。 "关闭受损控制器"

    已配置外部或板载密钥管理器

    1. 输入以下查询命令以显示密钥管理器中的身份验证密钥状态。

      security key-manager key query

    2. 检查密钥管理器列中的值输出 Restored

      此列指示您的密钥管理器(EKM或OKM)的身份验证密钥是否已成功还原。

  3. 根据您的系统使用的是外部密钥管理器还是板载密钥管理器、选择以下选项之一。

    外部密钥管理器

    根据列中显示的输出值 Restored、执行相应的步骤。

    列中的输出值 Restored 请按照以下步骤操作 …​

    true

    您可以安全地关闭受损控制器。转到。 "关闭受损控制器"

    以外的任何内容 true

    1. 使用以下命令将外部密钥管理身份验证密钥还原到集群中的所有节点:

      security key-manager external restore

      如果命令失败,请联系 "NetApp 支持"

    2. 输入命令以验证所有身份验证密钥的 security key-manager key query`列是否 `Restored`显示 `true

      如果所有身份验证密钥均为 true,则可以安全地关闭受损控制器。转到。 "关闭受损控制器"
    板载密钥管理器

    根据列中显示的输出值 Restored、执行相应的步骤。

    列中的输出值 Restored 请按照以下步骤操作 …​

    true

    手动备份OKM信息。

    1. 输入进入高级模式、然后 Y`在出现提示时输入 `set -priv advanced

    2. 输入以下命令以显示密钥管理信息:

      security key-manager onboard show-backup

    3. Copy the contents of the backup information to a separate file or your log file.

      You'll need it in disaster scenarios where you might need to manually recover OKM.

    4. 您可以安全地关闭受损控制器。转到。 "关闭受损控制器"

    以外的任何内容 true

    1. 输入板载security key-manager sync命令:

      security key-manager onboard sync

    2. 出现提示时、输入32个字符的字母数字板载密钥管理密码短语。

      如果无法提供密码短语,请联系 "NetApp 支持"

    3. 验证 Restored`所有身份验证密钥的列显示 `true

      security key-manager key query

    4. 验证类型是否 Key Manager 显示 onboard,然后手动备份OKM信息。

    5. 输入命令以显示密钥管理备份信息:

      security key-manager onboard show-backup

    6. Copy the contents of the backup information to a separate file or your log file.

      You'll need it in disaster scenarios where you might need to manually recover OKM.

    7. 您可以安全地关闭受损控制器。转到。 "关闭受损控制器"