在 ONTAP 9.6 及更高版本中创建身份验证密钥
建议更改
PDF
您可以使用 security key-manager key create 命令为节点创建身份验证密钥并将其存储在已配置的KMIP服务器上。
如果您的安全设置要求您使用不同的密钥进行数据身份验证和 FIPS 140-2 身份验证,则应为每个密钥创建一个单独的密钥。否则、您可以使用与数据访问相同的身份验证密钥来满足FIPS合规性要求。
ONTAP 会为集群中的所有节点创建身份验证密钥。
-
启用板载密钥管理器后,不支持此命令。但是,启用板载密钥管理器后,系统会自动创建两个身份验证密钥。可以使用以下命令查看这些密钥:
security key-manager key query -key-type NSE-AK -
如果已配置的密钥管理服务器已存储超过 128 个身份验证密钥,则会收到警告。
-
您可以使用
security key-manager key delete命令以删除任何未使用的密钥。。security key-manager key delete如果给定密钥当前正由ONTAP使用、则命令将失败。(要使用此命令,您的权限必须大于 "`admin` " 。)
在MetroCluster 环境中、删除密钥之前、必须确保配对集群上未使用此密钥。您可以在配对集群上使用以下命令来检查此密钥是否未被使用:
-
storage encryption disk show -data-key-id key-id -
storage encryption disk show -fips-key-id key-id
-
您必须是集群管理员才能执行此任务。
-
为集群节点创建身份验证密钥:
security key-manager key create -key-tag passphrase_label -prompt-for-key true|false
正在设置 …
prompt-for-key=true使系统提示集群管理员在对加密驱动器进行身份验证时使用密码短语。否则,系统将自动生成 32 字节密码短语。 。security key-manager key create命令用于替换security key-manager create-key命令:有关完整的命令语法,请参见手册页。以下示例将为创建身份验证密钥
cluster1,自动生成32字节密码短语:cluster1::> security key-manager key create Key ID: 000000000000000002000000000001006268333f870860128fbe17d393e5083b0000000000000000
-
验证是否已创建身份验证密钥:
security key-manager key query -node node
。
security key-manager key query命令用于替换security key-manager query key命令:有关完整的命令语法,请参见手册页。 输出中显示的密钥 ID 是用于引用身份验证密钥的标识符。它不是实际的身份验证密钥或数据加密密钥。以下示例将验证是否已为创建身份验证密钥
cluster1:cluster1::> security key-manager key query Vserver: cluster1 Key Manager: external Node: node1 Key Tag Key Type Restored ------------------------------------ -------- -------- node1 NSE-AK yes Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000 node1 NSE-AK yes Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000 Vserver: cluster1 Key Manager: external Node: node2 Key Tag Key Type Restored ------------------------------------ -------- -------- node2 NSE-AK yes Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000 node2 NSE-AK yes Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000