Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

在 ONTAP 9.6 及更高版本中创建身份验证密钥

贡献者
PDF

您可以使用 security key-manager key create 命令为节点创建身份验证密钥并将其存储在已配置的KMIP服务器上。

关于此任务

如果您的安全设置要求您使用不同的密钥进行数据身份验证和 FIPS 140-2 身份验证,则应为每个密钥创建一个单独的密钥。否则、您可以使用与数据访问相同的身份验证密钥来满足FIPS合规性要求。

ONTAP 会为集群中的所有节点创建身份验证密钥。

  • 启用板载密钥管理器后,不支持此命令。但是,启用板载密钥管理器后,系统会自动创建两个身份验证密钥。可以使用以下命令查看这些密钥:

    security key-manager key query -key-type NSE-AK

  • 如果已配置的密钥管理服务器已存储超过 128 个身份验证密钥,则会收到警告。

  • 您可以使用 security key-manager key delete 命令以删除任何未使用的密钥。。 security key-manager key delete 如果给定密钥当前正由ONTAP使用、则命令将失败。(要使用此命令,您的权限必须大于 "`admin` " 。)

    备注

    在MetroCluster 环境中、删除密钥之前、必须确保配对集群上未使用此密钥。您可以在配对集群上使用以下命令来检查此密钥是否未被使用:

    • storage encryption disk show -data-key-id key-id

    • storage encryption disk show -fips-key-id key-id
开始之前

您必须是集群管理员才能执行此任务。

步骤

  1. 为集群节点创建身份验证密钥:

    security key-manager key create -key-tag passphrase_label -prompt-for-key true|false

    备注

    正在设置 …​ prompt-for-key=true 使系统提示集群管理员在对加密驱动器进行身份验证时使用密码短语。否则,系统将自动生成 32 字节密码短语。 。 security key-manager key create 命令用于替换 security key-manager create-key 命令:有关完整的命令语法,请参见手册页。

    以下示例将为创建身份验证密钥 cluster1,自动生成32字节密码短语:

    cluster1::> security key-manager key create
Key ID: 000000000000000002000000000001006268333f870860128fbe17d393e5083b0000000000000000

  2. 验证是否已创建身份验证密钥:

    security key-manager key query -node node

    备注

    security key-manager key query 命令用于替换 security key-manager query key 命令:有关完整的命令语法,请参见手册页。 输出中显示的密钥 ID 是用于引用身份验证密钥的标识符。它不是实际的身份验证密钥或数据加密密钥。

    以下示例将验证是否已为创建身份验证密钥 cluster1

    cluster1::> security key-manager key query
       Vserver: cluster1
   Key Manager: external
          Node: node1

Key Tag                               Key Type  Restored
------------------------------------  --------  --------
node1                                 NSE-AK    yes
    Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000
node1                                 NSE-AK    yes
    Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000

       Vserver: cluster1
   Key Manager: external
          Node: node2

Key Tag                               Key Type  Restored
------------------------------------  --------  --------
node2                                 NSE-AK    yes
    Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000
node2                                 NSE-AK    yes
    Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000