Администрация#

Тази глава описва административните задачи за потребители с роля Administrator. Моля, вижте глава Роли, за да научите повече за ролята.

Important

Моля, уверете се, че сте прочели информацията в началото на този документ, преди да започнете работа.

Управление на системата#

Информация за устройството#

Информацията за доставчика и продукта за NetHSM може да бъде извлечена, както следва.

Пример

$ nitropy nethsm --host $NETHSM_HOST info
Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Режим на зареждане#

NetHSM може да се използва в режим на присъствено зареждане и в режим на неприсъствено зареждане.

Режим на зареждане

Описание

Участвал в Boot

NetHSM се зарежда в състояние _Заключено_. По време на всяко стартиране трябва да се въведе паролата за отключване ** , която се използва за декриптиране на потребителските данни ** . От съображения за сигурност този режим е препоръчителен и е режим по подразбиране за прясно осигурена система.

Безконтролно зареждане

Системата се стартира без надзор, без да е необходимо да въвеждате Отключване Пасфраза в състояние _Operational_. Използвайте този режим, ако изискванията ви за наличност не могат да бъдат изпълнени с режима Attended Boot.

Warning

Независимо от режима на зареждане, паролата за отключване на ** запазва своята валидност и е необходима за възстановяване на резервни копия на друг хардуер. Съхранявайте Unlock Passphrase на сигурно място по всяко време.

Текущият режим на зареждане може да се извлече по следния начин.

Пример

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
   Unattended boot: off

Режимът на зареждане може да бъде променен, както следва. При следващото зареждане NetHSM ще се държи по съответния начин.

Аргументи

Аргумент

Описание

Статус

Активиране или деактивиране на Unattended Boot. Може да има стойност on или off.

Пример

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443

Държава#

Софтуерът NetHSM има четири състояния: Непредоставени, Предоставени, Заключени и Оперативни.

Държава

Описание

Непровизирани

NetHSM без конфигурация (по подразбиране)

Предоставени

NetHSM с конфигурация. Състоянието Provisioned предполага или състояние Operational, или състояние Locked.

Оперативно

NetHSM с конфигурация и готовност за изпълнение на команди. Състоянието Operational предполага състояние Provisioned.

Заключено

NetHSM с конфигурация, но криптирани и недостъпни хранилища на данни. Обикновено следващата стъпка е да се отключи системата. Състоянието Locked (Заключена) предполага състоянието Provisioned (Осигурена).

Състояния и преходи на NetHSM

Състояния и преходи на NetHSM#


Текущото състояние на NetHSM може да бъде извлечено по следния начин.

Пример

$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned

Новият NetHSM е в състояние Непредоставен и след предоставяне на достъп влиза в състояние Оперативен. Осигуряването на NetHSM е описано в глава Осигуряване.

NetHSM в състояние Operational може да бъде заключен отново, за да бъде защитен по следния начин.

Пример

$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked

NetHSM в състояние Locked може да бъде отключен по следния начин. Докато NetHSM е в състояние _Заключено_, не са възможни никакви други операции. След това NetHSM се намира в състояние _Operational_.

Пример

$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked

Отключване на парола#

Фразата за отключване се използва за получаване на ключ за отключване, ако NetHSM е в състояние заключен. Паролата се задава първоначално по време на създаването на NetHSM.

… предупреждение:

Паролата за отключване не може да бъде нулирана, без да се знае текущата ѝ стойност. Ако паролата за отключване бъде изгубена, тя не може да бъде нулирана до нова стойност, нито пък NetHSM може да бъде отключен.

Фразата за отключване може да се зададе, както следва.

Възможни опции

Опция

Описание

-n, --new-passphrase TEXT

Новата парола за отключване

-p, --current-passphrase TEXT

Текущата парола за отключване

-f, --force

Не искайте потвърждение, преди да промените паролата

Пример

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443

Сертификат TLS#

TLS сертификатът се използва за REST API, базиран на HTTPS, и следователно се използва и от nitropy. По време на предоставянето на услугата се създава самоподписан сертификат. Сертификатът може да бъде заменен, например с подписан сертификат от орган за издаване на сертификати (CA). В този случай трябва да се генерира заявка за подписване на сертификат (CSR). След подписването сертификатът трябва да се импортира в NetHSM.

Промяна е необходима само когато сертификатът трябва да бъде заменен. Такава промяна може да бъде замяната му с подписан сертификат от орган за издаване на сертификати (CA).

TLS сертификатът може да бъде изтеглен по следния начин.

Задължителни опции

Опция

Описание

-a, --api

Задаване на сертификата за интерфейса TLS на NetHSM

Пример

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----

TLS сертификатът може да бъде генериран по следния начин.

Задължителни опции

Опция

Описание

-t, --type [RSA|Curve25519|EC_P224|EC_P256|EC_P384|EC_P521]

Типът на генерирания ключ

-l, --length INTEGER

Дължината на генерирания ключ

Пример

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443

Искането за подписване на сертификат (CSR) за сертификата може да бъде генерирано по следния начин.

Задължителни опции

Опция

Описание

-a, --api

Генериране на CSR за TLS сертификата на NetHSM

--country TEXT

Името на страната

--state-or-province TEXT

Наименованието на държавата или провинцията

--locality TEXT

Наименованието на местността

--organization TEXT

Името на организацията

--organizational-unit TEXT

Име на организационната единица

--common-name TEXT

Общоприетото име

--email-address TEXT

Имейл адресът

Пример

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----

Сертификатът може да бъде заменен по следния начин.

Задължителни опции

Опция

Описание

-a, --api

Задаване на сертификата за интерфейса TLS на NetHSM

Аргументи

Аргумент

Описание

FILENAME

Файл със сертификат

Пример

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Мрежа#

Конфигурацията на мрежата определя настройките, използвани за Мрежовия порт.

Note

Тези настройки не конфигурират Мрежовия порт на BMC.

Конфигурацията на мрежата може да бъде извлечена по следния начин.

Задължителни опции

Опция

Описание

--network

Запитване за конфигурацията на мрежата

Пример

$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Задайте мрежовата конфигурация, както следва.

Note

NetHSM не поддържа DHCP (Dynamic Host Configuration Protocol).

Note

NetHSM не поддържа IPv6 (интернет протокол версия 6).

Задължителни опции

Опция

Описание

-a, --ip-address

Новият IP адрес

-n, --netmask

Новата мрежова маска

-n, --netmask

Новият портал

Пример

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443

Време#

Конфигурацията на времето задава системното време на софтуера NetHSM. Обикновено не е необходимо да се задава системното време, тъй като то се задава по време на провизирането.

Конфигурацията на времето може да бъде извлечена по следния начин.

Задължителни опции

Опция

Описание

--time

Запитване за системното време

Пример

$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Задайте часа на NetHSM.

Important

Уверете се, че предавате времето в UTC часова зона.

Аргументи

Аргумент

Описание

time

Системното време, което трябва да се зададе (формат: YYYY-MM-DDTHH:MM:SSZ)

Пример

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443

Метрики#

NetHSM регистрира метрики на системните параметри.

Note

Тази команда изисква удостоверяване на потребител с роля Metrics. Моля, вижте глава Роли, за да научите повече за ролята.

Моля, вижте Metrics, за да научите повече за всяка метрика.

Метриките могат да бъдат извлечени по следния начин.

Пример

$ nitropy nethsm -h $NETHSM_HOST metrics
Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Регистриране#

NetHSM може да регистрира системни събития на серийния порт или на syslog сървър в мрежата.

Important

При всяко производствено внедряване дневникът на NetHSM трябва да се следи непрекъснато, за да се осигури незабавно уведомяване за всякакви потенциални проблеми със сигурността.

Серийната конзола работи от самото начало на хардуера на NetHSM. Тя включва събития от фърмуера на NetHSM и софтуера на NetHSM.

Настройките на серийната конзолна връзка са следните.

Задаване на

Стойност

Скорост на предаване

115200

Битове данни

8

Стоп битове

1

Паритет

Няма

Контрол на потока

Няма

Конфигурацията на Syslog сървъра може да бъде извлечена по следния начин.

Задължителни опции

Опция

Описание

--network

Запитване за конфигурацията за регистриране

Пример

$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

Конфигурацията на Syslog сървъра може да бъде зададена, както следва.

Задължителни опции

Опция

Описание

-p, --passphrase TEXT

IP адресът на новата дестинация за регистриране

-p, --port INTEGER

Пристанището на новата дестинация за регистриране

-l, --log-level [debug|info|warning|error]

Новото ниво на дневника

Пример

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443

Резервно копие#

Данните за потребителя на NetHSM * могат да бъдат записани в резервен файл. Този файл за резервно копие съдържа всички Данни за потребителя, а именно Склад за конфигурация, Склад за удостоверяване, Склад за ключове на домейни и Склад за ключове.

Important

Системният софтуер на NetHSM в режим необслужвано зареждане ще изисква отключване на паролата, ако се възстанови на друг хардуер на NetHSM. Моля, вижте глава Unlock Passphrase, за да научите повече.

Important

NetHSM в режим Необслужвано зареждане ще бъде в същия режим след възстановяване.

Преди да бъде инициирано архивиране, трябва да се зададе Фраза за архивиране. Фразата Backup Passphrase се използва за криптиране на данните във файла за резервно копие.

Warning

Резервната парола не може да бъде нулирана, без да се знае текущата стойност. Ако паролата за резервно копие бъде изгубена, тя не може да бъде нулирана до нова стойност, нито да бъдат възстановени създадените резервни копия.

Резервната парола може да бъде зададена, както следва.

Възможни опции

Опция

Описание

-n, --new-passphrase TEXT

Новата парола за архивиране

-p, --current-passphrase TEXT

Текущата парола за резервно копие (или празен низ, ако не е зададена)

-f, --force

Не искайте потвърждение, преди да промените паролата

Пример

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443

Note

Тази команда изисква удостоверяване на потребител с роля Backup. Моля, вижте глава Роли, за да научите повече.

Резервното копие може да се изпълни по следния начин.

Аргументи

Аргумент

Описание

FILENAME

Файл за резервно копие

Пример

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup

Note

Този резервен файл може да бъде възстановен на невъведен NetHSM екземпляр:

Възстановяване на#

NetHSM може да бъде възстановен от резервен файл.

  • Ако NetHSM е Unprovisioned, той ще възстанови всички потребителски данни, включително системната конфигурация и ще се рестартира. Следователно системата може да получи различни мрежови настройки, TLS сертификат и Unlock Passphrase след това.

  • Ако NetHSM е Provisioned, ще бъдат възстановени потребителите и потребителските ключове, но не и системната конфигурация. В този случай всички съществуващи преди това потребители и потребителски ключове ще бъдат изтрити. NetHSM завършва в състояние Operational.

Възстановяването може да се приложи по следния начин.

Опционални опции

Опция

Описание

-p, --backup-passphrase passphrase

Фразата за резервно копие

-t, --system-time

Системното време, което трябва да се зададе (Формат: YYYY-MM-DDTHH:MM:SSZ)

Important

Уверете се, че времето на локалния компютър е правилно настроено. За да зададете друго време, моля, задайте го ръчно.

Аргументи

Аргумент

Описание

FILENAME | Възстановяване на файл

Пример

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443

Актуализация на софтуера#

Актуализациите на софтуера могат да се инсталират в две стъпки. Първо образът на актуализацията трябва да бъде качен на Provisioned NetHSM. NetHSM проверява автентичността, целостта и номера на версията на изображението. По желание NetHSM показва бележки за изданието, ако има такива.

Warning

Възможно е да се стигне до загуба на данни поради инсталирането на бета актуализация! Стабилните версии не трябва да причиняват загуба на данни. Въпреки това е препоръчително да създадете резервно копие, преди да актуализирате.

Файлът за актуализация може да бъде качен по следния начин.

Аргументи

Аргумент

Описание

FILENAME

Актуализиране на файла

Пример

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.cpio
Image /tmp/nethsm-update.img.cpio uploaded to NetHSM localhost:8443

След това актуализацията може да бъде приложена или прекратена. Моля, вижте желаната опция по-долу. Ако NetHSM се изключи от захранването преди операцията „commit“, файлът за актуализация трябва да се качи отново.

Актуализацията може да бъде приложена (извършена), както следва. Миграцията на данни се извършва само _след_ успешно зареждане на новата версия на системния софтуер в NetHSM.

Пример

$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443

Актуализацията може да бъде отменена по следния начин.

Пример

$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443

Рестартиране и изключване#

NetHSM може да бъде рестартиран и изключен дистанционно или с бутона за рестартиране и изключване на предната част на хардуера на NetHSM.

Дистанционното рестартиране може да бъде инициирано по следния начин.

Пример

$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

Дистанционното изключване може да се инициира по следния начин.

Пример

$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Възстановяване на фабричните настройки по подразбиране#

Provisioned NetHSM може да бъде върнат към фабричните настройки. В този случай всички потребителски данни се изтриват по сигурен начин и NetHSM се зарежда в Unprovisioned състояние. След това може да поискате да осигурите NetHSM.

Възстановяването на фабричните настройки може да се извърши по следния начин.

Пример

$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Управление на потребителите#

Роли#

NetHSM позволява разделяне на задълженията чрез използване на различни роли. На всеки потребителски акаунт, конфигуриран в NetHSM, е присвоена една от следните Роли.

Роля

Описание

Администратор

Потребителски акаунт с тази роля има достъп до всички операции, предоставяни от NetHSM, с изключение на операциите за използване на ключове, т.е. подписване и декриптиране на съобщения.

Оператор

Р-оператор: Потребителски акаунт с тази роля има достъп до всички операции за използване на ключове, подмножество от операции за управление на ключове само за четене и операции за управление на потребители, които позволяват промени само в собствения му акаунт.

Метрики

Потребителски акаунт с тази роля има достъп само до операции за четене на метрики.

Бекъп

Потребителският акаунт с тази роля има достъп само до операциите, необходими за иницииране на архивиране на системата.

Вижте Етикети за по-фини ограничения на достъпа.

Note

В бъдеща версия може да бъдат въведени допълнителни Роли.

Добавяне на потребител#

Добавете потребителски акаунт в NetHSM. Всеки потребителски акаунт има Роля, която трябва да се посочи. Моля, вижте глава Роли, за да научите повече за Ролите.

Note

NetHSM задава произволен потребителски идентификатор, ако не е посочен такъв.

Потребителски акаунт може да бъде добавен по следния начин.

Задължителни опции

Опция

Описание

-n, --real-name TEXT

Истинското име на потребителя

-r, --role [Administrator|Operator|Metrics|Backup]

Ролята на новия потребител

-p, --passphrase TEXT

Паролата на новия потребител

Възможни опции

Опция

Описание

-u, --user-id TEXT

Потребителският идентификатор на новия потребител

Пример

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Изтриване на потребител#

Изтриване на потребителски акаунт от NetHSM.

Warning

Изтриването е постоянно и не може да бъде върнато.

Потребителски акаунт може да бъде изтрит по следния начин.

Аргументи

Аргумент

Описание

USER_ID

Идентификаторът на потребителя.

Пример

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443

Списък на потребителите#

Изготвяне на списък на потребителите в NetHSM.

Списъкът може да бъде изтеглен по следния начин.

Възможни опции

Опция

Описание

--details, --no-details

Запитване за истинското име и ролята на потребителя

Пример

$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Потребителска парола#

Паролата на потребителски акаунт може да бъде нулирана. Паролата се задава първоначално по време на добавянето на потребителски акаунт.

Note

Паролите трябва да съдържат >= 10 и <= 200 символа.

Потребителската парола може да бъде зададена, както следва.

Задължителни опции

Опция

Описание

-u, --user-id TEXT

Идентификаторът на потребителя

-p, --passphrase TEXT

Новата парола на потребителя

Пример

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Етикети за потребители#

Етикетите могат да се използват за задаване на фини ограничения на достъпа до ключовете и са незадължителна функция. Един или повече Тагове могат да се задават само на потребителски акаунти с роля Оператор. Операторите ** могат да виждат всички ключове, но да използват само тези, които имат поне един съответен таг ** . Ключ не може да бъде променян от потребител Оператор.

За да научите как да използвате Tags за клавишите, моля, вижте Tags for Keys.

Може да се добави Tag, както следва.

Аргументи

Аргумент

Описание

USER_ID

Идентификаторът на потребителя, на който се задава етикетът.

TAG

Тагът, който се задава на идентификатора на потребителя.

Пример

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin
Added tag berlin for user operator1 on the NetHSM localhost:8443

Тагът може да бъде изтрит по следния начин.

Аргументи

Аргумент

Описание

USER_ID

Идентификаторът на потребителя, на който се задава етикетът.

TAG

Тагът, който се задава на идентификатора на потребителя.

Пример

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin
Deleted tag berlin for user operator1 on the NetHSM localhost:8443