NSE ：如何续订连接到 TKLM 或 SKLM 密钥服务器的过期 NSE 证书？

最后更新
另存为PDF

Views:

Visibility:: Public

Votes:: 0

Category:: ontap-9

Specialty:: core

Last Updated:

不可不使用

适用场景

NetApp 存储加密
集群模式Data ONTAP 8.x
ONTAP 9

问题解答

如果这会影响您的系统、请检查Active IQ

在使用TKLM或SKLM密钥服务器的NSE系统上、需要续订的过期证书将需要原始 client_private.key 文件。TKLM/SKLM可通过证书定义访问权限。如果 client_private.key 创建了新的、则存储在TKLM/SKLM上的原始密钥将无法访问。

要续订已过期的NSE客户端证书，请使用原始证书 client_private.key 生成新的 client.csr。client.csr 在CA上签名。将 client.pem 和连接在一起 client_private.key 以生成 client_private.pem 文件。运行以下命令、在NSE系统上安装更新的证书之前对其进行测试：

openssl s_client -tls1 -connect <IP-Address-of-Key-Server>:5696 -verify 10 -showcerts -cert client.pem -key client_private.pem -CAfile <IP-Address-of-Key-Server>_CA.pem

例如：

openssl s_client -tls1 -connect 192.168.1.73:5696 -verify 10 -showcerts -cert client.pem -key client_private.pem -CAfile 192.168.1.73_CA.pem

Data ONTAP 8.3及更低版本

如果在证书更换过程中断电、请在更换证书之前手动将驱动器临时重新设置为默认密钥ID 0x0。这是为了防止在证书续订过程中发生驱动器锁定。
请执行以下步骤:
1. run：key_manager restore -all(从连接的密钥服务器加载所有密钥ID)
2. run： disk encrypt show(记下加密密钥ID、因为它将在证书续订后使用)
3. run： disk encrypt rekey 0x0 *(将驱动器重置为默认值、并在替换证书时临时允许对驱动器进行完全访问)
4. run： disk encrypt show(验证是否已将所有磁盘的密钥重新设置为0x0)
显示证书
1. 运行： keymgr list cert
在NSE系统上更换之前、请备份所有原始证书。
从NSE系统中删除证书
1。 run： key_manager show (获取当前已配置密钥服务器的列表)
2. 运行： key_manager remove -key_server <IP-Address-of-Key-Server>
注：对所有已配置的密钥服务器重复操作步骤。
运行： keymgr delete cert client_private.pem.
运行：运行： keymgr delete cert client.pem.
keymgr delete cert <IP-Address-of-Key-Server>_CA.pem.
将新生成的证书放置在存储上。在此示例中、
在NSE系统上安装续订的证书后、必须删除并重新添加所有密钥服务器。需要执行此步骤才能将新证书复制到CF卡上。
为此、请执行以下步骤：
1. run： key_manager show (获取当前已配置密钥服务器的列表)
2. 运行： key_manager remove -key_server <IP_CA.pem>
  注：对所有已配置的密钥服务器重复操作步骤。
3. 运行： key_manager add –key_server <IP_CA.pem>
  注：对所有先前配置的密钥服务器重复操作步骤。
4. 运行： key_manager query (验证密钥ID是否已正确列出、原始密钥ID是否应列出)
5. run： disk encrypt rekey <Key-ID> * (这是上面S tep 1b中的密钥ID、密钥ID也应位于 key_manager query 输出中)
6. run： disk encrypt show (验证所有磁盘是否均已重新设置为新密钥ID、并且所有驱动器均未设置密钥ID 0x0)
7. 对HA控制器重复上述过程。

Data ONTAP 8.3.1及更高版本

::> storage encryption disk modify -disk * -data-key-id 0x0 ::> security key-manager remove -address key_management_server_ipaddress ::> security certificate delete -vserver admin_svm_name -type client -subtype kmip-cert ::> security certificate install -vserver admin_svm_name -type client -subtype kmip-cert

<--这将提示中的以下项目。必须粘贴到中的PEM。

出现提示时剪切并粘贴公共证书

出现提示时剪切并粘贴私钥

：：> security key-manager setup -node <name>

对集群中的每个节点重复此操作。

::：> security key-manager add -address <key_management_server_ipaddress>

仅当能够添加和查询key-manager时，才继续创建密钥。

验证密钥管理服务器是否已配置且在集群中的所有节点上均可用：
::：> security key-manager show -status
::：> security key-manager Query

::：> security key-manager cree-key -proper-for key true

出现提示时，输入密钥密码短语。该密钥的长度必须介于 20 到 32 个字符之间。

您可以使用" -proper-for -key true"设置、这将要求您粘贴密码短语或忽略密码短语、Data ONTAP将随机生成密码短语。最佳做法始终是提供客户指定的密码短语以供恢复之用。

这将返回一个40-60字符的密钥ID、该ID将在下一步中使用。
记下身份验证密钥、因为这是关键信息

：：> storage Encryption disk修改-disk disk_id -data-key-id authentication key_id * (与上一命令输出中显示的密钥ID相同)
：：> storage Encryption disk show

Data ONTAP 9.0、Data ONTAP 9.1和Data ONTAP 9.2

:: Security certificate install -type client -subtype kmip-cert

请输入证书：完成后按<Enter>键
<粘贴名为client.pem,包括开始和结束语句的NSE公共证书>

请输入私钥：完成后按<Enter>
<Paste the NSE private certificATE named client_priv.pem, including the EINN and END语句>

剪切和粘贴内容示例：

--- 证书起始---
MIIB8TCCAZugAwIBAWIBADANBgkqhkiG9w0BAQQFADBfMRMWEQYDVQDEwpuZARH cHAUY29tNMswCQYDVQQGEWJVUZEJMACGA1UECBAMQkwYDVQQQQHEWAX
结束证书---

完成此操作后、请运行以下命令以更新本地节点上的证书：

::> security key-manager certificate update -type client

将驱动器密钥重新设置为默认密钥ID 0x0将允许对加密驱动器上的数据进行完全访问、而无需进行密钥服务器身份验证。这样、驱动器就不会受到物理盗窃的影响。请务必及时完成证书续订过程、然后在证书续订后重新设置密钥ID为0x0的所有驱动器的密钥。仔细检查是否所有驱动器的keyid均不为0x0。

追加信息

在此处添加文本。