跳到主要内容

在 ONTAP 9.6 和更高版本中启用板载密钥管理

您可使用 Onboard Key Manager 保护集群用于访问加密数据的密钥。您必须在访问加密卷或自加密磁盘的每个集群上启用 Onboard Key Manager。

开始之前

  • 如果将 LSE 与外部密钥管理(KMIP)软件配合使用,必须已删除外部密钥管理器数据库。

    从外部密钥管理转换为板载密钥管理

  • 只有集群管理员才能执行此任务。

  • 在启用加密之前,必须先配置 MetroCluster 环境。

关于本任务

每次向集群添加节点时,必须运行 security key-manager onboard enable 命令。在 MetroCluster 配置中,必须先在本地集群上运行 security key-manager onboard enable,然后在远程集群上运行 security key-manager onboard sync,并且两次需使用相同的密码短语。

默认情况下,重新启动节点时,您无需输入密钥管理器密码短语。除了在 MetroCluster 中,您可以使用 cc-mode-enabled=yes 选项要求用户在重新启动后输入密码短语。

尝试输入密码短语失败后,您必须再次重新启动节点。
  1. 启动密钥管理器设置向导:security key-manager onboard enable -cc-mode-enabled yes|no
    设置 cc-mode-enabled=yes 以要求用户在重新启动后输入密钥管理器密码短语。MetroCluster 配置不支持 - cc-mode-enabled 选项。

    security key-manager onboard enable 命令取代了 security key-manager setup 命令。

    示例

    以下示例将在 cluster1 上启动密钥管理器设置向导,而无需在每次重新启动后输入密码短语:

    cluster1::> security key-manager onboard enable
     
    Enter the cluster-wide passphrase for onboard key management in Vserver "cluster1"::    <32..256 ASCII characters long text>
    Reenter the cluster-wide passphrase:    <32..256 ASCII characters long text>

  2. 在密码短语提示符处,输入长度在 32 至 256 个字符之间的密码短语;对于 cc-mode,输入长度在 64 至 256 个字符之间的密码短语。
    如果指定的cc-mode密码短语少于 64 个字符,密钥管理器设置向导再次显示密码短语提示符之前将有五秒延迟。
  3. 在密码短语提示符处重新输入密码短语。
  4. 验证是否已创建认证密钥:security key-manager key query -node node
    security key-manager key query 命令取代了 security key-manager query key 命令。有关完整的命令语法,请参阅手册页。

    示例

    以下示例将验证是否已为 cluster1 创建认证密钥:

    cluster1::> security key-manager key query
           Vserver: cluster1
       Key Manager: onboard
              Node: node1

    Key Tag                               Key Type  Restored
    ------------------------------------  --------  --------
    node1                                 NSE-AK    yes
        Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000
    node1                                 NSE-AK    yes
        Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000

           Vserver: cluster1
       Key Manager: onboard
              Node: node2 

    Key Tag                               Key Type  Restored
    ------------------------------------  --------  --------
    node1                                 NSE-AK    yes
        Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000
    node2                                 NSE-AK    yes
        Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000

完成之后

将密码短语复制到一个存储系统之外的安全位置以供日后使用。

集群的所有密钥管理信息将自动备份到复制数据库(RDB)。此外还应手动备份该信息以备发生灾难情况时使用。

相关任务