发行说明
在 ONTAP 9.6 及更高版本中创建身份验证密钥
建议更改
-
本文档站点的 PDF
-
NAS 存储管理
-
单独 PDF 文档的收集
Creating your file...
您可以使用 security key-manager key create 命令为节点创建身份验证密钥并将其存储在已配置的KMIP服务器上。
如果您的安全设置要求您使用不同的密钥进行数据身份验证和 FIPS 140-2 身份验证,则应为每个密钥创建一个单独的密钥。否则、您可以使用与数据访问相同的身份验证密钥来满足FIPS合规性要求。
ONTAP 会为集群中的所有节点创建身份验证密钥。
-
启用板载密钥管理器后,不支持此命令。但是,启用板载密钥管理器后,系统会自动创建两个身份验证密钥。可以使用以下命令查看这些密钥:
security key-manager key query -key-type NSE-AK
-
如果已配置的密钥管理服务器已存储超过 128 个身份验证密钥,则会收到警告。
-
您可以使用
security key-manager key delete`命令删除任何未使用的密钥。 `security key-manager key delete`如果给定密钥当前正由ONTAP使用、则命令将失败。(要使用此命令、必须将Privileges设置为大于 `admin。)
在MetroCluster 环境中、删除密钥之前、必须确保配对集群上未使用此密钥。您可以在配对集群上使用以下命令来检查此密钥是否未被使用:
-
storage encryption disk show -data-key-id <key-id> -
storage encryption disk show -fips-key-id <key-id>
-
您必须是集群管理员才能执行此任务。
-
为集群节点创建身份验证密钥:
security key-manager key create -key-tag <passphrase_label> -prompt-for-key true|falseCli
设置后
prompt-for-key=true、系统会提示集群管理员输入密码短语、以便对加密驱动器进行身份验证。否则,系统将自动生成 32 字节密码短语。security key-manager key create`命令将取代 `security key-manager create-key`命令。有关的详细信息 `security key-manager key create,请参见"ONTAP 命令参考"。以下示例将为创建身份验证密钥
cluster1,自动生成32字节密码短语:cluster1::> security key-manager key create Key ID: <id_value>
-
验证是否已创建身份验证密钥:
security key-manager key query -node node
`security key-manager key query`命令将取代 `security key-manager query key`命令。有关的详细信息 `security key-manager key query`,请参见link:https://docs.netapp.com/us-en/ontap-cli/security-key-manager-key-query.html["ONTAP 命令参考"^]。输出中显示的密钥 ID 是用于引用身份验证密钥的标识符。它不是实际的身份验证密钥或数据加密密钥。
以下示例将验证是否已为创建身份验证密钥
cluster1:cluster1::> security key-manager key query Vserver: cluster1 Key Manager: external Node: node1 Key Tag Key Type Restored ------------------------------------ -------- -------- node1 NSE-AK yes Key ID: <id_value> node1 NSE-AK yes Key ID: <id_value> Vserver: cluster1 Key Manager: external Node: node2 Key Tag Key Type Restored ------------------------------------ -------- -------- node2 NSE-AK yes Key ID: <id_value> node2 NSE-AK yes Key ID: <id_value>
