Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

啟用ONTAP 更新版本(NVE)的內建金鑰管理

貢獻者
PDF

您可以使用Onboard Key Manager來保護叢集用來存取加密資料的金鑰。您必須在存取加密磁碟區或自我加密磁碟的每個叢集上啟用 Onboard Key Manager 。

關於這項工作

您必須執行 security key-manager onboard sync 每次將節點新增至叢集時的命令。

如果您有 MetroCluster 組態、則必須執行 security key-manager onboard enable 命令先在本機叢集上執行、然後執行 security key-manager onboard sync 在遠端叢集上使用相同密碼的命令。當您執行時 security key-manager onboard enable 本機叢集的命令、然後在遠端叢集上進行同步處理、您不需要執行 enable 從遠端叢集再次執行命令。

根據預設、當節點重新開機時、您不需要輸入金鑰管理程式密碼。您可以使用 cc-mode-enabled=yes 選項要求使用者在重新開機後輸入複雜密碼。

如果您已設定、則適用於 NVE cc-mode-enabled=yes、您使用建立的磁碟區 volume createvolume move start 命令會自動加密。適用於 volume create,您不需要指定 -encrypt true。適用於 volume move start,您不需要指定 -encrypt-destination true

設定ONTAP 靜止資料加密時、若要符合商業分類解決方案(CSfC)的要求、您必須搭配NVE使用NSE、並確保在「一般條件」模式中啟用「內建金鑰管理程式」。請參閱 "CSfC解決方案簡介" 如需CSfC的詳細資訊、

註

當「內建金鑰管理程式」在「一般條件」模式中啟用時 (cc-mode-enabled=yes)、系統行為會以下列方式變更:

  • 系統會監控在「一般準則」模式下運作時、連續嘗試失敗的叢集密碼。

    如果您在開機時未輸入正確的叢集密碼、則不會掛載加密的磁碟區。若要修正此問題、您必須重新啟動節點、然後輸入正確的叢集密碼。一旦開機、系統最多可連續5次嘗試在24小時內、針對任何需要叢集密碼作為參數的命令、正確輸入叢集密碼。如果達到限制(例如、您連續5次未正確輸入叢集密碼)、則必須等待24小時逾時期間、或是重新啟動節點、才能重設限制。

  • 系統映像更新會使用NetApp RSA-3072程式碼簽署憑證搭配SHA-384程式碼簽署摘要、來檢查映像完整性、而非一般的NetApp RSA-2048程式碼簽署憑證和SHA-256程式碼簽署摘要。

    升級命令會檢查各種數位簽章、以確認映像內容未遭竄改或毀損。如果驗證成功、映像更新程序會繼續下一步;否則映像更新會失敗。請參閱 cluster image 有關係統更新的信息,請參見手冊頁。
註 Onboard Key Manager可將金鑰儲存在揮發性記憶體中。當系統重新開機或停止時、揮發性記憶體內容會被清除。在正常操作條件下、系統停止時、揮發性記憶體內容將在30秒內清除。
開始之前

  • 您必須是叢集管理員才能執行此工作。

  • 在設定Onboard Key Manager之前、您必須先設定MetroCluster 這個靜態環境。

步驟

  1. 啟動金鑰管理程式設定:

    security key-manager onboard enable -cc-mode-enabled yes|no

    註

    設定 cc-mode-enabled=yes 要求使用者在重新開機後輸入金鑰管理密碼。如果您已設定、則適用於 NVE cc-mode-enabled=yes、您使用建立的磁碟區 volume createvolume move start 命令會自動加密。。 - cc-mode-enabled MetroCluster 組態不支援此選項。 。 security key-manager onboard enable 命令會取代 security key-manager setup 命令。

    下列範例會在叢集1上啟動金鑰管理程式設定命令、而不要求在每次重新開機後輸入通關密碼:

    cluster1::> security key-manager onboard enable

Enter the cluster-wide passphrase for onboard key management in Vserver "cluster1"::    <32..256 ASCII characters long text>
Reenter the cluster-wide passphrase:    <32..256 ASCII characters long text>

  2. 在通關密碼提示字元中、輸入32到256個字元之間的通關密碼、或輸入「'cc-mode'」(64到256個字元之間的通關密碼)。

    註

    如果指定的"'cc-mode"通關密碼少於64個字元、則在金鑰管理程式設定作業再次顯示通關密碼提示之前、會有五秒鐘的延遲。

  3. 在通關密碼確認提示下、重新輸入通關密碼。

  4. 確認已建立驗證金鑰:

    security key-manager key query -key-type NSE-AK

    註

    security key-manager key query 命令會取代 security key-manager query key 命令。如需完整的命令語法、請參閱手冊頁。

    下列範例會驗證是否已為建立驗證金鑰 cluster1

    cluster1::> security key-manager key query -key-type NSE-AK
               Node: node1
            Vserver: cluster1
        Key Manager: onboard
   Key Manager Type: OKM
 Key Manager Policy: -

 Key Tag                               Key Type Encryption   Restored

------------------------------------  -------- ------------ --------

node1                                 NSE-AK   AES-256      true

    Key ID: 00000000000000000200000000000100056178fc6ace6d91472df8a9286daacc0000000000000000

node1                                 NSE-AK   AES-256      true

    Key ID: 00000000000000000200000000000100df1689a148fdfbf9c2b198ef974d0baa0000000000000000

2 entries were displayed.

  5. 也可以將純文字磁碟區轉換為加密磁碟區。

    volume encryption conversion start

    在轉換磁碟區之前、必須先完整設定 Onboard Key Manager 。在 MetroCluster 環境中、兩個站台都必須設定內建金鑰管理員。

完成後

將通關密碼複製到儲存系統外部的安全位置、以供未來使用。

每當您設定Onboard Key Manager複雜密碼時、也應該手動將資訊備份到儲存系統外部的安全位置、以便在發生災難時使用。請參閱 "手動備份內建金鑰管理資訊"