Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

檢查加密金鑰支援與狀態 - FAS2600

貢獻者
PDF

關閉受損控制器之前、請檢查您的 ONTAP 版本是否支援 NetApp Volume Encryption ( NVE )、以及您的金鑰管理系統是否已正確設定。

步驟 1 :檢查您的 ONTAP 版本是否支援 NetApp Volume Encryption

檢查您的 ONTAP 版本是否支援 NetApp Volume Encryption ( NVE )。此資訊對於下載正確的 ONTAP 映像至關重要。

  1. 執行下列命令、判斷您的 ONTAP 版本是否支援加密:

    version -v

    如果輸出包括 1Ono-DARE,則您的叢集版本不支援 NVE 。

  2. 視系統是否支援 NVE 而定、請採取下列其中一項動作:

    • 如果支援 NVE 、請使用 NetApp Volume Encryption 下載 ONTAP 映像。

    • 如果 NVE 不受支援、請下載 ONTAP 映像 * 不含 * NetApp Volume Encryption 。

步驟 2 :確定關閉控制器是否安全

若要安全關閉控制器、請先識別外部金鑰管理程式( EKM )或內建金鑰管理程式( OKM )是否為作用中。然後、確認使用中的金鑰管理員、顯示適當的金鑰資訊、並根據驗證金鑰的狀態採取行動。

  1. 判斷您的系統上啟用的金鑰管理程式:

    版本ONTAP 執行此命令

    ONTAP 9.14.1 或更新版本

    security key-manager keystore show

    • 如果 EKM 已啟用、 `EKM`則會列在命令輸出中。

    • 如果 OKM 已啟用、 `OKM`則會列在命令輸出中。

    • 如果未啟用金鑰管理程式、 `No key manager keystores configured`則會列在命令輸出中。

    ONTAP 9 。 13.1 或更早版本

    security key-manager show-key-store

    • 如果 EKM 已啟用、 `external`則會列在命令輸出中。

    • 如果 OKM 已啟用、 `onboard`則會列在命令輸出中。

    • 如果未啟用金鑰管理程式、 `No key managers configured`則會列在命令輸出中。

  2. 根據您的系統是否已設定金鑰管理程式、請選取下列其中一個選項。

    未設定金鑰管理程式

    您可以安全地關閉受損的控制器。前往 "關閉受損的控制器"

    已設定外部或內建金鑰管理程式

    1. 輸入下列查詢命令、以顯示金鑰管理程式中驗證金鑰的狀態。

      security key-manager key query

    2. 檢查您的金鑰管理程式欄中的值輸出 Restored

      此欄會指出您的金鑰管理程式( EKM 或 OKM )的驗證金鑰是否已成功還原。

  3. 根據您的系統使用的是外部金鑰管理程式或內建金鑰管理程式、請選取下列其中一個選項。

    外部金鑰管理程式

    根據欄中顯示的輸出值 Restored、請遵循適當的步驟。

    列中的輸出值 Restored 請遵循下列步驟…​

    true

    您可以安全地關閉受損的控制器。前往 "關閉受損的控制器"

    其他任何項目 true

    1. 使用下列命令、將外部金鑰管理驗證金鑰還原至叢集中的所有節點:

      security key-manager external restore

      如果命令失敗,請與聯繫 "NetApp支援"

    2. 輸入命令、確認 Restored`所有驗證金鑰的欄位均 `security key-manager key query`顯示 `true

      如果所有驗證金鑰都是 true、您可以安全地關閉受損的控制器。前往 "關閉受損的控制器"
    內建金鑰管理程式

    根據欄中顯示的輸出值 Restored、請遵循適當的步驟。

    列中的輸出值 Restored 請遵循下列步驟…​

    true

    手動備份 OKM 資訊。

    1. 進入進階模式、 set -priv advanced`然後在出現提示時輸入 `Y

    2. 輸入下列命令以顯示金鑰管理資訊:

      security key-manager onboard show-backup

    3. 將備份資訊的內容複製到個別檔案或記錄檔。

      在可能需要手動恢復OKM的災難情境中、您將需要此工具。

    4. 您可以安全地關閉受損的控制器。前往 "關閉受損的控制器"

    其他任何項目 true

    1. 輸入內建安全金鑰管理程式同步命令:

      security key-manager onboard sync

    2. 出現提示時、請輸入 32 個字元、英數字元的內建金鑰管理密碼。

      如果無法提供通行密碼、請聯絡 "NetApp支援"

    3. 驗證 Restored`所有驗證金鑰的欄位顯示 `true

      security key-manager key query

    4. 驗證類型是否 Key Manager 顯示 onboard,然後手動備份 OKM 資訊。

    5. 輸入命令以顯示金鑰管理備份資訊:

      security key-manager onboard show-backup

    6. 將備份資訊的內容複製到個別檔案或記錄檔。

      在可能需要手動恢復OKM的災難情境中、您將需要此工具。

    7. 您可以安全地關閉受損的控制器。前往 "關閉受損的控制器"