Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

檢查加密金鑰支援與狀態 - ASA A400

貢獻者 netapp-jsnyder dougthomp
PDF

為了確保儲存系統上的資料安全,您需要驗證開機媒體上的加密金鑰支援和狀態。檢查您的 ONTAP 版本是否支援 NetApp Volume Encryption ( NVE ),以及在關閉控制器之前,檢查金鑰管理程式是否為作用中。

如果您的儲存系統運作的是ONTAP 9.17.1 或更高版本,請使用"自動啟動恢復程序"。如果您的系統運行的是早期版本的ONTAP,則必須使用手動啟動復原程序。

步驟 1:檢查 NVE 支援並下載正確的ONTAP映像

確定您的ONTAP版本是否支援NetApp磁碟區加密 (NVE),以便您可以下載正確的ONTAP映像來取代啟動媒體。

步驟

  1. 檢查您的ONTAP版本是否支援加密:

    version -v

    如果輸出包括 1Ono-DARE,則您的叢集版本不支援 NVE 。

  2. 下載符合 NVE 支援的ONTAP鏡像:

    • 如果支援 NVE:下載具有NetApp磁碟區加密的ONTAP映像

    • 如果不支援 NVE:下載不含NetApp磁碟區加密的ONTAP映像

      註 從NetApp支援網站下載ONTAP映像到您的 HTTP 或 FTP 伺服器或本機資料夾。在更換啟動媒體的過程中,您將需要此映像檔。

步驟 2:驗證金鑰管理員狀態並備份配置

在關閉故障控制器之前,請先驗證金鑰管理器配置並備份必要資訊。

步驟

  1. 判斷您的系統上啟用的金鑰管理程式:

    版本ONTAP 執行此命令

    ONTAP 9.14.1 或更新版本

    security key-manager keystore show

    • 如果 EKM 已啟用、 `EKM`則會列在命令輸出中。

    • 如果 OKM 已啟用、 `OKM`則會列在命令輸出中。

    • 如果未啟用金鑰管理程式、 `No key manager keystores configured`則會列在命令輸出中。

    ONTAP 9 。 13.1 或更早版本

    security key-manager show-key-store

    • 如果 EKM 已啟用、 `external`則會列在命令輸出中。

    • 如果 OKM 已啟用、 `onboard`則會列在命令輸出中。

    • 如果未啟用金鑰管理程式、 `No key managers configured`則會列在命令輸出中。

  2. 根據系統中是否配置了金鑰管理器,執行下列操作之一:

    如果未配置金鑰管理員:

    您可以安全地關閉故障控制器,並繼續執行關機程序。

    如果配置了金鑰管理員(EKM 或 OKM):

    1. 輸入下列查詢指令,顯示金鑰管理員中驗證金鑰的狀態:

      security key-manager key query

    2. 查看輸出結果並檢查其中的值。 `Restored`柱子。此列指示金鑰管理員(EKM 或 OKM)的身份驗證金鑰是否已成功復原。

  3. 請根據您的密鑰管理員類型完成相應的操作步驟:

    外部金鑰管理程式(EKM)

    根據數值完成以下步驟。 `Restored`柱子。

    如果所有按鍵都顯示 `true`在「已復原」欄位中:

    您可以安全地關閉故障控制器,並繼續執行關機程序。

    如果任何鍵顯示的值不是 `true`在「已復原」欄位中:

    1. 將外部金鑰管理認證金鑰還原到叢集中的所有節點:

      security key-manager external restore

      如果指令執行失敗,請聯絡NetApp支援。

    2. 確認所有身份驗證金鑰已恢復:

      security key-manager key query

      確認 `Restored`列顯示 `true`適用於所有身份驗證金鑰。

    3. 如果所有金鑰都已恢復,則可以安全地關閉故障控制器並繼續執行關機程序。

    內建金鑰管理程式(OKM)

    根據數值完成以下步驟。 `Restored`柱子。

    如果所有按鍵都顯示 `true`在「已復原」欄位中:

    1. 備份 OKM 資訊:

      1. 切換到進階權限模式:

        set -priv advanced

      進入 `y`當提示繼續。

      1. 顯示金鑰管理備份資訊:

        security key-manager onboard show-backup

      2. 將備份資訊複製到單獨的檔案或日誌檔案中。

        如果在更換過程中需要手動還原 OKM,您將需要此備份資訊。

      3. 返回管理員模式:

        set -priv admin

    2. 您可以安全地關閉故障控制器,並繼續執行關機程序。

    如果任何鍵顯示的值不是 `true`在「已復原」欄位中:

    1. 同步板載密鑰管理器:

      security key-manager onboard sync

      出現提示時,請輸入 32 個字元的字母數字組合的機載密鑰管理密碼。

      註 這是您在最初配置車載密鑰管理器時建立的叢集範圍密碼短語。如果您沒有此密碼短語,請聯絡NetApp支援。

    2. 請確認所有驗證金鑰已恢復:

      security key-manager key query

      確認 Restored`列顯示 `true`對於所有身份驗證金鑰和 `Key Manager`類型展 `onboard

    3. 備份 OKM 資訊:

      1. 切換到進階權限模式:

        set -priv advanced

      進入 `y`當提示繼續。

      1. 顯示金鑰管理備份資訊:

        security key-manager onboard show-backup

      2. 將備份資訊複製到單獨的檔案或日誌檔案中。

        如果在更換過程中需要手動還原 OKM,您將需要此備份資訊。

      3. 返回管理員模式:

        set -priv admin

    4. 您可以安全地關閉故障控制器,並繼續執行關機程序。