Инструмент за командния ред на Nitropy#

Информация за устройството & Състояние
Осигуряване
Управление на потребителите
- Роли
Управление на ключовете
Ключови сертификати
- Заявки за подписване на ключови сертификати
Основни операции
Създаване на резервни копия
Възстановяване на резервни копия
Актуализиране на NetHSM

Този урок демонстрира как да получите достъп до NetHMS чрез nitropy инструмент за командния ред, който трябва да изтеглите и инсталирате.

Note

Ако използвате демонстрационен екземпляр на NetHSM със самоподписан сертификат, например с помощта на образа Docker, ще трябва да използвате опцията --no-verify-tls за nitropy, за да пропуснете проверката на сертификата.

Note

Първо задайте стойността на $NETHSM_HOST на IP адреса или URL адреса на вашия NetHSM. Нашият демо сървър е достъпен на адрес https://nethsmdemo.nitrokey.com/

Информация за устройството & Състояние #

$ nitropy nethsm --host $NETHSM_HOST info

Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

$ nitropy nethsm --host $NETHSM_HOST state

NetHSM localhost:8443 is Unprovisioned

Осигуряване #

Първо трябва да се създаде нов NetHSM с пароли и текущо време. Пасфрезата Admin е пасфрезата на Administrator, който е суперпотребителят на NetHSM. Пасфразата Unlock се използва за криптиране на хранилището за поверителни данни на NetHSM.

Note

Демонстрационната инстанция на NetHSM на адрес nethsmdemo.nitrokey.com вече е осигурена.

$ nitropy nethsm --host $NETHSM_HOST provision

NetHSM localhost:8443 provisioned

NetHSM може да се използва в режим на присъствено зареждане и в режим на неприсъствено зареждане.

В режим Аттендирано зареждане при всяко стартиране трябва да се въведе Фраза за отключване, която се използва за криптиране на хранилището за данни. От съображения за сигурност този режим е препоръчителен.
В режим Необслужвано стартиране не се изисква парола за отключване, поради което NetHSM може да се стартира необслужвано и паметта за данни се съхранява некриптирано. Използвайте този режим, ако изискванията ви за наличност не могат да бъдат изпълнени с режима Aattended Boot (Внедряване без наблюдение).

Извличане на текущия режим:

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot

 Configuration for NetHSM localhost:8443:
 Unattended boot: off

Включете режима Необслужвано зареждане:

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on

 Updated the unattended boot configuration for NetHSM localhost:8443

Управление на потребителите #

Роли #

Разделянето на задълженията може да се осъществи чрез използване на наличните роли. На всеки потребителски акаунт, конфигуриран в NetHSM, е присвоена една от следните роли. По-долу е представено описание на високо ниво на операциите, разрешени от отделните роли, а за подробности, специфични за крайната точка, моля, направете справка с документацията на REST API.

Р-администратор: Потребителски акаунт с тази роля има достъп до всички операции, предоставяни от REST API, с изключение на операциите за използване на ключове, т.е. подписване и декриптиране на съобщения.
Р-оператор: Потребителски акаунт с тази роля има достъп до всички операции за използване на ключове, подмножество от операции за управление на ключове само за четене и операции за управление на потребители, които позволяват промени само в собствения му акаунт.
R-Metrics: Потребителски акаунт с тази роля има достъп само до операции с метрики за четене.
R-Backup: Потребителският акаунт с тази роля има достъп само до операциите, необходими за започване на архивиране на системата.

Забележка: В бъдещи версии може да бъдат въведени допълнителни роли.

Създаване и изтриване на потребители

Сега създайте нов потребител с ролята на оператор, който може да се използва за подписване и декриптиране на данни. Обърнете внимание, че NetHSM присвоява произволен идентификатор на потребител, ако не го посочим.

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Jane User" --role Operator

User Operator added to NetHSM localhost:8443

$ nitropy nethsm --host $NETHSM_HOST delete-user "Jane User"

Управление на ключовете #

Генериране на ключове #

В това ръководство искаме да използваме ключ RSA за декриптиране на данни с помощта на PKCS #1 и за подписване на данни с PSS с помощта на SHA256. Затова нека генерираме нов ключ в NetHSM. Уверете се, че сте използвали алгоритъма RSA и сте избрали ключовите механизми RSA_Signature_PSS_SHA256 и RSA_Decryption_PKCS1. Ако не посочите идентификатор на ключа, NetHSM ще генерира произволен идентификатор за новия ключ.

$ nitropy nethsm --host $NETHSM_HOST  generate-key --type RSA --mechanism RSA_Signature_PSS_SHA256 --mechanism RSA_Decryption_PKCS1 --length 2048 --key-id myFirstKey

Key myFirstKey generated on NetHSM localhost:8443

Импортиране на ключове #

Вместо да генерирате ключ в NetHSM, можете също така да импортирате съществуващи частни ключове в NetHSM:

$ nitropy nethsm --host $NETHSM_HOST  add-key --type RSA --mechanism RSA_Signature_PSS_SHA256 --mechanism RSA_Decryption_PKCS1 --key-id mySecondKey --public-exponent AQAB --prime-p "AOnWFZ+JrI/xOXJU04uYCZOiPVUWd6CSbVseEYrYQYxc7dVroePshz29tc+VEOUP5T0O8lXMEkjFAwjW6C9QTAsPyl6jwyOQluMRIkdN4/7BAg3HAMuGd7VmkGyYrnZWW54sLWp1JD6XJG33kF+9OSar9ETPoVyBgK5punfiUFEL" \
    --prime-q "ANT1kWDdP9hZoFKT49dwdM/S+3ZDnxQa7kZk9p+JKU5RaU9e8pS2GOJljHwkES1FH6CUGeIaUi81tRKe2XZhe/163sEyMcxkaaRbBbTc1v6ZDKILFKKt4eX7LAQfhL/iFlgi6pcyUM8QDrm1QeFgGz11ChM0JuQw1WwkX06lg8iv"

Key mySecondKey added to NetHSM localhost:8443

Списък с ключове #

За да се уверим, че ключът е създаден и има правилните настройки на алгоритъма и механизма, можем да направим справка за всички ключове в NetHSM:

$ nitropy nethsm --host $NETHSM_HOST list-keys

Keys on NetHSM localhost:8443:

Key ID          Algorithm       Mechanisms                                      Operations
----------      ---------       ----------------------------------------------  ----------
myFirstKey      RSA             RSA_Decryption_PKCS1, RSA_Signature_PSS_SHA256  0
mySecondKey     RSA             RSA_Decryption_PKCS1, RSA_Signature_PSS_SHA256  0

Показване на подробностите за ключа #

Можем също така да поискаме публичния ключ на генерираната двойка ключове:

$ nitropy nethsm --host $NETHSM_HOST get-key myFirstKey

За да можем да използваме ключа с OpenSSL, го експортираме като PEM файл и го съхраняваме като public.pem:

$ nitropy nethsm --host $NETHSM_HOST get-key myFirstKey --public-key > public.pem

Можем да проверим ключа с openssl и да го използваме за криптиране или проверка на подпис (както е описано в следващия раздел):

$ openssl rsa -in public.pem -pubin -text

RSA Public-Key: (2048 bit)
Modulus:
          00:c3:56:f5:09:cc:a9:3e:ca:16:2e:fb:d2:8b:9d:
          a9:33:5a:87:8f:3f:7a:bb:8a:3d:62:9b:5d:56:84:
          95:97:bb:97:f0:77:e2:c8:59:f2:b5:c6:b7:f5:b3:
          76:69:a3:e8:f6:b7:35:f4:3c:52:6d:3c:a0:b6:a1:
          e4:1a:32:05:1d:51:68:21:7d:fc:53:69:ec:bc:0b:
          a0:db:63:b2:0e:47:00:03:4d:98:1f:ab:c0:7b:2e:
          3c:8f:b6:36:ff:f0:db:80:26:f0:a6:af:30:2f:7b:
          16:fd:5c:db:0f:2c:54:8a:26:2b:db:3d:78:49:4b:
          7b:d1:60:ea:a7:f0:b4:5e:fc:33:ff:57:f8:83:fd:
          12:64:8f:29:d1:94:96:9a:15:18:5d:04:ca:1c:29:
          44:ad:42:31:c5:80:38:4c:eb:3b:b8:7e:17:27:5c:
          69:a8:88:44:ea:d1:82:64:fe:51:31:47:97:a7:a9:
          87:c3:13:c9:00:7a:b9:fb:6f:cc:66:4c:07:d7:68:
          fa:78:68:9a:e7:87:1e:94:c6:27:92:5f:f2:7d:11:
          44:11:b5:39:35:59:2c:cd:f9:4f:59:e3:56:93:1f:
          94:20:fd:6b:23:0d:15:e6:4e:bb:84:a8:a5:0d:9f:
          1c:90:ab:a8:10:04:50:12:c1:80:02:94:85:78:df:
          d6:b3
Exponent: 65537 (0x10001)
writing RSA key
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAw1b1CcypPsoWLvvSi52p
M1qHjz96u4o9YptdVoSVl7uX8HfiyFnytca39bN2aaPo9rc19DxSbTygtqHkGjIF
HVFoIX38U2nsvAug22OyDkcAA02YH6vAey48j7Y2//DbgCbwpq8wL3sW/VzbDyxU
iiYr2z14SUt70WDqp/C0Xvwz/1f4g/0SZI8p0ZSWmhUYXQTKHClErUIxxYA4TOs7
uH4XJ1xpqIhE6tGCZP5RMUeXp6mHwxPJAHq5+2/MZkwH12j6eGia54celMYnkl/y
fRFEEbU5NVkszflPWeNWkx+UIP1rIw0V5k67hKilDZ8ckKuoEARQEsGAApSFeN/W
swIDAQAB
-----END PUBLIC KEY-----

Ключови сертификати #

Възможно е да се задават и изискват сертификати за ключовете, съхранявани в инстанция на NetHSM:

$ nitropy nethsm --host $NETHSM_HOST  set-certificate myFirstKey --mime-type application/x-pem-file /tmp/cert.pem

Updated the certificate for key myFirstKey on NetHSM localhost:8443

$ nitropy nethsm --host $NETHSM_HOST get-certificate myFirstKey > /tmp/cert.pem

Заявки за подписване на ключови сертификати #

NetHSM поддържа генериране на искания за подписване на удостоверения (CSR) за съхраняваните ключове:

$ nitropy nethsm --host $NETHSM_HOST csr --key-id myFirstKey --country DE --state-or-province BE --locality Berlin --organization ACME --organizational-unit IT --common-name example.com --email-address it@example.com

Основни операции #

Можем да криптираме данните за ключа, съхраняван в NetHSM, като използваме OpenSSL. (public.pem е файлът с публичния ключ, който създадохме в раздела Покажи подробности за ключа.)

$ echo 'NetHSM rulez!' | OpenSSL rsautl -encrypt -inkey public.pem -pubin | base64 > data.crypt

$ nitropy nethsm -h $NETHSM_HOST decrypt -k myFirstKey -d "$(cat data.crypt)" -m PKCS1 | base64 -d

NetHSM rulez!

По същия начин можем да подпишем данните, като използваме ключа на NetHSM. За RSA и ECDSA първо трябва да изчислим цифров код:

$ echo 'NetHSM rulez!' > data

$ openssl dgst -sha256 -binary data | base64 > data.digest

След това можем да създадем подпис от този сбор с помощта на NetHSM:

$ nitropy nethsm -h $NETHSM_HOST sign -k myFirstKey -m PSS_SHA256 -d "$(cat data.digest)" | base64 -d > data.sig

И след това използвайте OpenSSL за проверка на подписа:

$ openssl dgst -sha256 -verify public.pem -signature data.sig -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 data

Verified OK

Създаване на резервни копия #

Възможно е да се създаде резервно копие на NetHSM, което да улавя както конфигурацията, така и съхранените ключове. За да създадете резервно копие, първо трябва да зададете парола за резервно копие, която се използва за криптиране на файла с резервното копие:

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase

Updated the backup passphrase for NetHSM localhost:8443

Сега трябва да създадете потребител с роля R-Backup:

$ nitropy nethsm -h $NETHSM_HOST -u admin add-user --user-id backup --real-name "Backup User" --role backup

User backup added to NetHSM localhost:8443

След това можете да генерирате резервно копие и да го запишете във файл:

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup

Backup for localhost:8443 written to /tmp/backup

Възстановяване на резервни копия #

Този резервен файл може да бъде възстановен на невъведен NetHSM екземпляр:

$ nitropy nethsm -h $NETHSM_HOST restore --backup-passphrase backup-passphrase backupencryptionkey /tmp/nethsm-backup

Backup restored on NetHSM localhost:8443

Актуализиране на NetHSM #

Warning

Възможно е да се стигне до загуба на данни поради инсталирането на бета актуализация!

$ nitropy nethsm --host $NETHSM_HOST  update /tmp/nethsm-update.img.cpio

Image /tmp/nethsm-update.img.cpio uploaded to NetHSM localhost:8443

Ако искате да продължите с инсталацията, можете да извършите актуализацията:

$ nitropy nethsm --host $NETHSM_HOST     commit-update

Update successfully committed on NetHSM localhost:8443

Можете също така да отмените актуализацията:

$ nitropy nethsm --host $NETHSM_HOST  cancel-update

Update successfully cancelled on NetHSM localhost:8443