Správa#

Tato kapitola popisuje úlohy správy pro uživatele s rolí Administrator. Více informací o této roli naleznete v kapitole Roly.

Důležité

Než začnete pracovat, přečtěte si informace na začátku tohoto dokumentu.

Správa systému#

Informace o zařízení#

Informace o dodavateli a produktu pro NetHSM lze získat následujícím způsobem.

Příklad

$ nitropy nethsm --host $NETHSM_HOST info
Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Režim bootování#

NetHSM lze používat v režimu Attended Boot a Unattended Boot.

Režim bootování

Popis

Zúčastnil se Boot

NetHSM se spouští do stavu _Zamčeno_.* Při každém spuštění je třeba zadat odemykací frázi , která slouží k dešifrování uživatelských dat *.. Z bezpečnostních důvodů se tento režim doporučuje a je výchozím režimem pro čerstvě vytvořený systém.

Bezobslužné zavádění

Systém se spustí bezobslužně, aniž by bylo nutné zadávat přístupovou frázi Unlock ** do stavu _Operational_. Tento režim použijte, pokud vaše požadavky na dostupnost nelze splnit pomocí režimu Attended Boot.

Varování

Bez ohledu na režim spouštění si odemykací fráze ** zachovává svou platnost a je vyžadována pro obnovení záloh na jiném hardwaru. Odemykací frázi Unlock Passphrase mějte kdykoli na bezpečném místě.

Aktuální zaváděcí režim lze načíst následujícím způsobem.

Příklad

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
   Unattended boot: off

Režim spouštění lze změnit následujícím způsobem. Při dalším spuštění se NetHSM bude chovat odpovídajícím způsobem.

Argumenty

Argument

Popis

Stav

Povolte nebo zakažte funkci Unattended Boot. Může mít hodnotu on nebo off.

Příklad

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443

Stát#

Software NetHSM má čtyři stavy: Neprovisioned, Provisioned, Locked a Operational.

Stát

Popis

Neprovizované

NetHSM bez konfigurace (výchozí nastavení z výroby)

Provisioned

NetHSM s konfigurací. Stav Provisioned znamená buď stav Operational, nebo Locked.

Provozní

NetHSM s konfigurací a připravený k provádění příkazů. Stav Operational znamená stav Provisioned.

Zamčeno

NetHSM s konfigurací, ale šifrovanými a nepřístupnými datovými úložišti. Dalším krokem je obvykle odemknutí systému. Stav Locked implikuje stav Provisioned.

Stavy a přechody NetHSM

Stavy a přechody NetHSM#


Aktuální stav NetHSM lze získat následujícím způsobem.

Příklad

$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned

Nový NetHSM je ve stavu Neprovisioned a po provisioningu přechází do stavu Operational. Poskytování zařízení NetHSM je popsáno v kapitole Provisioning.

Zařízení NetHSM ve stavu Operational lze opět uzamknout a chránit takto.

Příklad

$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked

NetHSM ve stavu Locked lze odemknout následujícím způsobem. Dokud je NetHSM ve stavu _Locked_, nejsou možné žádné další operace. Poté je NetHSM ve stavu _Operational_.

Příklad

$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked

Odemknutí přístupové fráze#

Fráze Unlock Passphrase se používá k odvození klíče Unlock Key, pokud je NetHSM ve stavu Locked. Heslo je původně nastaveno během poskytování zařízení NetHSM.

… varování:

Bez znalosti aktuální hodnoty nelze odemykací frázi resetovat. Pokud dojde ke ztrátě odemykací heslové fráze, nelze ji resetovat na novou hodnotu ani odemknout NetHSM.

Odemknout heslovou frázi lze nastavit následujícím způsobem.

Volitelné možnosti

Možnost

Popis

-n, --new-passphrase TEXT

Nová přístupová fráze pro odemknutí

-p, --current-passphrase TEXT

Aktuální přístupová fráze pro odemknutí

-f, --force

Před změnou přístupové fráze nežádejte o potvrzení.

Příklad

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443

Certifikát TLS#

Certifikát TLS se používá pro rozhraní REST API založené na protokolu HTTPS, a proto jej používá také nitropy. Během poskytování je vytvořen certifikát podepsaný samotným uživatelem. Certifikát lze nahradit například podepsaným certifikátem od certifikační autority. V takovém případě je třeba vygenerovat žádost o podepsání certifikátu (CSR). Po podepsání je třeba certifikát importovat do NetHSM.

Změna je nutná pouze v případě, že má být certifikát vyměněn. Takovou změnou může být nahrazení podepsaným certifikátem od certifikační autority.

Certifikát TLS lze získat následujícím způsobem.

Požadované možnosti

Možnost

Popis

-a, --api.

Nastavení certifikátu pro rozhraní NetHSM TLS

Příklad

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----

Certifikát TLS lze vygenerovat následujícím způsobem.

Požadované možnosti

Možnost

Popis

-t, --type [RSA|Curve25519|EC_P224|EC_P256|EC_P384|EC_P521]

Typ generovaného klíče

-l, --length INTEGER.

Délka generovaného klíče

Příklad

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443

Žádost o podpis certifikátu (CSR) pro certifikát lze vygenerovat následujícím způsobem.

Požadované možnosti

Možnost

Popis

-a, --api.

Generování certifikátu CSR pro certifikát TLS NetHSM

--country TEXT

Název země

--state-or-province TEXT

Název státu nebo provincie

--locality TEXT

Název lokality

--organization TEXT

Název organizace

--organizational-unit TEXT

Název organizační jednotky

--common-name TEXT

Společný název

--email-address TEXT

E-mailová adresa

Příklad

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----

Certifikát lze nahradit následujícím způsobem.

Požadované možnosti

Možnost

Popis

-a, --api.

Nastavení certifikátu pro rozhraní NetHSM TLS

Argumenty

Argument

Popis

FILENAME

Soubor s certifikátem

Příklad

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Síť#

Konfigurace sítě definuje nastavení používané pro Síťový port.

Poznámka

Tímto nastavením se nekonfiguruje síťový port BMC.

Konfiguraci sítě lze načíst následujícím způsobem.

Požadované možnosti

Možnost

Popis

--network

Dotaz na konfiguraci sítě

Příklad

$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Nastavte konfiguraci sítě takto.

Poznámka

NetHSM nepodporuje protokol DHCP (Dynamic Host Configuration Protocol).

Poznámka

NetHSM nepodporuje protokol IPv6 (Internet Protocol version 6).

Požadované možnosti

Možnost

Popis

-a, --ip-address.

Nová IP adresa

-n, --netmask.

Nová síťová maska

-n, --netmask.

Nová brána

Příklad

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443

Čas#

Konfigurace času nastavuje systémový čas softwaru NetHSM. Obvykle není nutné nastavovat systémový čas, protože ten se nastavuje při provisioningu.

Konfiguraci času lze získat následujícím způsobem.

Požadované možnosti

Možnost

Popis

--time

Dotaz na systémový čas

Příklad

$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Nastavení času NetHSM.

Důležité

Ujistěte se, že jste zadali čas v časovém pásmu UTC.

Argumenty

Argument

Popis

time

Nastavení systémového času (formát: RRRR-MM-DDTHH:MM:SSZ)

Příklad

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443

Metriky#

NetHSM zaznamenává metriky systémových parametrů.

Poznámka

Tento příkaz vyžaduje ověření uživatele s rolí Metrics. Více informací o této roli naleznete v kapitole Role.

Více informací o jednotlivých metrikách naleznete na Metriky.

Metriky lze získat následujícím způsobem.

Příklad

$ nitropy nethsm -h $NETHSM_HOST metrics
Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Protokolování#

Zařízení NetHSM může zaznamenávat systémové události na sériový port nebo na server syslog v síti.

Důležité

Při jakémkoli produkčním nasazení by měl být protokol NetHSM průběžně monitorován, aby bylo možné okamžitě upozornit na případné bezpečnostní problémy.

Sériová konzola funguje od samého počátku hardwaru NetHSM. Zahrnuje události z firmwaru NetHSM a softwaru NetHSM.

Nastavení sériového konzolového připojení jsou následující.

Nastavení

Hodnota

Přenosová rychlost

115200

Datové bity

8

Stop bity

1

Parita

Žádné

Řízení toku

Žádné

Konfiguraci serveru syslog lze načíst následujícím způsobem.

Požadované možnosti

Možnost

Popis

--network

Dotaz na konfiguraci protokolování

Příklad

$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

Konfiguraci serveru syslog lze nastavit takto.

Požadované možnosti

Možnost

Popis

-p, --passphrase TEXT

IP adresa nového cíle protokolování

-p, --port INTEGER

Port nového cíle protokolování

-l, --log-level [debug|info|warning|error]

Nová úroveň protokolu

Příklad

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443

Záloha#

Uživatelská data NetHSM lze uložit do záložního souboru. Tento záložní soubor obsahuje všechna Uživatelská data, konkrétně Úložiště konfigurace, Úložiště ověření, Úložiště klíčů domény a Úložiště klíčů.

Důležité

Systémový software NetHSM v režimu neobslužného zavádění bude vyžadovat frázi pro odblokování, pokud bude obnoven na jiném hardwaru NetHSM. Více informací naleznete v kapitole Unlock Passphrase.

Důležité

Zařízení NetHSM v režimu Unattended Boot bude po obnovení ve stejném režimu.

Před zahájením zálohování je třeba nastavit zálohovací heslo. Backup Passphrase se používá k šifrování dat v záložním souboru.

Varování

Záložní přístupovou frázi nelze resetovat bez znalosti aktuální hodnoty. Pokud dojde ke ztrátě zálohovací heslové fráze, nelze ji obnovit na novou hodnotu ani obnovit vytvořené zálohy.

Záložní přístupovou frázi lze nastavit takto.

Volitelné možnosti

Možnost

Popis

-n, --new-passphrase TEXT

Nová záložní přístupová fráze

-p, --current-passphrase TEXT

Aktuální záložní přístupová fráze (nebo prázdný řetězec, pokud není nastaven).

-f, --force

Před změnou přístupové fráze nežádejte o potvrzení.

Příklad

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443

Poznámka

Tento příkaz vyžaduje ověření uživatele s rolí Backup. Více informací naleznete v kapitole Role.

Zálohování lze provést následujícím způsobem.

Argumenty

Argument

Popis

FILENAME

Záložní soubor

Příklad

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup

Poznámka

Tento záložní soubor lze obnovit v neschválené instanci NetHSM:

Obnovení#

NetHSM lze obnovit ze záložního souboru.

  • Pokud je NetHSM Unprovisioned, obnoví se všechna User Data včetně konfigurace systému a restartu. Proto může systém následně získat jiná síťová nastavení, certifikát TLS a odemykací frázi.

  • Pokud je NetHSM Provisioned, obnoví se uživatelé a uživatelské klíče, ale ne konfigurace systému. V tomto případě budou odstraněni všichni dříve existující uživatelé a uživatelské klíče. NetHSM skončí ve stavu Operational.

Obnovení lze použít následujícím způsobem.

Volitelné možnosti

Možnost

Popis

-p, --backup-passphrase passphrase

Záložní přístupová fráze

-t, --system-time.

Systémový čas, který se má nastavit (Formát: YYYY-MM-DDTHH:MM:SSZ)

Důležité

Zkontrolujte, zda je správně nastaven čas v místním počítači. Chcete-li nastavit jiný čas, zadejte jej ručně.

Argumenty

Argument

Popis

FILENAME | Obnovení souboru

Příklad

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443

Aktualizace softwaru#

Aktualizace softwaru lze instalovat ve dvou krocích. Nejprve je třeba nahrát obraz aktualizace na Provisioned NetHSM. NetHSM ověří pravost, integritu a číslo verze obrazu. Volitelně NetHSM zobrazí případné poznámky k vydání.

Varování

V důsledku instalace beta aktualizace může dojít ke ztrátě dat! Stabilní verze by neměly způsobit ztrátu dat. Před aktualizací však doporučujeme vytvořit zálohu.

Aktualizační soubor lze nahrát následujícím způsobem.

Argumenty

Argument

Popis

FILENAME

Aktualizace souboru

Příklad

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.cpio
Image /tmp/nethsm-update.img.cpio uploaded to NetHSM localhost:8443

Poté lze aktualizaci použít nebo přerušit. Požadovanou možnost naleznete níže. Pokud je NetHSM před operací „commit“ vypnut, je třeba aktualizační soubor nahrát znovu.

Aktualizaci lze použít (odevzdat) následujícím způsobem. Jakákoli migrace dat se provede až poté, co NetHSM úspěšně zavede novou verzi systémového softwaru.

Příklad

$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443

Aktualizaci lze zrušit následujícím způsobem.

Příklad

$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443

Restart a vypnutí#

Zařízení NetHSM lze restartovat a vypnout buď na dálku, nebo pomocí tlačítka restartování a vypnutí na přední straně hardwaru NetHSM.

Vzdálený restart lze zahájit následujícím způsobem.

Příklad

$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

Vzdálené vypnutí lze spustit následujícím způsobem.

Příklad

$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Obnovení výchozích továrních nastavení#

Zařízení Provisioned NetHSM lze obnovit do výchozího továrního nastavení. V takovém případě se bezpečně odstraní všechna uživatelská data a NetHSM se spustí do stavu Unprovisioned. Poté můžete chtít provision NetHSM.

Obnovení výchozího továrního nastavení lze provést následujícím způsobem.

Příklad

$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Správa uživatelů#

Role#

NetHSM umožňuje oddělení povinností pomocí různých rolí. Každý uživatelský účet nakonfigurovaný v NetHSM má přiřazenu jednu z následujících Rol.

Role

Popis

Administrátor

Uživatelský účet s touto rolí má přístup ke všem operacím poskytovaným NetHSM, s výjimkou operací používání klíčů, tj. podepisování a dešifrování zpráv.

Operátor

R-Operátor: Uživatelský účet s touto rolí má přístup ke všem operacím používání klíčů, k podmnožině operací správy klíčů pouze pro čtení a k operacím správy uživatelů, které umožňují změny pouze na jeho vlastním účtu.

Metriky

Uživatelský účet s touto rolí má přístup pouze k operacím s metrikami pro čtení.

Záloha

Uživatelský účet s touto rolí má přístup pouze k operacím potřebným k zahájení zálohování systému.

Podrobnější omezení přístupu naleznete v části Tags.

Poznámka

V některé z budoucích verzí mohou být zavedeny další Role.

Přidat uživatele#

Přidání uživatelského účtu do NetHSM. Každý uživatelský účet má Roli, kterou je třeba zadat. Více informací o Rolách naleznete v kapitole Roly.

Poznámka

Pokud není zadáno žádné, NetHSM přiřadí náhodné ID uživatele.

Uživatelský účet lze přidat následujícím způsobem.

Požadované možnosti

Možnost

Popis

-n, --real-name TEXT

Skutečné jméno uživatele

-r, --role [Administrator|Operator|Metrics|Backup]

Role nového uživatele

-p, --passphrase TEXT

Přístupová fráze nového uživatele

Volitelné možnosti

Možnost

Popis

-u, --user-id TEXT

ID nového uživatele

Příklad

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Odstranit uživatele#

Odstranění uživatelského účtu z NetHSM.

Varování

Vymazání je trvalé a nelze je vrátit zpět.

Uživatelský účet lze odstranit následujícím způsobem.

Argumenty

Argument

Popis

USER_ID

Id uživatele.

Příklad

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443

Seznam uživatelů#

Seznam uživatelů v systému NetHSM.

Seznam lze získat následujícím způsobem.

Volitelné možnosti

Možnost

Popis

--details, --no-details

Dotaz na skutečné jméno a roli uživatele

Příklad

$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Uživatelská přístupová fráze#

Heslo uživatelského účtu lze resetovat. Přístupová fráze se původně nastavuje při přidávání uživatelského účtu.

Poznámka

Hesla musí mít >= 10 a <= 200 znaků.

Uživatelskou přístupovou frázi lze nastavit takto.

Požadované možnosti

Možnost

Popis

-u, --user-id TEXT

ID uživatele

-p, --passphrase TEXT

Nová přístupová fráze uživatele

Příklad

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Štítky pro uživatele#

Značky lze použít k nastavení jemných omezení přístupu ke klíčům a jsou volitelnou funkcí. Jeden nebo více Tagů lze přiřadit pouze uživatelským účtům s rolí Operátor. Operátoři ** mohou vidět všechny klíče, ale používat pouze ty, které mají alespoň jeden odpovídající Tag. Klíč nemůže uživatel Operátor upravovat.

Informace o používání Tags na klíčích naleznete v části Tags for Keys.

Značku ** lze přidat takto.

Argumenty

Argument

Popis

USER_ID

ID uživatele, na kterém má být značka nastavena.

TAG

Značka, která se nastaví na ID uživatele.

Příklad

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin
Added tag berlin for user operator1 on the NetHSM localhost:8443

Značku Tag lze odstranit následujícím způsobem.

Argumenty

Argument

Popis

USER_ID

ID uživatele, na kterém má být značka nastavena.

TAG

Značka, která se nastaví na ID uživatele.

Příklad

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin
Deleted tag berlin for user operator1 on the NetHSM localhost:8443