Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

检查加密密钥支持和状态- ASA A900

贡献者 netapp-jsnyder dougthomp
PDF

要确保存储系统上的数据安全、您需要验证启动介质上的加密密钥支持和状态。检查您的ONTAP版本是否支持NetApp卷加密(NVE)、关闭控制器之前、请检查密钥管理器是否处于活动状态。

如果您的存储系统运行的是ONTAP 9.17.1 或更高版本,请使用"自动启动恢复程序"。如果您的系统运行的是早期版本的ONTAP,则必须使用手动启动恢复过程。

步骤 1:检查 NVE 支持并下载正确的ONTAP映像

确定您的ONTAP版本是否支持NetApp卷加密 (NVE),以便您可以下载正确的ONTAP映像来替换启动介质。

步骤

  1. 检查您的ONTAP版本是否支持加密:

    version -v

    如果输出包括 1Ono-DARE,则您的集群版本不支持NVE。

  2. 下载符合 NVE 支持的ONTAP镜像:

    • 如果支持 NVE:下载带有NetApp卷加密的ONTAP映像

    • 如果不支持 NVE:下载不带NetApp卷加密的ONTAP映像

      备注 从NetApp支持网站下载ONTAP映像到您的 HTTP 或 FTP 服务器或本地文件夹。在更换启动介质的过程中,您将需要此映像文件。

步骤 2:验证密钥管理器状态并备份配置

在关闭故障控制器之前,请验证密钥管理器配置并备份必要信息。

步骤

  1. 确定您的系统上启用了哪个密钥管理器:

    ONTAP 版本 运行此命令

    ONTAP 9.14.1或更高版本

    security key-manager keystore show

    • 如果启用了EKM、 `EKM`则会在命令输出中列出。

    • 如果启用了OKM、 `OKM`则会在命令输出中列出。

    • 如果未启用密钥管理器、 `No key manager keystores configured`则会在命令输出中列出。

    ONTAP 9.13.1 或更早版本

    security key-manager show-key-store

    • 如果启用了EKM、 `external`则会在命令输出中列出。

    • 如果启用了OKM、 `onboard`则会在命令输出中列出。

    • 如果未启用密钥管理器、 `No key managers configured`则会在命令输出中列出。

  2. 根据系统中是否配置了密钥管理器,执行以下操作之一:

    如果未配置密钥管理器:

    您可以安全地关闭故障控制器,并继续执行关机程序。

    如果配置了密钥管理器(EKM 或 OKM):

    1. 输入以下查询命令,显示密钥管理器中身份验证密钥的状态:

      security key-manager key query

    2. 查看输出结果并检查其中的值。 `Restored`柱子。此列指示密钥管理器(EKM 或 OKM)的身份验证密钥是否已成功恢复。

  3. 请根据您的密钥管理员类型完成相应的操作步骤:

    外部密钥管理器( EKM )

    根据数值完成以下步骤。 `Restored`柱子。

    如果所有按键都显示 `true`在“已恢复”列中:

    您可以安全地关闭故障控制器,并继续执行关机程序。

    如果任何键显示的值不是 `true`在“已恢复”列中:

    1. 将外部密钥管理认证密钥恢复到集群中的所有节点:

      security key-manager external restore

      如果命令执行失败,请联系NetApp支持。

    2. 确认所有身份验证密钥均已恢复:

      security key-manager key query

      确认 `Restored`列显示 `true`适用于所有身份验证密钥。

    3. 如果所有密钥都已恢复,则可以安全地关闭故障控制器并继续执行关机程序。

    板载密钥管理器( OKM )

    根据数值完成以下步骤。 `Restored`柱子。

    如果所有按键都显示 `true`在“已恢复”列中:

    1. 备份 OKM 信息:

      1. 切换到高级权限模式:

        set -priv advanced

      进入 `y`当提示继续时。

      1. 显示密钥管理备份信息:

        security key-manager onboard show-backup

      2. 将备份信息复制到单独的文件或日志文件中。

        如果在更换过程中需要手动恢复 OKM,您将需要此备份信息。

      3. 返回管理员模式:

        set -priv admin

    2. 您可以安全地关闭故障控制器,并继续执行关机程序。

    如果任何键显示的值不是 `true`在“已恢复”列中:

    1. 同步板载密钥管理器:

      security key-manager onboard sync

      出现提示时,请输入 32 个字符的字母数字组合的机载密钥管理密码。

      备注 这是您在最初配置车载密钥管理器时创建的集群范围密码短语。如果您没有此密码短语,请联系NetApp支持。

    2. 请确认所有身份验证密钥均已恢复:

      security key-manager key query

      确认 Restored`列显示 `true`对于所有身份验证密钥和 `Key Manager`类型展 `onboard

    3. 备份 OKM 信息:

      1. 切换到高级权限模式:

        set -priv advanced

      进入 `y`当提示继续时。

      1. 显示密钥管理备份信息:

        security key-manager onboard show-backup

      2. 将备份信息复制到单独的文件或日志文件中。

        如果在更换过程中需要手动恢复 OKM,您将需要此备份信息。

      3. 返回管理员模式:

        set -priv admin

    4. 您可以安全地关闭故障控制器,并继续执行关机程序。