版本資訊
建立ONTAP 驗證金鑰、請使用32個以上版本
建議變更
-
此文件 PDF 的網站
-
NAS儲存管理
-
個別的 PDF 文件集合
Creating your file...
您可以使用 security key-manager key create 命令可建立節點的驗證金鑰、並將其儲存在設定的 KMIP 伺服器上。
如果您的安全性設定要求您使用不同的金鑰進行資料驗證和FIPS 140-2驗證、您應該為每個金鑰建立個別的金鑰。如果情況並非如此、您可以使用與資料存取相同的 FIPS 法規遵循驗證金鑰。
此功能可為叢集中的所有節點建立驗證金鑰。ONTAP
-
啟用Onboard Key Manager時、不支援此命令。不過、啟用Onboard Key Manager時、會自動建立兩個驗證金鑰。您可以使用下列命令來檢視金鑰:
security key-manager key query -key-type NSE-AK
-
如果設定的金鑰管理伺服器已儲存超過128個驗證金鑰、您會收到警告。
-
您可以使用 `security key-manager key delete`命令刪除任何未使用的金鑰。 `security key-manager key delete`如果指定金鑰目前正由 ONTAP 使用,則命令會失敗。( Privileges 必須大於 `admin`才能使用此命令。)
在支援功能環境中、刪除金鑰之前、您必須先確定合作夥伴叢集上沒有使用金鑰MetroCluster 。您可以在合作夥伴叢集上使用下列命令、檢查金鑰是否未被使用:
-
storage encryption disk show -data-key-id <key-id> -
storage encryption disk show -fips-key-id <key-id>
-
您必須是叢集管理員才能執行此工作。
-
建立叢集節點的驗證金鑰:
security key-manager key create -key-tag <passphrase_label> -prompt-for-key true|falseCli
此設定 `prompt-for-key=true`會讓系統提示叢集管理員在驗證加密磁碟機時使用複雜密碼。否則、系統會自動產生32位元組的通關密碼。命令會 `security key-manager key create`取代 `security key-manager create-key`命令。如"指令參考資料ONTAP"需詳細 `security key-manager key create`資訊,請參閱。
下列範例會建立的驗證金鑰
cluster1,自動產生 32 位元組的複雜密碼:cluster1::> security key-manager key create Key ID: <id_value>
-
確認已建立驗證金鑰:
security key-manager key query -node node
命令會 `security key-manager key query`取代 `security key-manager query key`命令。如"指令參考資料ONTAP"需詳細 `security key-manager key query`資訊,請參閱。輸出中顯示的金鑰ID是用來參照驗證金鑰的識別碼。它不是實際的驗證金鑰或資料加密金鑰。
下列範例會驗證是否已為建立驗證金鑰
cluster1:cluster1::> security key-manager key query Vserver: cluster1 Key Manager: external Node: node1 Key Tag Key Type Restored ------------------------------------ -------- -------- node1 NSE-AK yes Key ID: <id_value> node1 NSE-AK yes Key ID: <id_value> Vserver: cluster1 Key Manager: external Node: node2 Key Tag Key Type Restored ------------------------------------ -------- -------- node2 NSE-AK yes Key ID: <id_value> node2 NSE-AK yes Key ID: <id_value>
