在 ONTAP 9.6 和更高版本中启用外部密钥管理(基于硬件)
您可使用一个或多个 KMIP 服务器保护集群用于访问加密数据的密钥。一个节点最多可以连接四个 KMIP 服务器。出于冗余和灾难恢复的目的,建议最少连接两个服务器。
开始之前
必须已安装 KMIP SSL 客户端和服务器证书。
只有集群管理员才能执行此任务。
- 在启用加密之前,必须先配置 MetroCluster 环境。
- 为集群配置密钥管理器连接:security key-manager external enable -vserver admin_SVM -key-servers host_name|IP_address:port,... -client-cert client_certificate -server-ca-cert server_CA_certificates 注security key-manager external enable 命令取代了
security key-manager setup 命令。可以运行 security key-manager external modify 命令更改外部密钥管理配置。有关完整的命令语法,请参阅手册页。 示例
以下命令使用三个外部密钥服务器为 cluster1 启用外部密钥管理。第一个密钥服务器使用其主机名和端口指定,第二个使用 IP 地址和默认端口指定,第三个使用 IPv6 地址和端口指定:
clusterl::> security key-manager external enable -key-servers ks1.local:15696,10.0.0.10,[fd20:8b1e:b255:814e:32bd:f35c:832c:5a09]:1234 -client-cert AdminVserverClientCert -server-ca-certs AdminVserverServerCaCert - 验证是否已连接所有经过配置的 KMIP 服务器:security key-manager external show-status -node node_name -vserver SVM -key-server host_name|IP_address:port -key-server-status available|not-responding|unknown 注security key-manager external show-status 命令取代了
security key-manager show -status 命令。有关完整的命令语法,请参阅手册页。 示例
cluster1::> security key-manager external show-status
Node Vserver Key Server Status
---- ------- --------------------------------------- -------------
node1
cluster1
10.0.0.10:5696 available
fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234 available
ks1.local:15696 available
node2
cluster1
10.0.0.10:5696 available
fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234 available
ks1.local:15696 available
6 entries were displayed.
提供反馈