简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

在 ONTAP 9.5 及更早版本中启用板载密钥管理

提供者 netapp-thomi

您可以使用板载密钥管理器向 FIPS 驱动器或 SED 验证集群节点的身份。板载密钥管理器是一个内置工具,可从与数据相同的存储系统为节点提供身份验证密钥。板载密钥管理器符合 FIPS-140-2 1 级标准。

您可以使用板载密钥管理器保护集群用于访问加密数据的密钥。您必须在访问加密卷或自加密磁盘的每个集群上启用板载密钥管理器。

您需要什么? #8217 ;将需要什么
  • 如果将 NSE 与外部密钥管理( KMIP )服务器结合使用,则必须已删除外部密钥管理器数据库。

  • 您必须是集群管理员才能执行此任务。

  • 在配置板载密钥管理器之前,您必须先配置 MetroCluster 环境。

每次向集群添加节点时,您都必须运行 security key-manager setup 命令。

如果您使用的是 MetroCluster 配置,请查看以下准则:

  • 在 ONTAP 9.5 中,您必须在本地集群上运行 security key-manager setup ,并在远程集群上运行 security key-manager setup -sync-metrocluster-config yes ,每个都使用相同的密码短语。

  • 在 ONTAP 9.5 之前的版本中,您必须在本地集群上运行 sSecurity key-manager setup ,等待大约 20 秒,然后在远程集群上运行 sSecurity key-manager setup ,并在每个集群上使用相同的密码短语。

默认情况下,重新启动节点时不需要输入密钥管理器密码短语。从 ONTAP 9.4 开始,您可以使用 ` -enable-cc-mode yes` 选项要求用户在重新启动后输入密码短语。

对于 NVE ,如果设置 ` -enable-cc-mode yes` ,则使用 volume createvolume move start 命令创建的卷会自动加密。对于 volume create ,不需要指定 ` -encrypt true` 。对于 volume move start ,您不需要指定 ` -encrypt-destination true` 。

注

密码短语尝试失败后,必须重新启动节点。

步骤
  1. 启动密钥管理器设置:

    security key-manager setup -enable-cc-mode yes|no

    注

    从 ONTAP 9.4 开始,您可以使用 ` -enable-cc-mode yes` 选项要求用户在重新启动后输入密钥管理器密码短语。对于 NVE ,如果设置 ` -enable-cc-mode yes` ,则使用 volume createvolume move start 命令创建的卷会自动加密。

    以下示例将开始在 cluster1 上设置密钥管理器,而无需在每次重新启动后输入密码短语:

    cluster1::> security key-manager setup
    Welcome to the key manager setup wizard, which will lead you through
    the steps to add boot information.
    
    ...
    
    Would you like to use onboard key-management? {yes, no} [yes]:
    Enter the cluster-wide passphrase:    <32..256 ASCII characters long text>
    Reenter the cluster-wide passphrase:    <32..256 ASCII characters long text>
  2. 在提示符处输入 yes 以配置板载密钥管理。

  3. 在密码短语提示符处,输入 32 到 256 个字符的密码短语,或者对于 "`cc-mode` " ,输入 64 到 256 个字符的密码短语。

    注

    如果指定的 "`cc-mode` " 密码短语少于 64 个字符,则在密钥管理器设置操作再次显示密码短语提示之前会有五秒的延迟。

  4. 在密码短语确认提示符处,重新输入密码短语。

  5. 验证是否已为所有节点配置密钥:

    sSecurity key-manager key show

    有关完整的命令语法,请参见手册页。

    cluster1::> security key-manager key show
    
    Node: node1
    Key Store: onboard
    Key ID                                                           Used By
    ---------------------------------------------------------------- --------
    0000000000000000020000000000010059851742AF2703FC91369B7DB47C4722 NSE-AK
    000000000000000002000000000001008C07CC0AF1EF49E0105300EFC83004BF NSE-AK
    
    Node: node2
    Key Store: onboard
    Key ID                                                           Used By
    ---------------------------------------------------------------- --------
    0000000000000000020000000000010059851742AF2703FC91369B7DB47C4722 NSE-AK
    000000000000000002000000000001008C07CC0AF1EF49E0105300EFC83004BF NSE-AK

所有密钥管理信息都会自动备份到集群的复制数据库( RDB )。

配置板载密钥管理器密码短语时,您还应手动将信息备份到存储系统以外的安全位置,以便在发生灾难时使用。请参见 "手动备份板载密钥管理信息"