配置集群模式外部密钥服务器
建议更改
PDF
从ONTAP 9.11.1开始、您可以配置与SVM上的集群模式外部密钥管理服务器的连接。使用集群模式密钥服务器、您可以在SVM上指定主密钥服务器和二级密钥服务器。注册密钥时、ONTAP 会先尝试访问主密钥服务器、然后再按顺序尝试访问二级服务器、直到操作成功完成、从而防止密钥重复。
外部密钥服务器可用于NSE、NVE、NAE和SED密钥。一个SVM最多可支持四个主外部KMIP服务器。每个主服务器最多可支持三个二级密钥服务器。
开始之前
-
此过程仅支持使用KMIP的密钥服务器。有关支持的密钥服务器列表、请查看 "NetApp 互操作性表工具"。
-
集群中的所有节点都必须运行ONTAP 9.11.1或更高版本。
-
服务器的顺序列出中的参数
-secondary-key-servers参数反映外部密钥管理(KMIP)服务器的访问顺序。
创建集群密钥服务器
配置操作步骤 取决于您是否配置了主密钥服务器。
-
确认尚未为集群启用密钥管理:
security key-manager external show -vserver svm_name
如果SVM已启用最多四个主密钥服务器、则必须先删除其中一个现有主密钥服务器、然后再添加新的主密钥服务器。 -
启用主密钥管理器:
security key-manager external enable -vserver svm_name -key-servers server_ip -client-cert client_cert_name -server-ca-certs server_ca_cert_names -
修改主密钥服务器以添加二级密钥服务器。。
-secondary-key-servers参数可接受最多包含三个密钥服务器的逗号分隔列表。
security key-manager external modify-server -vserver svm_name -key-servers primary_key_server -secondary-key-servers list_of_key_servers
-
修改主密钥服务器以添加二级密钥服务器。。
-secondary-key-servers参数可接受最多包含三个密钥服务器的逗号分隔列表。
security key-manager external modify-server -vserver svm_name -key-servers primary_key_server -secondary-key-servers list_of_key_servers
有关二级密钥服务器的详细信息、请参见 [mod-secondary]。
修改集群模式密钥服务器
您可以通过更改特定密钥服务器的状态(主或二级)、添加和删除二级密钥服务器或更改二级密钥服务器的访问顺序来修改外部密钥服务器集群。
转换主密钥服务器和辅助密钥服务器
要将主密钥服务器转换为二级密钥服务器、必须先使用将其从SVM中删除 security key-manager external remove-servers 命令:
要将二级密钥服务器转换为主密钥服务器、必须先从其现有主密钥服务器中删除二级密钥服务器。请参见 [mod-secondary]。如果在删除现有密钥的同时将二级密钥服务器转换为主服务器、则在完成删除和转换之前尝试添加新服务器可能会导致密钥重复。
修改二级密钥服务器
二级密钥服务器通过进行管理 -secondary-key-servers 的参数 security key-manager external modify-server 命令:。 -secondary-key-servers 参数接受逗号分隔列表。此列表中二级密钥服务器的指定顺序决定了二级密钥服务器的访问顺序。可以通过运行命令来修改访问顺序 security key-manager external modify-server 次密钥服务器按不同顺序输入。
要删除辅助密钥服务器、请 -secondary-key-servers 参数应包括要保留的密钥服务器、而不包括要删除的密钥服务器。要删除所有辅助密钥服务器、请使用参数 -,表示无。
对于追加信息 、请参见 security key-manager external 页面 "ONTAP 命令参考"。