还原板载密钥管理加密密钥

您有时可能需要还原板载密钥管理加密密钥。确认需要还原密钥后，可以运行 Onboard Key Manager 设置向导来进行还原。

1. 如果运行的是 ONTAP 9.8 或更高版本并且根卷已加密，请执行以下操作：
   如果运行的是 ONTAP 9.7 或更低版本，或者运行的是 ONTAP 9.8 或更高版本但根卷未加密，请跳过此步骤。
   1. 将节点引导至引导菜单并选择选项 (10) Set onboard key management recovery secrets。
   2. 输入 y 以使用此选项。
   3. 在提示符处输入集群的板载密钥管理密码短语。
   4. 在提示符处输入备份密钥数据。
      节点返回至引导菜单。
   5. 从引导菜单中选择选项 (1) Normal Boot。
2. 还原密钥：

   对于此 ONTAP 版本...	使用此命令...
   ONTAP 9.6 及更高版本	security key-manager key query -node node
   ONTAP 9.5 及更低版本	security key-manager key show

   有关完整的命令语法，请参阅手册页。

   示例

   以下 ONTAP 9.6 命令可以验证是否需要在 cluster1 中还原板载密钥管理加密密钥：

   cluster1::> security key-manager key query
   Vserver: cluster_1
   Key Manager: onboard
   Node: node1
   Key Server: ""
   
   Key Tag Key Type Restored
   ------- -------- --------
   node1 NSE-AK false
   Key ID: 0000000000000000020000000000010003c6139e9a2beaf817ff69d72f33663c0000000000000000
   node1 NSE-AK true
   Key ID: 00000000000000000200000000000100fb5fdc42e0043632b2f7f7f439fe77c50000000000000000
   
   Vserver: cluster_1
   Key Manager: onboard
   Node: node2
   Key Server: ""
   
   Key Tag Key Type Restored
   ------- -------- --------
   node2 NSE-AK true
   Key ID: 0000000000000000020000000000010003c6139e9a2beaf817ff69d72f33663c0000000000000000
   node2 NSE-AK true
   Key ID: 00000000000000000200000000000100fb5fdc42e0043632b2f7f7f439fe77c50000000000000000
   4 entries were displayed.
   
   
3. 如果某个密钥的Restored列显示false，则还原密钥：

   对于此 ONTAP 版本...	使用此命令...
   ONTAP 9.6 及更高版本	security key-manager onboard sync
   ONTAP 9.5 及更低版本	security key-manager setup -node node

   有关完整的命令语法，请参阅手册页。

   示例

   以下 ONTAP 9.6 命令将同步板载密钥层次结构中的密钥：

   cluster1::> security key-manager onboard sync
    
   Enter the cluster-wide passphrase for onboard key management in Vserver "cluster1"::    <32..256 ASCII characters long text>
   
   
4. 在密码短语提示符下，输入集群的板载密钥管理密码短语。