NSE : TKLM または SKLM キーサーバに接続された有効期限の切れた NSE 証明書を更新するにはどうすればよいですか。
すべてのとおり
環境
- NetApp Storage Encryption
- clustered Data ONTAP 8.x
- ONTAP 9
回答
TKLMまたはSKLMキーサーバを使用するNSEシステムでは、有効期限が切れた証明書の更新が必要な場合、元の client_private.key
ファイルが必要になります。tklm/sklmは、証明書によるアクセスを定義します。新しい client_private.key
キーを作成すると、TKLM/SKLMに保存されている元のキーにアクセスできなくなります。
期限切れのNSEクライアント証明書を更新するには、元の client_private.key
client.csr
証明書を使用して新しいを生成します。client.csr
CAでに署名します。client.pem
とを連結し client_private.key
て client_private.pem
ファイルを作成します。次のコマンドを実行して、更新された証明書をNSEシステムにインストールする前にテストします。openssl s_client -tls1 -connect <IP-Address-of-Key-Server>:5696 -verify 10 -showcerts -cert client.pem -key client_private.pem -CAfile <IP-Address-of-Key-Server>_CA.pem
次に例を示します。
openssl s_client -tls1 -connect 192.168.1.73:5696 -verify 10 -showcerts -cert client.pem -key client_private.pem -CAfile 192.168.1.73_CA.pem
Data ONTAP 8.3以前
- 証明書の交換中に電力が失われた場合は、証明書を交換する前に、ドライブのキーを一時的にデフォルトのキーID 0x0に手動で再設定してください。これは、証明書の更新プロセス中にドライブがロックアウトされないようにするためです。
次の手順を実行してください。- run:
key_manager restore -all
(接続されたキーサーバからすべてのキーIDをロード) - run:
disk encrypt show
(暗号化キーIDは証明書の更新後に使用されるため、メモしておいてください)
- run:
disk encrypt rekey 0x0 *
(ドライブのキーをデフォルトに変更し、証明書の交換中はドライブへのフルアクセスを一時的に許可) - run:
disk encrypt show
(すべてのディスクのキーが0x0に変更されていることを確認)
- run:
- 証明書の表示
1. 以下を実行します。keymgr list cert
- NSEシステムで元の証明書を交換する前に、すべての証明書をバックアップしてください。
- NSEシステムから証明書を削除する
1. 次のコマンドを実行しますkey_manager show
。(現在設定されているキーサーバのリストを取得します)
2. を実行しkey_manager remove -key_server <IP-Address-of-Key-Server>
ます。注:設定されているすべてのキーサーバについて、手順を繰り返します。
実行:keymgr delete cert client_private.pem.
実行:実行:keymgr delete cert client.pem.
実行:keymgr delete cert <IP-Address-of-Key-Server>_CA.pem.
- 新しく生成した証明書をストレージストレージに配置します。 この例では、
- 更新した証明書をNSEシステムにインストールしたら、すべてのキーサーバを削除して再度追加する必要があります。この手順は、新しい証明書をCFカードにコピーするために必要です。
これを行うには、次の手順を実行します。- run:
key_manager show
(現在設定されているキーサーバのリストを取得) - を実行し
key_manager remove -key_server <IP_CA.pem>
ます。注:設定されているすべてのキーサーバについて、手順を繰り返します。 - を実行し
key_manager add –key_server <IP_CA.pem>
ます。注:以前に設定したすべてのキーサーバについて、手順を繰り返します。 - 次のコマンドを実行し
key_manager query
ます(キーIDが正しく表示されていることを確認します。元のキーIDが表示されていることを確認します)。 - run:
disk encrypt rekey <Key-ID> *
(これは 上記のS tep 1bのキーIDです。キーIDもkey_manager query
出力に表示されます) - run:
disk encrypt show
(すべてのディスクのキーが新しいキーIDに変更され、キーIDが0x0のドライブがないことを確認) - HAコントローラで上記の手順を繰り返します。
- run:
Data ONTAP 8.3.1以降
::> storage encryption disk modify -disk * -data-key-id 0x0
::> security key-manager remove -address key_management_server_ipaddress
::> security certificate delete -vserver admin_svm_name -type client -subtype kmip-cert
::> security certificate install -vserver admin_svm_name -type client -subtype kmip-cert
<--に次の項目が表示されます。PEMを 貼り付ける必要があります。
プロンプトが表示されたらパブリック証明書をカット&ペースト
プロンプトが表示されたら秘密鍵をカット&ペーストし
ます。:> security key-manager setup -node <name>
クラスタ内の各ノードでこの手順を繰り返します。
::> security key-manager add-address <key_management_server_ipaddress> key-manager
を追加して照会できる場合のみ、キーの作成に進みます。
キー管理サーバがクラスタ内のすべてのノードで設定されて使用可能かどうかを確認します。
::> security key-manager show -status
::> security key-manager query
:::> security key-manager create -key-prompt-for-key trueプロンプト
が表示されたら、シークレットのパスフレーズを入力します。認証キーは、20~32文字で入力する必要があります。
「 -prompt-for-key true」設定を使用すると、シークレットのパスフレーズを貼り付けるか無視する必要があります。Data ONTAPではランダムにパスフレーズが生成されます。これまでは、リカバリ用にお客様指定のパスフレーズを使用することを推奨してきました。
これにより、次の手順で使用される40~60文字のキーIDが返されます。
次の重要な情報になるように
、認証キーを記録します。:> storage encryption disk modify -disk disk_id -data-key-id authentication_key_id * (前のコマンドの出力と同じキーID)
::> storage encryption disk show
Data ONTAP 9.0、Data ONTAP 9.1、Data ONTAP 9.2
::> security certificate install -type client -subtype kmip-cert
証明書を入力してください:完了したら<Enter>キーを押します
。< BEGIN文とEND文を含むclient.pemという名前のNSEパブリック証明書を貼り付けます。>
秘密キーを入力してください: 完了したら<Enter>キーを押し
ます。< BEGIN文とEND文を含むCLIENT_PRIVATE.pemという名前のNSEプライベート証明書を貼り付けます>
MIIB8TCCAZugAwIBAwIBADANBgkqhkiG9w0BAQQFADBfMRMwEQYDVQDEwpuZXRh
証明書の終了----
完了したら、次のコマンドを実行してローカルノードの証明書を更新します。
::> security key-manager certificate update -type client
ドライブのキーをデフォルトのキーID 0x0に変更すると、キーサーバ認証を必要とせずに、暗号化ドライブ上のデータにフルアクセスできるようになります。これにより、ドライブは物理的な盗難から保護されません。証明書の更新プロセスを迅速に完了し、 証明書の更新後にKeyID 0x0のすべてのドライブのキーを再設定することが重要です。キーIDが0x0のドライブがないことを再確認します。 |
追加情報
ここにテキストを追加します。