Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

检查加密密钥支持和状态- ASA A900

贡献者
PDF

要确保存储系统上的数据安全、您需要验证启动介质上的加密密钥支持和状态。检查您的ONTAP版本是否支持NetApp卷加密(NVE)、关闭控制器之前、请检查密钥管理器是否处于活动状态。

第1步:检查您的ONTAP版本是否支持NetApp卷加密

检查您的ONTAP版本是否支持NetApp卷加密(NVE)。此信息对于下载正确的ONTAP映像至关重要。

  1. 运行以下命令、确定您的ONTAP版本是否支持加密:

    version -v

    如果输出包括 1Ono-DARE,则您的集群版本不支持NVE。

  2. 根据您的系统是否支持NVE、执行以下操作之一:

    • 如果支持NVE、请下载采用NetApp卷加密的ONTAP映像。

    • 如果不支持NVE、请下载ONTAP映像*不使用* NetApp卷加密。

第2步:确定关闭控制器是否安全

要安全关闭控制器、请首先确定外部密钥管理器(External Key Manager、EKM)还是板载密钥管理器(Onboard Key Manager、OKM)处于活动状态。然后、验证正在使用的密钥管理器、显示相应的密钥信息、并根据身份验证密钥的状态采取措施。

  1. 确定您的系统上启用了哪个密钥管理器:

    ONTAP 版本 运行此命令

    ONTAP 9.14.1或更高版本

    security key-manager keystore show

    • 如果启用了EKM、 `EKM`则会在命令输出中列出。

    • 如果启用了OKM、 `OKM`则会在命令输出中列出。

    • 如果未启用密钥管理器、 `No key manager keystores configured`则会在命令输出中列出。

    ONTAP 9.13.1 或更早版本

    security key-manager show-key-store

    • 如果启用了EKM、 `external`则会在命令输出中列出。

    • 如果启用了OKM、 `onboard`则会在命令输出中列出。

    • 如果未启用密钥管理器、 `No key managers configured`则会在命令输出中列出。

  2. 根据系统上是否配置了密钥管理器、选择以下选项之一。

    未配置密钥管理器

    您可以安全地关闭受损控制器。转到。 "关闭受损控制器"

  3. 根据您的系统使用的是外部密钥管理器还是板载密钥管理器、选择以下选项之一。

    外部密钥管理器

    根据列中显示的输出值 Restored、执行相应的步骤。

    列中的输出值 Restored 请按照以下步骤操作 …​

    true

    您可以安全地关闭受损控制器。转到。 "关闭受损控制器"

    以外的任何内容 true

    1. 使用以下命令将外部密钥管理身份验证密钥还原到集群中的所有节点:

      security key-manager external restore

      如果命令失败,请联系 "NetApp 支持"

    2. 输入命令以验证所有身份验证密钥的 security key-manager key query`列是否 `Restored`显示 `true

      如果所有身份验证密钥均为 true,则可以安全地关闭受损控制器。转到。 "关闭受损控制器"