メインコンテンツまでスキップ

NSE : TKLM または SKLM キーサーバに接続された有効期限の切れた NSE 証明書を更新するにはどうすればよいですか。

Views:
19
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
core
Last Updated:

すべてのとおり  

環境

  • NetApp Storage Encryption
  • clustered Data ONTAP 8.x
  • ONTAP 9

回答

 

TKLMまたはSKLMキーサーバを使用するNSEシステムでは、有効期限が切れた証明書の更新が必要な場合、元の client_private.key ファイルが必要になります。tklm/sklmは、証明書によるアクセスを定義します。新しい client_private.key キーを作成すると、TKLM/SKLMに保存されている元のキーにアクセスできなくなります。

期限切れのNSEクライアント証明書を更新するには、元の client_private.keyclient.csr証明書を使用して新しいを生成します。client.csr CAでに署名します。client.pem とを連結し client_private.keyclient_private.pem ファイルを作成します。次のコマンドを実行して、更新された証明書をNSEシステムにインストールする前にテストします。

openssl s_client -tls1 -connect <IP-Address-of-Key-Server>:5696 -verify 10 -showcerts -cert client.pem -key client_private.pem -CAfile <IP-Address-of-Key-Server>_CA.pem

次に例を示します。

openssl s_client -tls1 -connect 192.168.1.73:5696 -verify 10 -showcerts -cert client.pem -key client_private.pem -CAfile 192.168.1.73_CA.pem
 

Data ONTAP 8.3以前
  1. 証明書の交換中に電力が失われた場合は、証明書を交換する前に、ドライブのキーを一時的にデフォルトのキーID 0x0に手動で再設定してください。これは、証明書の更新プロセス中にドライブがロックアウトされないようにするためです。
    次の手順を実行してください。
    1. run:key_manager restore -all(接続されたキーサーバからすべてのキーIDをロード)
    2. run: disk encrypt show(暗号化キーIDは証明書の更新後に使用されるため、メモしておいてください)
    3. run: disk encrypt rekey 0x0 *(ドライブのキーをデフォルトに変更し、証明書の交換中はドライブへのフルアクセスを一時的に許可)
    4. run: disk encrypt show(すべてのディスクのキーが0x0に変更されていることを確認)
  2. 証明書の表示
    1.  以下を実行します。  keymgr list cert
  3. NSEシステムで元の証明書を交換する前に、すべての証明書をバックアップしてください。
  4. NSEシステムから証明書を削除する
    1.  次のコマンドを実行します key_manager show  。(現在設定されているキーサーバのリストを取得します)
    2.  を実行し key_manager remove -key_server <IP-Address-of-Key-Server>
    ます。注:設定されているすべてのキーサーバについて、手順を繰り返します。
    実行: keymgr delete cert client_private.pem.
    実行:実行: keymgr delete cert client.pem.
    実行:keymgr delete cert <IP-Address-of-Key-Server>_CA.pem.
  5. 新しく生成した証明書をストレージストレージに配置します。  この例では、
  6. 更新した証明書をNSEシステムにインストールしたら、すべてのキーサーバを削除して再度追加する必要があります。この手順は、新しい証明書をCFカードにコピーするために必要です。
    これを行うには、次の手順を実行します。
    1. run: key_manager show  (現在設定されているキーサーバのリストを取得)
    2. を実行し key_manager remove -key_server <IP_CA.pem>
      ます。注:設定されているすべてのキーサーバについて、手順を繰り返します。
    3. を実行し key_manager add –key_server <IP_CA.pem>
      ます。注:以前に設定したすべてのキーサーバについて、手順を繰り返します。
    4. 次のコマンドを実行し key_manager query ます(キーIDが正しく表示されていることを確認します。元のキーIDが表示されていることを確認します)。
    5. run: disk encrypt rekey <Key-ID> * (これは 上記のS tep 1bのキーIDです。キーIDも key_manager query 出力に表示されます)
    6. run: disk encrypt show (すべてのディスクのキーが新しいキーIDに変更され、キーIDが0x0のドライブがないことを確認)
    7. HAコントローラで上記の手順を繰り返します。
Data ONTAP 8.3.1以降

::> storage encryption disk modify -disk * -data-key-id 0x0
::> security key-manager remove -address key_management_server_ipaddress
::> security certificate delete -vserver admin_svm_name -type client -subtype kmip-cert  
::> security certificate install -vserver admin_svm_name -type client -subtype kmip-cert  


<--に次の項目が表示されます。PEMを 貼り付ける必要があります。

プロンプトが表示されたらパブリック証明書をカット&ペースト

プロンプトが表示されたら秘密鍵をカット&ペーストし

ます。:> security key-manager setup -node <name>

クラスタ内の各ノードでこの手順を繰り返します。

::> security key-manager add-address <key_management_server_ipaddress>   key-manager

を追加して照会できる場合のみ、キーの作成に進みます。

キー管理サーバがクラスタ内のすべてのノードで設定されて使用可能かどうかを確認します。
::> security key-manager show -status
::> security key-manager query


:::> security key-manager create -key-prompt-for-key trueプロンプト

が表示されたら、シークレットのパスフレーズを入力します。認証キーは、20~32文字で入力する必要があります。

-prompt-for-key true」設定を使用すると、シークレットのパスフレーズを貼り付けるか無視する必要があります。Data ONTAPではランダムにパスフレーズが生成されます。これまでは、リカバリ用にお客様指定のパスフレーズを使用することを推奨してきました。

これにより、次の手順で使用される40~60文字のキーIDが返されます。
次の重要な情報になるように

、認証キーを記録します。:> storage encryption disk modify -disk disk_id -data-key-id authentication_key_id * (前のコマンドの出力と同じキーID)
::> storage encryption disk show
 

Data ONTAP 9.0、Data ONTAP 9.1、Data ONTAP 9.2

::> security certificate install -type client -subtype kmip-cert 

証明書を入力してください:完了したら<Enter>キーを押します
。< BEGIN文とEND文を含むclient.pemという名前のNSEパブリック証明書を貼り付けます。>

秘密キーを入力してください: 完了したら<Enter>キーを押し
ます。< BEGIN文とEND文を含むCLIENT_PRIVATE.pemという名前のNSEプライベート証明書を貼り付けます>                                                                                                                                                              

切り取りと貼り付けの例:
 
------ 証明書の開始----
MIIB8TCCAZugAwIBAwIBADANBgkqhkiG9w0BAQQFADBfMRMwEQYDVQDEwpuZXRh  
証明書の終了----


完了したら、次のコマンドを実行してローカルノードの証明書を更新します。

::> security key-manager certificate update -type client
ドライブのキーをデフォルトのキーID 0x0に変更すると、キーサーバ認証を必要とせずに、暗号化ドライブ上のデータにフルアクセスできるようになります。これにより、ドライブは物理的な盗難から保護されません。証明書の更新プロセスを迅速に完了し、 証明書の更新後にKeyID 0x0のすべてのドライブのキーを再設定することが重要です。キーIDが0x0のドライブがないことを再確認します。

追加情報

ここにテキストを追加します。

 

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.