Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

啟用更新版本的更新版本、以利執行內建金鑰管理ONTAP

貢獻者
PDF

您可以使用Onboard Key Manager驗證FIPS磁碟機或SED的叢集節點。內建金鑰管理程式是一項內建工具、可從與資料相同的儲存系統、為節點提供驗證金鑰。Onboard Key Manager符合FIPS-140-2第1級標準。

您可以使用Onboard Key Manager來保護叢集用來存取加密資料的金鑰。您必須在每個存取加密磁碟區或自我加密磁碟的叢集上啟用Onboard Key Manager。

關於這項工作

您必須執行 security key-manager onboard enable 每次將節點新增至叢集時的命令。在 MetroCluster 組態中、您必須執行 security key-manager onboard enable 先在本機叢集上執行 security key-manager onboard sync 在遠端叢集上、使用相同的複雜密碼。

根據預設、當節點重新開機時、您不需要輸入金鑰管理程式密碼。除了在 MetroCluster 中、您可以使用 cc-mode-enabled=yes 選項要求使用者在重新開機後輸入複雜密碼。

註

當「內建金鑰管理程式」在「一般條件」模式中啟用時 (cc-mode-enabled=yes)、系統行為會以下列方式變更:

  • 系統會監控在「一般準則」模式下運作時、連續嘗試失敗的叢集密碼。

    如果已啟用NetApp儲存加密(NSE)、且您在開機時未輸入正確的叢集密碼、則系統將無法驗證其磁碟機並自動重新開機。若要修正此問題、您必須在開機提示字元中輸入正確的叢集密碼。一旦開機、系統最多可連續5次嘗試在24小時內、針對任何需要叢集密碼作為參數的命令、正確輸入叢集密碼。如果達到限制(例如、您連續5次未正確輸入叢集密碼)、則必須等待24小時逾時期間、或是重新啟動節點、才能重設限制。

  • 系統映像更新會使用NetApp RSA-3072程式碼簽署憑證搭配SHA-384程式碼簽署摘要、來檢查映像完整性、而非一般的NetApp RSA-2048程式碼簽署憑證和SHA-256程式碼簽署摘要。

    升級命令會檢查各種數位簽章、以確認映像內容未遭竄改或毀損。如果驗證成功、映像更新程序會繼續下一步;否則映像更新會失敗。請參閱「叢集映像」手冊頁、以取得系統更新的相關資訊。
註 Onboard Key Manager可將金鑰儲存在揮發性記憶體中。當系統重新開機或停止時、揮發性記憶體內容會被清除。在正常操作條件下、系統停止時、揮發性記憶體內容將在30秒內清除。
開始之前

  • 如果您使用NSE搭配外部金鑰管理(KMIP)伺服器、則必須刪除外部金鑰管理程式資料庫。

    "從外部金鑰管理移轉至內建金鑰管理"

  • 您必須是叢集管理員才能執行此工作。

  • 設定Onboard Key Manager之前、您必須先設定MetroCluster 這個靜態環境。

步驟

  1. 啟動金鑰管理程式設定命令:

    security key-manager onboard enable -cc-mode-enabled yes|no

    註 設定 cc-mode-enabled=yes 要求使用者在重新開機後輸入金鑰管理密碼。。 - cc-mode-enabled MetroCluster 組態不支援此選項。 。 security key-manager onboard enable 命令會取代 security key-manager setup 命令。

    下列範例會在叢集1上啟動金鑰管理程式設定命令、而不要求在每次重新開機後輸入通關密碼:

    cluster1::> security key-manager onboard enable

Enter the cluster-wide passphrase for onboard key management in Vserver "cluster1"::    <32..256 ASCII characters long text>
Reenter the cluster-wide passphrase:    <32..256 ASCII characters long text>

  2. 在通關密碼提示字元中、輸入32到256個字元之間的通關密碼、或輸入「'cc-mode'」(64到256個字元之間的通關密碼)。

    註 如果指定的"'cc-mode"通關密碼少於64個字元、則在金鑰管理程式設定作業再次顯示通關密碼提示之前、會有五秒鐘的延遲。

  3. 在通關密碼確認提示下、重新輸入通關密碼。

  4. 確認已建立驗證金鑰:

    security key-manager key query -node node

    註 security key-manager key query 命令會取代 security key-manager query key 命令。如需完整的命令語法、請參閱手冊頁。

    下列範例會驗證是否已為建立驗證金鑰 cluster1

    cluster1::> security key-manager key query
       Vserver: cluster1
   Key Manager: onboard
          Node: node1

Key Tag                               Key Type  Restored
------------------------------------  --------  --------
node1                                 NSE-AK    yes
    Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000
node1                                 NSE-AK    yes
    Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000

       Vserver: cluster1
   Key Manager: onboard
          Node: node2

Key Tag                               Key Type  Restored
------------------------------------  --------  --------
node1                                 NSE-AK    yes
    Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000
node2                                 NSE-AK    yes
    Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000
完成後

將通關密碼複製到儲存系統外部的安全位置、以供未來使用。

所有的金鑰管理資訊都會自動備份到叢集的複寫資料庫(RDB)。您也應該手動備份資訊、以便在發生災難時使用。