Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

将 FIPS 驱动器或 SED 恢复到未受保护的模式

贡献者
PDF

只有当节点的身份验证密钥 ID 设置为非默认值时, FIPS 驱动器或 SED 才会受到保护,防止未经授权的访问。您可以使用将FIPS驱动器或SED返回到未受保护的模式 storage encryption disk modify 命令将密钥ID设置为默认值。

如果 HA 对使用加密 SAS 或 NVMe 驱动器( SED , NSE , FIPS ),则必须在初始化系统之前对 HA 对中的所有驱动器执行此过程(启动选项 4 或 9 )。如果不这样做,则在重新利用驱动器时,可能会导致未来数据丢失。

开始之前

您必须是集群管理员才能执行此任务。

步骤

  1. 将权限级别设置为高级:

    set -privilege advanced

  2. 如果 FIPS 驱动器以 FIPS 兼容模式运行,请将节点的 FIPS 身份验证密钥 ID 设置回默认 MSID 0x0 :

    storage encryption disk modify -disk disk_id -fips-key-id 0x0

    您可以使用 security key-manager query 用于查看密钥ID的命令。

    cluster1::> storage encryption disk modify -disk 2.10.11 -fips-key-id 0x0

Info: Starting modify on 14 disks.
      View the status of the operation by using the
      storage encryption disk show-status command.

    使用命令确认操作成功:

    storage encryption disk show-status

    重复show-status命令、直到"磁盘已开始"和"磁盘已完成"中的数字相同为止。

    cluster1:: storage encryption disk show-status

            FIPS    Latest   Start               Execution   Disks   Disks Disks
Node        Support Request  Timestamp           Time (sec)  Begun   Done  Successful
-------     ------- -------- ------------------  ---------- ------ ------  ----------
cluster1    true    modify   1/18/2022 15:29:38    3           14     5         5
1 entry was displayed.

  3. 将节点的数据身份验证密钥 ID 重新设置为默认 MSID 0x0 :

    storage encryption disk modify -disk disk_id -data-key-id 0x0

    的值 -data-key-id 无论您要将SAS或NVMe驱动器返回到未受保护的模式、都应设置为0x0。

    您可以使用 security key-manager query 用于查看密钥ID的命令。

    cluster1::> storage encryption disk modify -disk 2.10.11 -data-key-id 0x0

Info: Starting modify on 14 disks.
      View the status of the operation by using the
      storage encryption disk show-status command.

    使用命令确认操作成功:

    storage encryption disk show-status

    重复 show-status 命令,直到数字相同为止。如果"disks"(磁盘开始)和"disks Done (磁盘完成)"中的数字相同、则操作完成。

维护模式

从ONTAP 9.7开始、您可以从维护模式重新为FIPS驱动器设置密钥。只有在无法使用上一节中的ONTAP 命令行界面说明时、才应使用维护模式。

步骤

  1. 将节点的FIPS身份验证密钥ID重新设置为默认MSID 0x0:

    disk encrypt rekey_fips 0x0 disklist

  2. 将节点的数据身份验证密钥 ID 重新设置为默认 MSID 0x0 :

    disk encrypt rekey 0x0 disklist

  3. 确认已成功重新设置FIPS身份验证密钥密钥:

    disk encrypt show_fips

  4. 确认已使用成功重新设置数据身份验证密钥密钥:

    disk encrypt show

    您的输出可能会显示默认的MSID 0x0密钥ID或密钥服务器持有的64字符值。。 Locked? 字段是指数据锁定。

Disk       FIPS Key ID                 Locked?
---------- --------------------------- -------
0a.01.0    0x0                          Yes