跳到主要内容

更改板载密钥管理密码短语

定期更改板载密钥管理密码短语是最佳安全实践。应将新的板载密钥管理密码短语拷贝到存储系统外部的安全位置,供将来使用。

开始之前

  • 只有集群或 SVM 管理员才能执行此任务。

  • 此任务需要高级权限。

  1. 更改为高级权限级别:set -privilege advanced
  2. 更改板载密钥管理密码短语:
    对于此 ONTAP 版本...使用此命令...
    ONTAP 9.6 及更高版本security key-manager onboard update-passphrase
    ONTAP 9.5 及更低版本security key-manager update-passphrase

    有关完整的命令语法,请参阅手册页。

    示例

    以下 ONTAP 9.6 命令可更改 cluster1 的板载密钥管理密码短语:

    clusterl::> security key-manager onboard update-passphrase
        Warning: This command will reconfigure the cluster passphrase for onboard
                 key management for Vserver "cluster1".
        Do you want to continue? {y|n}: y
        Enter current passphrase:
        Enter new passphrase:
  3. 在提示符处输入 y,更改板载密钥管理密码短语。
  4. 在当前密码短语提示符处输入当前密码短语。
  5. 在新的密码短语提示符处,输入长度在 32 至 256 个字符之间的密码短语;对于cc-mode,输入长度在 64 至 256 个字符之间的密码短语。

    如果指定的cc-mode密码短语少于 64 个字符,密钥管理器设置向导再次显示密码短语提示符之前将有五秒延迟。
  6. 在密码短语提示符处重新输入密码短语。

完成之后

在 MetroCluster 环境中,必须更新伙伴集群上的密码短语:

  • 在 ONTAP 9.5 及更低版本中,您必须对伙伴集群上的相同密码短语运行 security key-manager update-passphrase

  • 在 ONTAP 9.6 及更高版本中,系统会提示您对伙伴集群上的相同密码短语运行 security key-manager onboard sync

应将板载密钥管理密码短语复制到存储系统外部的安全位置,供将来使用。

每次更改板载密钥管理密码短语时,均应手动备份密钥管理信息。

手动备份板载密钥管理信息