Správa#
Tato kapitola popisuje úlohy správy pro uživatele s rolí Administrator. Více informací o této roli naleznete v kapitole Roly.
Důležité
Než začnete pracovat, přečtěte si informace na začátku tohoto dokumentu.
Správa systému#
Informace o zařízení#
Informace o dodavateli a produktu pro NetHSM lze získat následujícím způsobem.
Příklad
$ nitropy nethsm --host $NETHSM_HOST info
Host: localhost:8443
Vendor: Nitrokey GmbH
Product: NetHSM
Informace o koncovém bodu /info naleznete v dokumentaci API.
Režim bootování#
NetHSM lze používat v režimu Attended Boot a Unattended Boot.
Režim bootování |
Popis |
---|---|
Attended Boot |
Při každém spuštění je třeba zadat odemykací frázi, která se používá k dešifrování uživatelských dat. Z bezpečnostních důvodů se tento režim doporučuje. |
Neobsluhované zavádění |
Není vyžadována žádná fráze pro odemknutí, proto se NetHSM může spustit bezobslužně. Tento režim použijte, pokud vaše požadavky na dostupnost nelze splnit pomocí režimu Attended Boot. |
Aktuální zaváděcí režim lze načíst následujícím způsobem.
Příklad
$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
Unattended boot: off
Informace o koncovém bodu /config/unattended-boot naleznete v dokumentaci API.
Režim spouštění lze změnit následujícím způsobem.
Argumenty
Argument |
Popis |
---|---|
Stav |
Povolte nebo zakažte funkci Unattended Boot. Může mít hodnotu |
Příklad
$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443
Informace o koncovém bodu /config/unattended-boot naleznete v dokumentaci API.
Stát#
Software NetHSM má čtyři stavy: Neprovisioned, Provisioned, Locked a Operational.
Stát |
Popis |
---|---|
Neprovizované |
NetHSM bez konfigurace (výchozí nastavení z výroby) |
Provisioned |
NetHSM s konfigurací. Stav Provisioned znamená buď stav Operational, nebo Locked. |
Provozní |
NetHSM s konfigurací a připravený k provádění příkazů. Stav Operational znamená stav Provisioned. |
Zamčeno |
NetHSM s konfigurací, ale chráněný (vyžaduje odemknutí). Stav Operational znamená stav Provisioned. |
Stavy a přechody NetHSM#
Aktuální stav NetHSM lze získat následujícím způsobem.
Příklad
$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned
Informace o koncovém bodu /health/state naleznete v dokumentaci API.
Nový NetHSM je ve stavu Neprovisioned a po provisioningu přechází do stavu Operational. Poskytování zařízení NetHSM je popsáno v kapitole Provisioning.
Zařízení NetHSM ve stavu Operational lze opět uzamknout a chránit takto.
Příklad
$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked
Informace o koncovém bodu /lock najdete v dokumentaci API.
NetHSM ve stavu Locked lze odemknout následujícím způsobem.
Příklad
$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked
Informace o koncovém bodu /unlock najdete v dokumentaci API.
Odemknutí přístupové fráze#
Fráze Unlock Passphrase se používá k odvození klíče Unlock Key, pokud je NetHSM ve stavu Locked. Heslo je původně nastaveno během poskytování zařízení NetHSM.
Odemknout heslovou frázi lze nastavit následujícím způsobem.
Volitelné možnosti
Možnost |
Popis |
---|---|
|
Nová přístupová fráze pro odemknutí |
Příklad
$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
Passphrase:
Repeat for confirmation:
Updated the unlock passphrase for localhost:8443
Informace o koncovém bodu /config/unlock-passphrase naleznete v dokumentaci API.
Certifikát TLS#
Certifikát TLS se používá pro rozhraní REST API založené na protokolu HTTPS, a proto jej používá také nitropy. Během poskytování je vytvořen certifikát podepsaný samotným uživatelem. Certifikát lze nahradit například podepsaným certifikátem od certifikační autority. V takovém případě je třeba vygenerovat žádost o podepsání certifikátu (CSR). Po podepsání je třeba certifikát importovat do NetHSM.
Změna je nutná pouze v případě, že má být certifikát vyměněn. Takovou změnou může být nahrazení podepsaným certifikátem od certifikační autority.
Certifikát TLS lze získat následujícím způsobem.
Požadované možnosti
Možnost |
Popis |
---|---|
|
Nastavení certifikátu pro rozhraní NetHSM TLS |
Příklad
$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----
Informace o koncovém bodě /config/tls/cert.pem naleznete v dokumentaci API.
Certifikát TLS lze vygenerovat následujícím způsobem.
Požadované možnosti
Možnost |
Popis |
---|---|
|
Typ generovaného klíče |
|
Délka generovaného klíče |
Příklad
$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443
Informace o koncovém bodu /config/tls/generate naleznete v dokumentaci API.
Žádost o podpis certifikátu (CSR) pro certifikát lze vygenerovat následujícím způsobem.
Požadované možnosti
Možnost |
Popis |
---|---|
|
Generování certifikátu CSR pro certifikát TLS NetHSM |
|
Název země |
|
Název státu nebo provincie |
|
Název lokality |
|
Název organizace |
|
Název organizační jednotky |
|
Společný název |
|
E-mailová adresa |
Příklad
$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----
Informace o koncovém bodě /config/tls/csr.pem naleznete v dokumentaci API.
Certifikát lze nahradit následujícím způsobem.
Požadované možnosti
Možnost |
Popis |
---|---|
|
Nastavení certifikátu pro rozhraní NetHSM TLS |
Argumenty
Argument |
Popis |
---|---|
|
Soubor s certifikátem |
Příklad
nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate
Informace o koncovém bodě /config/tls/csr.pem naleznete v dokumentaci API.
Síť#
Konfigurace sítě definuje nastavení používané pro Síťový port.
Poznámka
Tímto nastavením se nekonfiguruje síťový port BMC.
Konfiguraci sítě lze načíst následujícím způsobem.
Požadované možnosti
Možnost |
Popis |
---|---|
|
Dotaz na konfiguraci sítě |
Příklad
$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
IP address: 192.168.1.1
Netmask: 255.255.255.0
Gateway: 0.0.0.0
Informace o koncovém bodu /config/network najdete v dokumentaci API.
Nastavte konfiguraci sítě takto.
Poznámka
NetHSM nepodporuje protokol DHCP (Dynamic Host Configuration Protocol).
Poznámka
NetHSM nepodporuje protokol IPv6 (Internet Protocol version 6).
Požadované možnosti
Možnost |
Popis |
---|---|
|
Nová IP adresa |
|
Nová síťová maska |
|
Nová brána |
Příklad
$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443
Informace o koncovém bodu /config/network najdete v dokumentaci API.
Čas#
Konfigurace času nastavuje systémový čas softwaru NetHSM. Obvykle není nutné nastavovat systémový čas, protože ten se nastavuje při provisioningu.
Konfiguraci času lze získat následujícím způsobem.
Požadované možnosti
Možnost |
Popis |
---|---|
|
Dotaz na systémový čas |
Příklad
$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time: 2022-08-17 11:40:00+00:00
Informace o koncovém bodu /config/time najdete v dokumentaci API.
Nastavení času NetHSM.
Důležité
Ujistěte se, že jste zadali čas v časovém pásmu UTC.
Argumenty
Argument |
Popis |
---|---|
|
Nastavení systémového času (formát: RRRR-MM-DDTHH:MM:SSZ) |
Příklad
$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443
Informace o koncovém bodu /config/time najdete v dokumentaci API.
Metriky#
NetHSM zaznamenává metriky systémových parametrů.
Poznámka
Tento příkaz vyžaduje ověření uživatele s rolí Metrics. Více informací o této roli naleznete v kapitole Role.
Metriky lze získat následujícím způsobem.
Příklad
$ nitropy nethsm -h $NETHSM_HOST metrics
Metric Value
---------------------------- --------
client connections 0
established state 6
external.received bytes 989931
external.received packets 13239
external.transmitted bytes 25908953
external.transmitted packets 22037
free chunk count 322
gc compactions 0
gc major bytes 21348352
gc major collections 35
gc minor collections 2652
http response 200 28
http response 201 1
http response 204 1
http response 400 1
http response 403 1
http response 404 145
http response 412 1
http response time 0.084998
http response total 178
internal.received bytes 66541
internal.received packets 1130
internal.transmitted bytes 63802
internal.transmitted packets 1133
kv write 2
log errors 3
log warnings 3
maximum allocated space 64528384
maximum releasable bytes 1216
mmapped region count 0
new sleeper size 1
non-mmapped allocated bytes 64528384
sleep queue size 11
syn-rcvd state 0
timers 2
total allocated space 43940832
total client 1
total established 515
total free space 20587552
total sleeper size 12
total syn-rcvd 514
total timers 526
uptime 17626
Informace o koncovém bodu /metrics najdete v dokumentaci API.
Protokolování#
Zařízení NetHSM může zaznamenávat systémové události na sériový port nebo na server syslog v síti.
Sériová konzola funguje od samého počátku hardwaru NetHSM. Zahrnuje události z firmwaru NetHSM a softwaru NetHSM.
Nastavení sériového konzolového připojení jsou následující.
Nastavení |
Hodnota |
---|---|
Přenosová rychlost |
115200 |
Datové bity |
8 |
Stop bity |
1 |
Parita |
Žádné |
Řízení toku |
Žádné |
Konfiguraci serveru syslog lze načíst následujícím způsobem.
Požadované možnosti
Možnost |
Popis |
---|---|
|
Dotaz na konfiguraci protokolování |
Příklad
$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
IP address: 0.0.0.0
Port: 514
Log level: info
Informace o koncovém bodu /config/logging najdete v dokumentaci API.
Konfiguraci serveru syslog lze nastavit takto.
Požadované možnosti
Možnost |
Popis |
---|---|
|
IP adresa nového cíle protokolování |
|
Port nového cíle protokolování |
|
Nová úroveň protokolu |
Příklad
$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443
Informace o koncovém bodu /config/logging najdete v dokumentaci API.
Záloha#
Uživatelská data NetHSM lze uložit do záložního souboru. Tento záložní soubor obsahuje všechna Uživatelská data, konkrétně Úložiště konfigurace, Úložiště ověření, Úložiště klíčů domény a Úložiště klíčů.
Důležité
Systémový software NetHSM v režimu neobslužného zavádění bude vyžadovat frázi pro odblokování, pokud bude obnoven na jiném hardwaru NetHSM. Více informací naleznete v kapitole Unlock Passphrase.
Důležité
Zařízení NetHSM v režimu Unattended Boot bude po obnovení ve stejném režimu.
Před zahájením zálohování je třeba nastavit zálohovací heslo. Backup Passphrase se používá k šifrování dat v záložním souboru.
Záložní přístupovou frázi lze nastavit takto.
Volitelné možnosti
Možnost |
Popis |
---|---|
|
Nová záložní přístupová fráze |
Příklad
$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
Passphrase:
Repeat for confirmation:
Updated the backup passphrase for NetHSM localhost:8443
Informace o koncovém bodě /config/backup-passphrase naleznete v dokumentaci API.
Poznámka
Tento příkaz vyžaduje ověření uživatele s rolí Backup. Více informací naleznete v kapitole Role.
Zálohování lze provést následujícím způsobem.
Argumenty
Argument |
Popis |
---|---|
|
Záložní soubor |
Příklad
$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup
Informace o koncovém bodu /system/backup naleznete v dokumentaci API.
Poznámka
Tento záložní soubor lze obnovit v neschválené instanci NetHSM:
Obnovení#
NetHSM lze obnovit ze záložního souboru.
Poznámka
NetHSM musí být ve stavu Neprovisioned.
Obnovení lze použít následujícím způsobem.
Volitelné možnosti
Možnost |
Popis |
---|---|
|
Záložní přístupová fráze |
|
Systémový čas, který se má nastavit (Formát: |
Důležité
Zkontrolujte, zda je správně nastaven čas v místním počítači. Chcete-li nastavit jiný čas, zadejte jej ručně.
Argumenty
Argument |
Popis |
|
---|---|---|
|
Příklad
$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443
Informace o koncovém bodu /system/restore najdete v dokumentaci API.
Aktualizace#
Aktualizace pro NetHSM lze nainstalovat ve dvou krocích. Nejprve je třeba do zařízení NetHSM nahrát obraz aktualizace. Obraz je automaticky zkontrolován a ověřen.
Varování
V důsledku instalace beta aktualizace může dojít ke ztrátě dat!
Aktualizační soubor lze nahrát následujícím způsobem.
Argumenty
Argument |
Popis |
---|---|
|
Aktualizace souboru |
Příklad
$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.cpio
Image /tmp/nethsm-update.img.cpio uploaded to NetHSM localhost:8443
Informace o koncovém bodu /system/update najdete v dokumentaci API.
Poté lze aktualizaci použít nebo přerušit. Požadovanou možnost naleznete níže.
Aktualizaci lze použít (odevzdat) následujícím způsobem.
Příklad
$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443
Informace o koncovém bodu /system/commit-update naleznete v dokumentaci API.
Aktualizaci lze zrušit následujícím způsobem.
Příklad
$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443
Informace o koncovém bodu /system/cancel-update naleznete v dokumentaci API.
Restart a vypnutí#
Zařízení NetHSM lze restartovat a vypnout buď na dálku, nebo pomocí tlačítka restartování a vypnutí na přední straně hardwaru NetHSM.
Vzdálený restart lze zahájit následujícím způsobem.
Příklad
$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot
Informace o koncovém bodu /system/reboot naleznete v dokumentaci API.
Vzdálené vypnutí lze spustit následujícím způsobem.
Příklad
$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown
Informace o koncovém bodu /system/shutdown najdete v dokumentaci API.
Obnovení výchozích továrních nastavení#
Zařízení NetHSM lze obnovit do výchozího továrního nastavení. Během tohoto procesu se vymažou všechna uživatelská data.
Obnovení výchozího továrního nastavení lze provést následujícím způsobem.
Příklad
$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset
Informace o koncovém bodě /system/factory-reset naleznete v dokumentaci API.
Správa uživatelů#
Role#
NetHSM umožňuje oddělení povinností pomocí různých rolí. Každý uživatelský účet nakonfigurovaný v NetHSM má přiřazenu jednu z následujících Rol.
Role |
Popis |
---|---|
Administrátor |
Uživatelský účet s touto rolí má přístup ke všem operacím poskytovaným NetHSM, s výjimkou operací používání klíčů, tj. podepisování a dešifrování zpráv. |
Operátor |
R-Operátor: Uživatelský účet s touto rolí má přístup ke všem operacím používání klíčů, k podmnožině operací správy klíčů pouze pro čtení a k operacím správy uživatelů, které umožňují změny pouze na jeho vlastním účtu. |
Metriky |
Uživatelský účet s touto rolí má přístup pouze k operacím s metrikami pro čtení. |
Záloha |
Uživatelský účet s touto rolí má přístup pouze k operacím potřebným k zahájení zálohování systému. |
Poznámka
V některé z budoucích verzí mohou být zavedeny další Role.
Přidat uživatele#
Přidání uživatelského účtu do NetHSM. Každý uživatelský účet má Roli, kterou je třeba zadat. Více informací o Rolách naleznete v kapitole Roly.
Poznámka
Pokud není zadáno žádné, NetHSM přiřadí náhodné ID uživatele.
Uživatelský účet lze přidat následujícím způsobem.
Požadované možnosti
Možnost |
Popis |
---|---|
|
Skutečné jméno uživatele |
|
Role nového uživatele |
|
Přístupová fráze nového uživatele |
Volitelné možnosti
Možnost |
Popis |
---|---|
|
ID nového uživatele |
Příklad
$ nitropy nethsm --host $NETHSM_HOST add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443
Odstranit uživatele#
Odstranění uživatelského účtu z NetHSM.
Varování
Vymazání je trvalé a nelze je vrátit zpět.
Uživatelský účet lze odstranit následujícím způsobem.
Argumenty
Argument |
Popis |
---|---|
|
Id uživatele. |
Příklad
$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443
Informace o koncovém bodě /users/{UserID} najdete v dokumentaci API.
Seznam uživatelů#
Seznam uživatelů v systému NetHSM.
Seznam lze získat následujícím způsobem.
Volitelné možnosti
Možnost |
Popis |
---|---|
|
Dotaz na skutečné jméno a roli uživatele |
Příklad
$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:
User ID Real name Role
--------- ----------------- -------------
operator1 Nitrokey Operator Operator
admin admin Administrator
Uživatelská přístupová fráze#
Heslo uživatelského účtu lze resetovat. Přístupová fráze se původně nastavuje při přidávání uživatelského účtu.
Poznámka
Hesla musí mít >= 10 a <= 200 znaků.
Uživatelskou přístupovou frázi lze nastavit takto.
Požadované možnosti
Možnost |
Popis |
---|---|
|
ID uživatele |
|
Nová přístupová fráze uživatele |
Příklad
$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443
Informace o koncovém bodě /users/{UserID}/passphrase najdete v dokumentaci API.