Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

在 ONTAP 9.6 及更高版本( NVE )中启用板载密钥管理

贡献者
PDF

您可以使用板载密钥管理器保护集群用于访问加密数据的密钥。您必须在访问加密卷或自加密磁盘的每个集群上启用板载密钥管理器。

关于此任务

您必须运行 security key-manager onboard sync 命令。

如果您使用的是MetroCluster配置、则必须运行 security key-manager onboard enable 命令、然后运行 security key-manager onboard sync 命令、并在每个上使用相同的密码短语。运行时 security key-manager onboard enable 命令、然后在远程集群上同步、则不需要运行 enable 命令。

默认情况下,重新启动节点时不需要输入密钥管理器密码短语。您可以使用 cc-mode-enabled=yes 选项、要求用户在重新启动后输入密码短语。

对于NVE (如果已设置) cc-mode-enabled=yes、使用创建的卷 volume createvolume move start 命令会自动加密。适用于 volume create,则无需指定 -encrypt true。适用于 volume move start,则无需指定 -encrypt-destination true

配置 ONTAP 空闲数据加密时,为了满足分类商业解决方案( CSFC )的要求,您必须将 NSE 与 NVE 结合使用,并确保在通用标准模式下启用板载密钥管理器。请参见 "CSFC 解决方案简介" 有关 CSFC 的详细信息,请参见。

备注

在通用标准模式下启用板载密钥管理器时 (cc-mode-enabled=yes)、系统行为将通过以下方式进行更改:

  • 在通用标准模式下运行时,系统会监控连续失败的集群密码短语尝试。

    如果在启动时未输入正确的集群密码短语,则不会挂载加密卷。要更正此问题,您必须重新启动节点并输入正确的集群密码短语。启动后,对于需要使用集群密码短语作为参数的任何命令,系统最多允许连续 5 次尝试在 24 小时内正确输入集群密码短语。如果已达到限制(例如,您连续 5 次未正确输入集群密码短语),则必须等待 24 小时超时期限过后,或者重新启动节点,才能重置此限制。

  • 系统映像更新使用 NetApp RSA-3072 代码签名证书以及 SHA-384 代码签名摘要来检查映像完整性,而不是使用通常的 NetApp RSA-2048 代码签名证书和 SHA-256 代码签名摘要。

    upgrade 命令可通过检查各种数字签名来验证映像内容是否未被更改或损坏。如果验证成功,映像更新过程将继续执行下一步;否则,映像更新将失败。请参见 cluster image 有关系统更新的信息、请参见手册页。
备注 板载密钥管理器将密钥存储在易失性内存中。系统重新启动或暂停后,易失性内存内容将被清除。在正常运行条件下,系统暂停后,易失性内存内容将在 30 秒内清除。
开始之前

  • 您必须是集群管理员才能执行此任务。

  • 在配置板载密钥管理器之前,您必须配置 MetroCluster 环境。

步骤

  1. 启动密钥管理器设置:

    security key-manager onboard enable -cc-mode-enabled yes|no

    备注

    设置 cc-mode-enabled=yes 要求用户在重新启动后输入密钥管理器密码短语。对于NVE (如果已设置) cc-mode-enabled=yes、使用创建的卷 volume createvolume move start 命令会自动加密。。 - cc-mode-enabled 选项在MetroCluster配置中不受支持。 。 security key-manager onboard enable 命令用于替换 security key-manager setup 命令:

    以下示例将在 cluster1 上启动密钥管理器设置命令,而无需在每次重新启动后输入密码短语:

    cluster1::> security key-manager onboard enable

Enter the cluster-wide passphrase for onboard key management in Vserver "cluster1"::    <32..256 ASCII characters long text>
Reenter the cluster-wide passphrase:    <32..256 ASCII characters long text>

  2. 在密码短语提示符处,输入 32 到 256 个字符的密码短语,或者对于 "`cc-mode` " ,输入 64 到 256 个字符的密码短语。

    备注

    如果指定的 "`cc-mode` " 密码短语少于 64 个字符,则在密钥管理器设置操作再次显示密码短语提示之前会有五秒的延迟。

  3. 在密码短语确认提示符处,重新输入密码短语。

  4. 验证是否已创建身份验证密钥:

    security key-manager key query -key-type NSE-AK

    备注

    security key-manager key query 命令用于替换 security key-manager query key 命令:有关完整的命令语法,请参见手册页。

    以下示例将验证是否已为创建身份验证密钥 cluster1

    cluster1::> security key-manager key query -key-type NSE-AK
               Node: node1
            Vserver: cluster1
        Key Manager: onboard
   Key Manager Type: OKM
 Key Manager Policy: -

 Key Tag                               Key Type Encryption   Restored

------------------------------------  -------- ------------ --------

node1                                 NSE-AK   AES-256      true

    Key ID: 00000000000000000200000000000100056178fc6ace6d91472df8a9286daacc0000000000000000

node1                                 NSE-AK   AES-256      true

    Key ID: 00000000000000000200000000000100df1689a148fdfbf9c2b198ef974d0baa0000000000000000

2 entries were displayed.

  5. (可选)将纯文本卷转换为加密卷。

    volume encryption conversion start

    转换卷之前、必须完全配置板载密钥管理器。在MetroCluster环境中、必须同时在两个站点上配置板载密钥管理器。

完成后

将密码短语复制到存储系统以外的安全位置,以供将来使用。

配置板载密钥管理器密码短语时,您还应手动将信息备份到存储系统以外的安全位置,以便在发生灾难时使用。请参见 "手动备份板载密钥管理信息"