Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

建立ONTAP 驗證金鑰、請使用32個以上版本

貢獻者
PDF

您可以使用 security key-manager key create 命令可建立節點的驗證金鑰、並將其儲存在設定的 KMIP 伺服器上。

關於這項工作

如果您的安全性設定要求您使用不同的金鑰進行資料驗證和FIPS 140-2驗證、您應該為每個金鑰建立個別的金鑰。如果情況並非如此、您可以使用與資料存取相同的 FIPS 法規遵循驗證金鑰。

此功能可為叢集中的所有節點建立驗證金鑰。ONTAP

  • 啟用Onboard Key Manager時、不支援此命令。不過、啟用Onboard Key Manager時、會自動建立兩個驗證金鑰。您可以使用下列命令來檢視金鑰:

    security key-manager key query -key-type NSE-AK

  • 如果設定的金鑰管理伺服器已儲存超過128個驗證金鑰、您會收到警告。

  • 您可以使用 security key-manager key delete 刪除任何未使用金鑰的命令。。 security key-manager key delete 如果指定金鑰目前正由 ONTAP 使用、則命令會失敗。(您必須擁有大於「admin」的權限、才能使用此命令。)

    註

    在支援功能環境中、刪除金鑰之前、您必須先確定合作夥伴叢集上沒有使用金鑰MetroCluster 。您可以在合作夥伴叢集上使用下列命令、檢查金鑰是否未被使用:

    • storage encryption disk show -data-key-id key-id

    • storage encryption disk show -fips-key-id key-id
開始之前

您必須是叢集管理員才能執行此工作。

步驟

  1. 建立叢集節點的驗證金鑰:

    security key-manager key create -key-tag passphrase_label -prompt-for-key true|false

    註

    設定 prompt-for-key=true 使系統提示叢集管理員在驗證加密磁碟機時使用密碼。否則、系統會自動產生32位元組的通關密碼。 。 security key-manager key create 命令會取代 security key-manager create-key 命令。如需完整的命令語法、請參閱手冊頁。

    下列範例會建立的驗證金鑰 cluster1,自動產生 32 位元組的複雜密碼:

    cluster1::> security key-manager key create
Key ID: 000000000000000002000000000001006268333f870860128fbe17d393e5083b0000000000000000

  2. 確認已建立驗證金鑰:

    security key-manager key query -node node

    註

    security key-manager key query 命令會取代 security key-manager query key 命令。如需完整的命令語法、請參閱手冊頁。 輸出中顯示的金鑰ID是用來參照驗證金鑰的識別碼。它不是實際的驗證金鑰或資料加密金鑰。

    下列範例會驗證是否已為建立驗證金鑰 cluster1

    cluster1::> security key-manager key query
       Vserver: cluster1
   Key Manager: external
          Node: node1

Key Tag                               Key Type  Restored
------------------------------------  --------  --------
node1                                 NSE-AK    yes
    Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000
node1                                 NSE-AK    yes
    Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000

       Vserver: cluster1
   Key Manager: external
          Node: node2

Key Tag                               Key Type  Restored
------------------------------------  --------  --------
node2                                 NSE-AK    yes
    Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000
node2                                 NSE-AK    yes
    Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000