版本資訊
啟用更新版本的更新版本、以利執行內建金鑰管理ONTAP
建議變更
-
此文件 PDF 的網站
-
NAS儲存管理
-
個別的 PDF 文件集合
Creating your file...
您可以使用Onboard Key Manager驗證FIPS磁碟機或SED的叢集節點。內建金鑰管理程式是一項內建工具、可從與資料相同的儲存系統、為節點提供驗證金鑰。Onboard Key Manager符合FIPS-140-2第1級標準。
您可以使用Onboard Key Manager來保護叢集用來存取加密資料的金鑰。您必須在每個存取加密磁碟區或自我加密磁碟的叢集上啟用Onboard Key Manager。
您必須執行 security key-manager onboard enable 每次將節點新增至叢集時的命令。在 MetroCluster 組態中、您必須執行 security key-manager onboard enable 先在本機叢集上執行 security key-manager onboard sync 在遠端叢集上、使用相同的複雜密碼。
根據預設、當節點重新開機時、您不需要輸入金鑰管理程式密碼。除了在 MetroCluster 中、您可以使用 cc-mode-enabled=yes 選項要求使用者在重新開機後輸入複雜密碼。
|
當「內建金鑰管理程式」在「一般條件」模式中啟用時 (
|
|
|
Onboard Key Manager可將金鑰儲存在揮發性記憶體中。當系統重新開機或停止時、揮發性記憶體內容會被清除。在正常操作條件下、系統停止時、揮發性記憶體內容將在30秒內清除。 |
-
如果您使用NSE搭配外部金鑰管理(KMIP)伺服器、則必須刪除外部金鑰管理程式資料庫。
-
您必須是叢集管理員才能執行此工作。
-
設定Onboard Key Manager之前、您必須先設定MetroCluster 這個靜態環境。
-
啟動金鑰管理程式設定命令:
security key-manager onboard enable -cc-mode-enabled yes|no
設定 cc-mode-enabled=yes要求使用者在重新開機後輸入金鑰管理密碼。。- cc-mode-enabledMetroCluster 組態不支援此選項。 。security key-manager onboard enable命令會取代security key-manager setup命令。下列範例會在叢集1上啟動金鑰管理程式設定命令、而不要求在每次重新開機後輸入通關密碼:
cluster1::> security key-manager onboard enable Enter the cluster-wide passphrase for onboard key management in Vserver "cluster1":: <32..256 ASCII characters long text> Reenter the cluster-wide passphrase: <32..256 ASCII characters long text>
-
在通關密碼提示字元中、輸入32到256個字元之間的通關密碼、或輸入「'cc-mode'」(64到256個字元之間的通關密碼)。
如果指定的"'cc-mode"通關密碼少於64個字元、則在金鑰管理程式設定作業再次顯示通關密碼提示之前、會有五秒鐘的延遲。 -
在通關密碼確認提示下、重新輸入通關密碼。
-
確認已建立驗證金鑰:
security key-manager key query -node node
。 security key-manager key query命令會取代security key-manager query key命令。如需完整的命令語法、請參閱手冊頁。下列範例會驗證是否已為建立驗證金鑰
cluster1:cluster1::> security key-manager key query Vserver: cluster1 Key Manager: onboard Node: node1 Key Tag Key Type Restored ------------------------------------ -------- -------- node1 NSE-AK yes Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000 node1 NSE-AK yes Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000 Vserver: cluster1 Key Manager: onboard Node: node2 Key Tag Key Type Restored ------------------------------------ -------- -------- node1 NSE-AK yes Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000 node2 NSE-AK yes Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000
將通關密碼複製到儲存系統外部的安全位置、以供未來使用。
所有的金鑰管理資訊都會自動備份到叢集的複寫資料庫(RDB)。您也應該手動備份資訊、以便在發生災難時使用。