Správa#
Tato kapitola popisuje úlohy správy pro uživatele s rolí Administrator. Více informací o této roli naleznete v kapitole Roly.
Důležité
Než začnete pracovat, přečtěte si informace na začátku tohoto dokumentu.
Správa systému#
Informace o zařízení#
Informace o dodavateli a produktu pro NetHSM lze získat následujícím způsobem.
Příklad
$ nitropy nethsm --host $NETHSM_HOST info
Host: localhost:8443
Vendor: Nitrokey GmbH
Product: NetHSM
Informace o koncovém bodu /info naleznete v dokumentaci API.
Režim bootování#
NetHSM lze používat v režimu Attended Boot a Unattended Boot.
Režim bootování |
Popis |
---|---|
Zúčastnil se Boot |
NetHSM se spouští do stavu _Zamčeno_.* Při každém spuštění je třeba zadat odemykací frázi , která slouží k dešifrování uživatelských dat *.. Z bezpečnostních důvodů se tento režim doporučuje a je výchozím režimem pro čerstvě vytvořený systém. |
Bezobslužné zavádění |
Systém se spustí bezobslužně, aniž by bylo nutné zadávat přístupovou frázi Unlock ** do stavu _Operational_. Tento režim použijte, pokud vaše požadavky na dostupnost nelze splnit pomocí režimu Attended Boot. |
Varování
Bez ohledu na režim spouštění si odemykací fráze ** zachovává svou platnost a je vyžadována pro obnovení záloh na jiném hardwaru. Odemykací frázi Unlock Passphrase mějte kdykoli na bezpečném místě.
Aktuální zaváděcí režim lze načíst následujícím způsobem.
Příklad
$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
Unattended boot: off
Informace o koncovém bodu /config/unattended-boot naleznete v dokumentaci API.
Režim spouštění lze změnit následujícím způsobem. Při dalším spuštění se NetHSM bude chovat odpovídajícím způsobem.
Argumenty
Argument |
Popis |
---|---|
Stav |
Povolte nebo zakažte funkci Unattended Boot. Může mít hodnotu |
Příklad
$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443
Informace o koncovém bodu /config/unattended-boot naleznete v dokumentaci API.
Stát#
Software NetHSM má čtyři stavy: Neprovisioned, Provisioned, Locked a Operational.
Stát |
Popis |
---|---|
Neprovizované |
NetHSM bez konfigurace (výchozí nastavení z výroby) |
Provisioned |
NetHSM s konfigurací. Stav Provisioned znamená buď stav Operational, nebo Locked. |
Provozní |
NetHSM s konfigurací a připravený k provádění příkazů. Stav Operational znamená stav Provisioned. |
Zamčeno |
NetHSM s konfigurací, ale šifrovanými a nepřístupnými datovými úložišti. Dalším krokem je obvykle odemknutí systému. Stav Locked implikuje stav Provisioned. |
Stavy a přechody NetHSM#
Aktuální stav NetHSM lze získat následujícím způsobem.
Příklad
$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned
Informace o koncovém bodu /health/state naleznete v dokumentaci API.
Nový NetHSM je ve stavu Neprovisioned a po provisioningu přechází do stavu Operational. Poskytování zařízení NetHSM je popsáno v kapitole Provisioning.
Zařízení NetHSM ve stavu Operational lze opět uzamknout a chránit takto.
Příklad
$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked
Informace o koncovém bodu /lock najdete v dokumentaci API.
NetHSM ve stavu Locked lze odemknout následujícím způsobem. Dokud je NetHSM ve stavu _Locked_, nejsou možné žádné další operace. Poté je NetHSM ve stavu _Operational_.
Příklad
$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked
Informace o koncovém bodu /unlock najdete v dokumentaci API.
Odemknutí přístupové fráze#
Fráze Unlock Passphrase se používá k odvození klíče Unlock Key, pokud je NetHSM ve stavu Locked. Heslo je původně nastaveno během poskytování zařízení NetHSM.
Odemknout heslovou frázi lze nastavit následujícím způsobem.
Volitelné možnosti
Možnost |
Popis |
---|---|
|
Nová přístupová fráze pro odemknutí |
Příklad
$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
Passphrase:
Repeat for confirmation:
Updated the unlock passphrase for localhost:8443
Informace o koncovém bodu /config/unlock-passphrase naleznete v dokumentaci API.
Certifikát TLS#
Certifikát TLS se používá pro rozhraní REST API založené na protokolu HTTPS, a proto jej používá také nitropy. Během poskytování je vytvořen certifikát podepsaný samotným uživatelem. Certifikát lze nahradit například podepsaným certifikátem od certifikační autority. V takovém případě je třeba vygenerovat žádost o podepsání certifikátu (CSR). Po podepsání je třeba certifikát importovat do NetHSM.
Změna je nutná pouze v případě, že má být certifikát vyměněn. Takovou změnou může být nahrazení podepsaným certifikátem od certifikační autority.
Certifikát TLS lze získat následujícím způsobem.
Požadované možnosti
Možnost |
Popis |
---|---|
|
Nastavení certifikátu pro rozhraní NetHSM TLS |
Příklad
$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----
Informace o koncovém bodě /config/tls/cert.pem naleznete v dokumentaci API.
Certifikát TLS lze vygenerovat následujícím způsobem.
Požadované možnosti
Možnost |
Popis |
---|---|
|
Typ generovaného klíče |
|
Délka generovaného klíče |
Příklad
$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443
Informace o koncovém bodu /config/tls/generate naleznete v dokumentaci API.
Žádost o podpis certifikátu (CSR) pro certifikát lze vygenerovat následujícím způsobem.
Požadované možnosti
Možnost |
Popis |
---|---|
|
Generování certifikátu CSR pro certifikát TLS NetHSM |
|
Název země |
|
Název státu nebo provincie |
|
Název lokality |
|
Název organizace |
|
Název organizační jednotky |
|
Společný název |
|
E-mailová adresa |
Příklad
$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----
Informace o koncovém bodě /config/tls/csr.pem naleznete v dokumentaci API.
Certifikát lze nahradit následujícím způsobem.
Požadované možnosti
Možnost |
Popis |
---|---|
|
Nastavení certifikátu pro rozhraní NetHSM TLS |
Argumenty
Argument |
Popis |
---|---|
|
Soubor s certifikátem |
Příklad
nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate
Informace o koncovém bodě /config/tls/csr.pem naleznete v dokumentaci API.
Síť#
Konfigurace sítě definuje nastavení používané pro Síťový port.
Poznámka
Tímto nastavením se nekonfiguruje síťový port BMC.
Konfiguraci sítě lze načíst následujícím způsobem.
Požadované možnosti
Možnost |
Popis |
---|---|
|
Dotaz na konfiguraci sítě |
Příklad
$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
IP address: 192.168.1.1
Netmask: 255.255.255.0
Gateway: 0.0.0.0
Informace o koncovém bodu /config/network najdete v dokumentaci API.
Nastavte konfiguraci sítě takto.
Poznámka
NetHSM nepodporuje protokol DHCP (Dynamic Host Configuration Protocol).
Poznámka
NetHSM nepodporuje protokol IPv6 (Internet Protocol version 6).
Požadované možnosti
Možnost |
Popis |
---|---|
|
Nová IP adresa |
|
Nová síťová maska |
|
Nová brána |
Příklad
$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443
Informace o koncovém bodu /config/network najdete v dokumentaci API.
Čas#
Konfigurace času nastavuje systémový čas softwaru NetHSM. Obvykle není nutné nastavovat systémový čas, protože ten se nastavuje při provisioningu.
Konfiguraci času lze získat následujícím způsobem.
Požadované možnosti
Možnost |
Popis |
---|---|
|
Dotaz na systémový čas |
Příklad
$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time: 2022-08-17 11:40:00+00:00
Informace o koncovém bodu /config/time najdete v dokumentaci API.
Nastavení času NetHSM.
Důležité
Ujistěte se, že jste zadali čas v časovém pásmu UTC.
Argumenty
Argument |
Popis |
---|---|
|
Nastavení systémového času (formát: RRRR-MM-DDTHH:MM:SSZ) |
Příklad
$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443
Informace o koncovém bodu /config/time najdete v dokumentaci API.
Metriky#
NetHSM zaznamenává metriky systémových parametrů.
Poznámka
Tento příkaz vyžaduje ověření uživatele s rolí Metrics. Více informací o této roli naleznete v kapitole Role.
Více informací o jednotlivých metrikách naleznete na Metriky.
Metriky lze získat následujícím způsobem.
Příklad
$ nitropy nethsm -h $NETHSM_HOST metrics
Metric Value
---------------------------- --------
client connections 0
established state 6
external.received bytes 989931
external.received packets 13239
external.transmitted bytes 25908953
external.transmitted packets 22037
free chunk count 322
gc compactions 0
gc major bytes 21348352
gc major collections 35
gc minor collections 2652
http response 200 28
http response 201 1
http response 204 1
http response 400 1
http response 403 1
http response 404 145
http response 412 1
http response time 0.084998
http response total 178
internal.received bytes 66541
internal.received packets 1130
internal.transmitted bytes 63802
internal.transmitted packets 1133
kv write 2
log errors 3
log warnings 3
maximum allocated space 64528384
maximum releasable bytes 1216
mmapped region count 0
new sleeper size 1
non-mmapped allocated bytes 64528384
sleep queue size 11
syn-rcvd state 0
timers 2
total allocated space 43940832
total client 1
total established 515
total free space 20587552
total sleeper size 12
total syn-rcvd 514
total timers 526
uptime 17626
Informace o koncovém bodu /metrics najdete v dokumentaci API.
Protokolování#
Zařízení NetHSM může zaznamenávat systémové události na sériový port nebo na server syslog v síti.
Důležité
Při jakémkoli produkčním nasazení by měl být protokol NetHSM průběžně monitorován, aby bylo možné okamžitě upozornit na případné bezpečnostní problémy.
Sériová konzola funguje od samého počátku hardwaru NetHSM. Zahrnuje události z firmwaru NetHSM a softwaru NetHSM.
Nastavení sériového konzolového připojení jsou následující.
Nastavení |
Hodnota |
---|---|
Přenosová rychlost |
115200 |
Datové bity |
8 |
Stop bity |
1 |
Parita |
Žádné |
Řízení toku |
Žádné |
Konfiguraci serveru syslog lze načíst následujícím způsobem.
Požadované možnosti
Možnost |
Popis |
---|---|
|
Dotaz na konfiguraci protokolování |
Příklad
$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
IP address: 0.0.0.0
Port: 514
Log level: info
Informace o koncovém bodu /config/logging najdete v dokumentaci API.
Konfiguraci serveru syslog lze nastavit takto.
Požadované možnosti
Možnost |
Popis |
---|---|
|
IP adresa nového cíle protokolování |
|
Port nového cíle protokolování |
|
Nová úroveň protokolu |
Příklad
$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443
Informace o koncovém bodu /config/logging najdete v dokumentaci API.
Záloha#
Uživatelská data NetHSM lze uložit do záložního souboru. Tento záložní soubor obsahuje všechna Uživatelská data, konkrétně Úložiště konfigurace, Úložiště ověření, Úložiště klíčů domény a Úložiště klíčů.
Důležité
Systémový software NetHSM v režimu neobslužného zavádění bude vyžadovat frázi pro odblokování, pokud bude obnoven na jiném hardwaru NetHSM. Více informací naleznete v kapitole Unlock Passphrase.
Důležité
Zařízení NetHSM v režimu Unattended Boot bude po obnovení ve stejném režimu.
Před zahájením zálohování je třeba nastavit zálohovací heslo. Backup Passphrase se používá k šifrování dat v záložním souboru.
Záložní přístupovou frázi lze nastavit takto.
Volitelné možnosti
Možnost |
Popis |
---|---|
|
Nová záložní přístupová fráze |
Příklad
$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
Passphrase:
Repeat for confirmation:
Updated the backup passphrase for NetHSM localhost:8443
Informace o koncovém bodě /config/backup-passphrase naleznete v dokumentaci API.
Poznámka
Tento příkaz vyžaduje ověření uživatele s rolí Backup. Více informací naleznete v kapitole Role.
Zálohování lze provést následujícím způsobem.
Argumenty
Argument |
Popis |
---|---|
|
Záložní soubor |
Příklad
$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup
Informace o koncovém bodu /system/backup naleznete v dokumentaci API.
Poznámka
Tento záložní soubor lze obnovit v neschválené instanci NetHSM:
Obnovení#
NetHSM lze obnovit ze záložního souboru.
Pokud je NetHSM Unprovisioned, obnoví se všechna User Data včetně konfigurace systému a restartu. Proto může systém následně získat jiná síťová nastavení, certifikát TLS a odemykací frázi.
Pokud je NetHSM Provisioned, obnoví se uživatelé a uživatelské klíče, ale ne konfigurace systému. V tomto případě budou odstraněni všichni dříve existující uživatelé a uživatelské klíče. NetHSM skončí ve stavu Operational.
Obnovení lze použít následujícím způsobem.
Volitelné možnosti
Možnost |
Popis |
---|---|
|
Záložní přístupová fráze |
|
Systémový čas, který se má nastavit (Formát: |
Důležité
Zkontrolujte, zda je správně nastaven čas v místním počítači. Chcete-li nastavit jiný čas, zadejte jej ručně.
Argumenty
Argument |
Popis |
|
---|---|---|
|
Příklad
$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443
Informace o koncovém bodu /system/restore najdete v dokumentaci API.
Aktualizace softwaru#
Aktualizace softwaru lze instalovat ve dvou krocích. Nejprve je třeba nahrát obraz aktualizace na Provisioned NetHSM. NetHSM ověří pravost, integritu a číslo verze obrazu. Volitelně NetHSM zobrazí případné poznámky k vydání.
Varování
V důsledku instalace beta aktualizace může dojít ke ztrátě dat! Stabilní verze by neměly způsobit ztrátu dat. Před aktualizací však doporučujeme vytvořit zálohu.
Aktualizační soubor lze nahrát následujícím způsobem.
Argumenty
Argument |
Popis |
---|---|
|
Aktualizace souboru |
Příklad
$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.cpio
Image /tmp/nethsm-update.img.cpio uploaded to NetHSM localhost:8443
Informace o koncovém bodu /system/update najdete v dokumentaci API.
Poté lze aktualizaci použít nebo přerušit. Požadovanou možnost naleznete níže. Pokud je NetHSM před operací „commit“ vypnut, je třeba aktualizační soubor nahrát znovu.
Aktualizaci lze použít (odevzdat) následujícím způsobem. Jakákoli migrace dat se provede až poté, co NetHSM úspěšně zavede novou verzi systémového softwaru.
Příklad
$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443
Informace o koncovém bodu /system/commit-update naleznete v dokumentaci API.
Aktualizaci lze zrušit následujícím způsobem.
Příklad
$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443
Informace o koncovém bodu /system/cancel-update naleznete v dokumentaci API.
Restart a vypnutí#
Zařízení NetHSM lze restartovat a vypnout buď na dálku, nebo pomocí tlačítka restartování a vypnutí na přední straně hardwaru NetHSM.
Vzdálený restart lze zahájit následujícím způsobem.
Příklad
$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot
Informace o koncovém bodu /system/reboot naleznete v dokumentaci API.
Vzdálené vypnutí lze spustit následujícím způsobem.
Příklad
$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown
Informace o koncovém bodu /system/shutdown najdete v dokumentaci API.
Obnovení výchozích továrních nastavení#
Zařízení Provisioned NetHSM lze obnovit do výchozího továrního nastavení. V takovém případě se bezpečně odstraní všechna uživatelská data a NetHSM se spustí do stavu Unprovisioned. Poté můžete chtít provision NetHSM.
Obnovení výchozího továrního nastavení lze provést následujícím způsobem.
Příklad
$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset
Informace o koncovém bodě /system/factory-reset naleznete v dokumentaci API.
Správa uživatelů#
Role#
NetHSM umožňuje oddělení povinností pomocí různých rolí. Každý uživatelský účet nakonfigurovaný v NetHSM má přiřazenu jednu z následujících Rol.
Role |
Popis |
---|---|
Administrátor |
Uživatelský účet s touto rolí má přístup ke všem operacím poskytovaným NetHSM, s výjimkou operací používání klíčů, tj. podepisování a dešifrování zpráv. |
Operátor |
R-Operátor: Uživatelský účet s touto rolí má přístup ke všem operacím používání klíčů, k podmnožině operací správy klíčů pouze pro čtení a k operacím správy uživatelů, které umožňují změny pouze na jeho vlastním účtu. |
Metriky |
Uživatelský účet s touto rolí má přístup pouze k operacím s metrikami pro čtení. |
Záloha |
Uživatelský účet s touto rolí má přístup pouze k operacím potřebným k zahájení zálohování systému. |
Podrobnější omezení přístupu naleznete v části Tags.
Poznámka
V některé z budoucích verzí mohou být zavedeny další Role.
Přidat uživatele#
Přidání uživatelského účtu do NetHSM. Každý uživatelský účet má Roli, kterou je třeba zadat. Více informací o Rolách naleznete v kapitole Roly.
Poznámka
Pokud není zadáno žádné, NetHSM přiřadí náhodné ID uživatele.
Uživatelský účet lze přidat následujícím způsobem.
Požadované možnosti
Možnost |
Popis |
---|---|
|
Skutečné jméno uživatele |
|
Role nového uživatele |
|
Přístupová fráze nového uživatele |
Volitelné možnosti
Možnost |
Popis |
---|---|
|
ID nového uživatele |
Příklad
$ nitropy nethsm --host $NETHSM_HOST add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443
Odstranit uživatele#
Odstranění uživatelského účtu z NetHSM.
Varování
Vymazání je trvalé a nelze je vrátit zpět.
Uživatelský účet lze odstranit následujícím způsobem.
Argumenty
Argument |
Popis |
---|---|
|
Id uživatele. |
Příklad
$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443
Informace o koncovém bodě /users/{UserID} najdete v dokumentaci API.
Seznam uživatelů#
Seznam uživatelů v systému NetHSM.
Seznam lze získat následujícím způsobem.
Volitelné možnosti
Možnost |
Popis |
---|---|
|
Dotaz na skutečné jméno a roli uživatele |
Příklad
$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:
User ID Real name Role
--------- ----------------- -------------
operator1 Nitrokey Operator Operator
admin admin Administrator
Uživatelská přístupová fráze#
Heslo uživatelského účtu lze resetovat. Přístupová fráze se původně nastavuje při přidávání uživatelského účtu.
Poznámka
Hesla musí mít >= 10 a <= 200 znaků.
Uživatelskou přístupovou frázi lze nastavit takto.
Požadované možnosti
Možnost |
Popis |
---|---|
|
ID uživatele |
|
Nová přístupová fráze uživatele |
Příklad
$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443
Informace o koncovém bodě /users/{UserID}/passphrase najdete v dokumentaci API.