Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

在ONTAP中將 FIPS 驅動器或 SED 恢復為不受保護的模式

貢獻者 netapp-ahibbard netapp-bhouser netapp-aaron-holt netapp-lenida netapp-dbagwell netapp-aherbin
PDF

僅當節點的驗證金鑰ID設為預設值以外的值時、FIPS磁碟機或SED才會受到保護、不受未獲授權的存取。您可以使用命令將金鑰 ID 設為預設值,將 FIPS 磁碟機或 SED 恢復為未受保護模式 storage encryption disk modify。未受保護模式下的 FIPS 磁碟機或 SED 使用預設加密金鑰,而受保護模式下的 FIPS 磁碟機或 SED 則使用提供的加密金鑰。如果磁碟機上有加密資料,而且磁碟機重設為未受保護模式,則資料仍會加密,不會公開。

註 按照此程序確保 FIPS 驅動器或 SED 返回到不受保護的模式後任何加密資料都變得無法存取。一旦重置 FIPS 和資料金鑰 ID,任何現有資料都無法解密,且無法訪問,除非恢復原始金鑰。

如果HA配對使用加密SAS或NVMe磁碟機(SED、NSE、FIPS)、則在初始化系統之前、您必須針對HA配對內的所有磁碟機(開機選項4或9)執行此程序。如果未這麼做、可能會在磁碟機重新調整用途時、導致未來的資料遺失。

開始之前

您必須是叢集管理員才能執行此工作。

步驟

  1. 將權限層級設為進階:

    set -privilege advanced

  2. 如果FIPS磁碟機以FIPS相容模式執行、請將節點的FIPS驗證金鑰ID設回預設的MSID 0x0:

    storage encryption disk modify -disk disk_id -fips-key-id 0x0

    您可以使用 security key-manager query 檢視金鑰ID的命令。

    cluster1::> storage encryption disk modify -disk 2.10.11 -fips-key-id 0x0

Info: Starting modify on 14 disks.
      View the status of the operation by using the
      storage encryption disk show-status command.

    使用以下命令確認作業成功:

    storage encryption disk show-status

    重複 show-status 指令,直到「Disks Begun」和「Disks Done」中的數字相同。

    cluster1:: storage encryption disk show-status

            FIPS    Latest   Start               Execution   Disks   Disks Disks
Node        Support Request  Timestamp           Time (sec)  Begun   Done  Successful
-------     ------- -------- ------------------  ---------- ------ ------  ----------
cluster1    true    modify   1/18/2022 15:29:38    3           14     5         5
1 entry was displayed.

  3. 將節點的資料驗證金鑰ID設回預設的MSID 0x0:

    storage encryption disk modify -disk disk_id -data-key-id 0x0

    的價值 -data-key-id 無論您要將 SAS 或 NVMe 磁碟機恢復為未受保護模式、都應該設定為 0x0 。

    您可以使用 security key-manager query 檢視金鑰ID的命令。

    cluster1::> storage encryption disk modify -disk 2.10.11 -data-key-id 0x0

Info: Starting modify on 14 disks.
      View the status of the operation by using the
      storage encryption disk show-status command.

    使用以下命令確認作業成功:

    storage encryption disk show-status

    重複 show-status 指令,直到數字相同。當“disks began”和“disks done”中的數字相同時,操作完成。

維護模式

從支援功能9.7開始ONTAP 、您可以從維護模式重新輸入FIPS磁碟機的金鑰。只有在ONTAP 無法使用上一節中的指令時、才應使用維護模式。

步驟

  1. 將節點的FIPS驗證金鑰ID設回預設的MSID 0x0:

    disk encrypt rekey_fips 0x0 disklist

  2. 將節點的資料驗證金鑰ID設回預設的MSID 0x0:

    disk encrypt rekey 0x0 disklist

  3. 確認FIPS驗證金鑰已成功重新輸入:

    disk encrypt show_fips

  4. 確認資料驗證金鑰已成功重新輸入:

    disk encrypt show

    您的輸出可能會顯示預設的MSID 0x0金鑰ID或金鑰伺服器所保留的64個字元值。。 Locked? 欄位是指資料鎖定。

Disk       FIPS Key ID                 Locked?
---------- --------------------------- -------
0a.01.0    0x0                          Yes
相關資訊