檢查加密金鑰支援與狀態 - FAS500f
關閉受損控制器之前、請檢查您的 ONTAP 版本是否支援 NetApp Volume Encryption ( NVE )、以及您的金鑰管理系統是否已正確設定。
步驟 1 :檢查您的 ONTAP 版本是否支援 NetApp Volume Encryption
檢查您的 ONTAP 版本是否支援 NetApp Volume Encryption ( NVE )。此資訊對於下載正確的 ONTAP 映像至關重要。
-
執行下列命令、判斷您的 ONTAP 版本是否支援加密:
version -v
如果輸出包括
1Ono-DARE
,則您的叢集版本不支援 NVE 。 -
視系統是否支援 NVE 而定、請採取下列其中一項動作:
-
如果支援 NVE 、請使用 NetApp Volume Encryption 下載 ONTAP 映像。
-
如果 NVE 不受支援、請下載 ONTAP 映像 * 不含 * NetApp Volume Encryption 。
-
步驟 2 :確定關閉控制器是否安全
若要安全關閉控制器、請先識別外部金鑰管理程式( EKM )或內建金鑰管理程式( OKM )是否為作用中。然後、確認使用中的金鑰管理員、顯示適當的金鑰資訊、並根據驗證金鑰的狀態採取行動。
-
判斷您的系統上啟用的金鑰管理程式:
版本ONTAP 執行此命令 ONTAP 9.14.1 或更新版本
security key-manager keystore show
-
如果 EKM 已啟用、 `EKM`則會列在命令輸出中。
-
如果 OKM 已啟用、 `OKM`則會列在命令輸出中。
-
如果未啟用金鑰管理程式、 `No key manager keystores configured`則會列在命令輸出中。
ONTAP 9 。 13.1 或更早版本
security key-manager show-key-store
-
如果 EKM 已啟用、 `external`則會列在命令輸出中。
-
如果 OKM 已啟用、 `onboard`則會列在命令輸出中。
-
如果未啟用金鑰管理程式、 `No key managers configured`則會列在命令輸出中。
-
-
根據您的系統是否已設定金鑰管理程式、請選取下列其中一個選項。
未設定金鑰管理程式您可以安全地關閉受損的控制器。前往 "關閉受損的控制器"。
已設定外部或內建金鑰管理程式-
輸入下列查詢命令、以顯示金鑰管理程式中驗證金鑰的狀態。
security key-manager key query
-
檢查您的金鑰管理程式欄中的值輸出
Restored
。此欄會指出您的金鑰管理程式( EKM 或 OKM )的驗證金鑰是否已成功還原。
-
-
根據您的系統使用的是外部金鑰管理程式或內建金鑰管理程式、請選取下列其中一個選項。
外部金鑰管理程式根據欄中顯示的輸出值
Restored
、請遵循適當的步驟。列中的輸出值 Restored
請遵循下列步驟… true
您可以安全地關閉受損的控制器。前往 "關閉受損的控制器"。
其他任何項目
true
-
使用下列命令、將外部金鑰管理驗證金鑰還原至叢集中的所有節點:
security key-manager external restore
如果命令失敗,請與聯繫 "NetApp支援"。
-
輸入命令、確認
Restored`所有驗證金鑰的欄位均 `security key-manager key query`顯示 `true
。如果所有驗證金鑰都是
true
、您可以安全地關閉受損的控制器。前往 "關閉受損的控制器"。
內建金鑰管理程式根據欄中顯示的輸出值
Restored
、請遵循適當的步驟。列中的輸出值 Restored
請遵循下列步驟… true
手動備份 OKM 資訊。
-
進入進階模式、
set -priv advanced`然後在出現提示時輸入 `Y
。 -
輸入下列命令以顯示金鑰管理資訊:
security key-manager onboard show-backup
-
將備份資訊的內容複製到個別檔案或記錄檔。
在可能需要手動恢復OKM的災難情境中、您將需要此工具。
-
您可以安全地關閉受損的控制器。前往 "關閉受損的控制器"。
其他任何項目
true
-
輸入內建安全金鑰管理程式同步命令:
security key-manager onboard sync
-
出現提示時、請輸入 32 個字元、英數字元的內建金鑰管理密碼。
如果無法提供通行密碼、請聯絡 "NetApp支援"。
-
驗證
Restored`所有驗證金鑰的欄位顯示 `true
:security key-manager key query
-
驗證類型是否
Key Manager
顯示onboard
,然後手動備份 OKM 資訊。 -
輸入命令以顯示金鑰管理備份資訊:
security key-manager onboard show-backup
-
將備份資訊的內容複製到個別檔案或記錄檔。
在可能需要手動恢復OKM的災難情境中、您將需要此工具。
-
您可以安全地關閉受損的控制器。前往 "關閉受損的控制器"。
-