在 ONTAP 9.5 及更早版本中启用板载密钥管理
您可以使用板载密钥管理器向 FIPS 驱动器或 SED 验证集群节点的身份。板载密钥管理器是一个内置工具,可从与数据相同的存储系统为节点提供身份验证密钥。板载密钥管理器符合 FIPS-140-2 1 级标准。
您可以使用板载密钥管理器保护集群用于访问加密数据的密钥。您必须在访问加密卷或自加密磁盘的每个集群上启用板载密钥管理器。
您必须运行 security key-manager setup
命令。
如果您使用的是 MetroCluster 配置,请查看以下准则:
-
在ONTAP 9.5中、必须运行
security key-manager setup
在本地集群上、然后security key-manager setup -sync-metrocluster-config yes
在远程集群上、在每个上使用相同的密码短语。 -
在ONTAP 9.5之前的版本中、您必须运行
security key-manager setup
在本地集群上、等待大约20秒、然后运行security key-manager setup
在远程集群上、在每个上使用相同的密码短语。
默认情况下,重新启动节点时不需要输入密钥管理器密码短语。从ONTAP 9.4开始、您可以使用 -enable-cc-mode yes
选项、要求用户在重新启动后输入密码短语。
对于NVE (如果已设置) -enable-cc-mode yes
、使用创建的卷 volume create
和 volume move start
命令会自动加密。适用于 volume create
,则无需指定 -encrypt true
。适用于 volume move start
,则无需指定 -encrypt-destination true
。
密码短语尝试失败后,必须重新启动节点。 |
-
如果将 NSE 与外部密钥管理( KMIP )服务器结合使用,则必须已删除外部密钥管理器数据库。
-
您必须是集群管理员才能执行此任务。
-
在配置板载密钥管理器之前,您必须先配置 MetroCluster 环境。
-
启动密钥管理器设置:
security key-manager setup -enable-cc-mode yes|no
从ONTAP 9.4开始、您可以使用 -enable-cc-mode yes
此选项要求用户在重新启动后输入密钥管理器密码短语。对于NVE (如果已设置)-enable-cc-mode yes
、使用创建的卷volume create
和volume move start
命令会自动加密。以下示例将开始在 cluster1 上设置密钥管理器,而无需在每次重新启动后输入密码短语:
cluster1::> security key-manager setup Welcome to the key manager setup wizard, which will lead you through the steps to add boot information. ... Would you like to use onboard key-management? {yes, no} [yes]: Enter the cluster-wide passphrase: <32..256 ASCII characters long text> Reenter the cluster-wide passphrase: <32..256 ASCII characters long text>
-
输入 …
yes
在提示符处配置板载密钥管理。 -
在密码短语提示符处,输入 32 到 256 个字符的密码短语,或者对于 "`cc-mode` " ,输入 64 到 256 个字符的密码短语。
如果指定的 "`cc-mode` " 密码短语少于 64 个字符,则在密钥管理器设置操作再次显示密码短语提示之前会有五秒的延迟。 -
在密码短语确认提示符处,重新输入密码短语。
-
验证是否已为所有节点配置密钥:
security key-manager key show
有关完整的命令语法,请参见手册页。
cluster1::> security key-manager key show Node: node1 Key Store: onboard Key ID Used By ---------------------------------------------------------------- -------- 0000000000000000020000000000010059851742AF2703FC91369B7DB47C4722 NSE-AK 000000000000000002000000000001008C07CC0AF1EF49E0105300EFC83004BF NSE-AK Node: node2 Key Store: onboard Key ID Used By ---------------------------------------------------------------- -------- 0000000000000000020000000000010059851742AF2703FC91369B7DB47C4722 NSE-AK 000000000000000002000000000001008C07CC0AF1EF49E0105300EFC83004BF NSE-AK
所有密钥管理信息都会自动备份到集群的复制数据库( RDB )。
配置板载密钥管理器密码短语时,您还应手动将信息备份到存储系统以外的安全位置,以便在发生灾难时使用。请参见 "手动备份板载密钥管理信息"。