クライアント証明書の更新後に外部KMIPから暗号化キーをリストアできません

最後の更新
PDFとして保存

Views:: 10

Visibility:: Public

Votes:: 0

Category:: ontap-9

Specialty:: core<a>2009568318</a>

Last Updated:

環境

ONTAP 9
NetApp Volume Encryption（NVE）
NetApp Aggregate Encryption （ NAE ）
自己暗号化ドライブ（SED）
NetApp Storage Encryption NSE
外部KMIPサーバ/外部キーマネージャ

問題

外部KMIPサーバでの認証に使用するONTAP側のKMIPクライアント証明書を更新すると、ONTAP は既存のキーを取得できなくなります。
両方のONTAP ノードをリブートしたあともボリュームはオフラインのままで、外部KMIPからキーをリストアできません。
新しいキーを使用して新しいボリュームを作成することは問題ありませんが、外部のキー管理サーバのGUIまたはCLIでは、これらの新しいキーは、証明書renewalNetの前に作成された所有者とは別の所有者に関連付けられます。
ONTAP のKMIPクライアントのログには次の情報が表示されます。

Warning: Unable to list entries on node node-01. KMIP "Get" command failed on external key server "10.0.0.1:5696". Cryptsoft error: "Response status: OPERATION_FAILED. Reason: GENERAL_FAILURE. Message: Unknown key name or insufficient permissions".

KMIPサーバで次のようなエラーが表示されます。

Crypto Server Generic Security Warning Alert 4 sent, Unauthorized key usage. Unauthorized access to key <key-id> by user <common_name_different_from_key_owner>.