啟用更新版本的更新版本、以利執行內建金鑰管理ONTAP
建議變更
PDF
您可以使用Onboard Key Manager驗證FIPS磁碟機或SED的叢集節點。內建金鑰管理程式是一項內建工具、可從與資料相同的儲存系統、為節點提供驗證金鑰。Onboard Key Manager符合FIPS-140-2第1級標準。
您可以使用Onboard Key Manager來保護叢集用來存取加密資料的金鑰。您必須在每個存取加密磁碟區或自我加密磁碟的叢集上啟用Onboard Key Manager。
您必須執行 security key-manager onboard enable 每次將節點新增至叢集時的命令。在 MetroCluster 組態中、您必須執行 security key-manager onboard enable 先在本機叢集上執行 security key-manager onboard sync 在遠端叢集上、使用相同的複雜密碼。
詳細了解 `security key-manager onboard enable`和 `security key-manager onboard sync`在"指令參考資料ONTAP"。
根據預設、當節點重新開機時、您不需要輸入金鑰管理程式密碼。除了在 MetroCluster 中、您可以使用 cc-mode-enabled=yes 選項要求使用者在重新開機後輸入複雜密碼。
|
當「內建金鑰管理程式」在「一般條件」模式中啟用時 (
|
|
|
Onboard Key Manager可將金鑰儲存在揮發性記憶體中。當系統重新開機或停止時、揮發性記憶體內容會被清除。在正常操作條件下、系統停止時、揮發性記憶體內容將在30秒內清除。 |
-
如果您使用NSE搭配外部金鑰管理(KMIP)伺服器、則必須刪除外部金鑰管理程式資料庫。
-
您必須是叢集管理員才能執行此工作。
-
在設定Onboard Key Manager之前、您必須先設定MetroCluster 這個靜態環境。
-
啟動金鑰管理程式設定命令:
security key-manager onboard enable -cc-mode-enabled yes|no
設 `cc-mode-enabled=yes`為要求使用者在重新開機後輸入金鑰管理密碼。MetroCluster 組態不支援此 `- cc-mode-enabled`選項。命令會 `security key-manager onboard enable`取代 `security key-manager setup`命令。 下列範例會在叢集1上啟動金鑰管理程式設定命令、而不要求在每次重新開機後輸入通關密碼:
-
輸入一個介於 32 到 256 個字元之間的密碼,或對於“
cc-mode”,輸入一個介於 64 到 256 個字元之間的密碼。
如果指定的"'cc-mode"通關密碼少於64個字元、則在金鑰管理程式設定作業再次顯示通關密碼提示之前、會有五秒鐘的延遲。 -
在通關密碼確認提示下、重新輸入通關密碼。
-
驗證系統是否建立了身份驗證金鑰:
security key-manager key query -node node
命令會 `security key-manager key query`取代 `security key-manager query key`命令。 如"指令參考資料ONTAP"需詳細 `security key-manager key query`資訊,請參閱。
將通關密碼複製到儲存系統外部的安全位置、以供未來使用。
系統會自動將關鍵管理資訊備份到叢集的複製資料庫(RDB)。您還應該手動備份此資訊以用於災難復原。