Správa#

Tato kapitola popisuje úlohy správy pro uživatele s rolí Administrator. Více informací o této roli naleznete v kapitole Roly.

Důležité

Než začnete pracovat, přečtěte si informace na začátku tohoto dokumentu.

Správa systému#

Informace o zařízení#

Informace o dodavateli a produktu pro NetHSM lze získat následujícím způsobem.

Příklad

$ nitropy nethsm --host $NETHSM_HOST info

Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Režim bootování#

NetHSM lze používat v režimu Attended Boot a Unattended Boot.

Režim bootování	Popis
Zúčastnil se Boot	NetHSM se spouští do stavu _Zamčeno_.* Při každém spuštění je třeba zadat odemykací frázi , která slouží k dešifrování uživatelských dat .*. Z bezpečnostních důvodů se tento režim doporučuje a je výchozím režimem pro čerstvě vytvořený systém.
Bezobslužné zavádění	Systém se spustí bezobslužně, aniž by bylo nutné zadávat přístupovou frázi Unlock ** do stavu _Operational_. Tento režim použijte, pokud vaše požadavky na dostupnost nelze splnit pomocí režimu Attended Boot.

Varování

Bez ohledu na režim spouštění si odemykací fráze ** zachovává svou platnost a je vyžadována pro obnovení záloh na jiném hardwaru. Odemykací frázi Unlock Passphrase mějte kdykoli na bezpečném místě.

Aktuální zaváděcí režim lze načíst následujícím způsobem.

Příklad

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot

Configuration for NetHSM localhost:8443:
   Unattended boot: off

Režim spouštění lze změnit následujícím způsobem. Při dalším spuštění se NetHSM bude chovat odpovídajícím způsobem.

Argumenty

Argument	Popis
Stav	Povolte nebo zakažte funkci Unattended Boot. Může mít hodnotu `on` nebo `off`.

Příklad

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on

Updated the unattended boot configuration for NetHSM localhost:8443

Stát#

Software NetHSM má čtyři stavy: Neprovisioned, Provisioned, Locked a Operational.

Stát	Popis
Neprovizované	NetHSM bez konfigurace (výchozí nastavení z výroby)
Provisioned	NetHSM s konfigurací. Stav Provisioned znamená buď stav Operational, nebo Locked.
Provozní	NetHSM s konfigurací a připravený k provádění příkazů. Stav Operational znamená stav Provisioned.
Zamčeno	NetHSM s konfigurací, ale šifrovanými a nepřístupnými datovými úložišti. Dalším krokem je obvykle odemknutí systému. Stav Locked implikuje stav Provisioned.

Aktuální stav NetHSM lze získat následujícím způsobem.

Příklad

$ nitropy nethsm --host $NETHSM_HOST state

NetHSM localhost:8443 is Unprovisioned

Nový NetHSM je ve stavu Neprovisioned a po provisioningu přechází do stavu Operational. Poskytování zařízení NetHSM je popsáno v kapitole Provisioning.

Zařízení NetHSM ve stavu Operational lze opět uzamknout a chránit takto.

Příklad

$ nitropy nethsm --host $NETHSM_HOST lock

NetHSM localhost:8443 locked

NetHSM ve stavu Locked lze odemknout následujícím způsobem. Dokud je NetHSM ve stavu _Locked_, nejsou možné žádné další operace. Poté je NetHSM ve stavu _Operational_.

Příklad

$ nitropy nethsm --host $NETHSM_HOST unlock

NetHSM localhost:8443 unlocked

Odemknutí přístupové fráze#

Fráze Unlock Passphrase se používá k odvození klíče Unlock Key, pokud je NetHSM ve stavu Locked. Heslo je původně nastaveno během poskytování zařízení NetHSM.

Odemknout heslovou frázi lze nastavit následujícím způsobem.

Volitelné možnosti

Možnost	Popis
`-p`, `--passphrase` `TEXT`	Nová přístupová fráze pro odemknutí

Příklad

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase

Passphrase:
Repeat for confirmation:
Updated the unlock passphrase for localhost:8443

Certifikát TLS#

Certifikát TLS se používá pro rozhraní REST API založené na protokolu HTTPS, a proto jej používá také nitropy. Během poskytování je vytvořen certifikát podepsaný samotným uživatelem. Certifikát lze nahradit například podepsaným certifikátem od certifikační autority. V takovém případě je třeba vygenerovat žádost o podepsání certifikátu (CSR). Po podepsání je třeba certifikát importovat do NetHSM.

Změna je nutná pouze v případě, že má být certifikát vyměněn. Takovou změnou může být nahrazení podepsaným certifikátem od certifikační autority.

Certifikát TLS lze získat následujícím způsobem.

Požadované možnosti

Možnost	Popis
`-a`, `--api`.	Nastavení certifikátu pro rozhraní NetHSM TLS

Příklad

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api

Certifikát TLS lze vygenerovat následujícím způsobem.

Požadované možnosti

Možnost	Popis
`-t`, `--type` `[RSA\|Curve25519\|EC_P224\|EC_P256\|EC_P384\|EC_P521]`	Typ generovaného klíče
`-l`, `--length` `INTEGER`.	Délka generovaného klíče

Příklad

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519

Key for TLS interface generated on NetHSM localhost:8443

Žádost o podpis certifikátu (CSR) pro certifikát lze vygenerovat následujícím způsobem.

Požadované možnosti

Možnost	Popis
`-a`, `--api`.	Generování certifikátu CSR pro certifikát TLS NetHSM
`--country` `TEXT`	Název země
`--state-or-province` `TEXT`	Název státu nebo provincie
`--locality` `TEXT`	Název lokality
`--organization` `TEXT`	Název organizace
`--organizational-unit` `TEXT`	Název organizační jednotky
`--common-name` `TEXT`	Společný název
`--email-address` `TEXT`	E-mailová adresa

Příklad

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"

Certifikát lze nahradit následujícím způsobem.

Požadované možnosti

Možnost	Popis
`-a`, `--api`.	Nastavení certifikátu pro rozhraní NetHSM TLS

Argumenty

Argument	Popis
`FILENAME`	Soubor s certifikátem

Příklad

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Síť#

Konfigurace sítě definuje nastavení používané pro Síťový port.

Poznámka

Tímto nastavením se nekonfiguruje síťový port BMC.

Konfiguraci sítě lze načíst následujícím způsobem.

Požadované možnosti

Možnost	Popis
`--network`	Dotaz na konfiguraci sítě

Příklad

$ nitropy nethsm -h $NETHSM_HOST get-config --network

Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Nastavte konfiguraci sítě takto.

Poznámka

NetHSM nepodporuje protokol DHCP (Dynamic Host Configuration Protocol).

Poznámka

NetHSM nepodporuje protokol IPv6 (Internet Protocol version 6).

Požadované možnosti

Možnost	Popis
`-a`, `--ip-address`.	Nová IP adresa
`-n`, `--netmask`.	Nová síťová maska
`-n`, `--netmask`.	Nová brána

Příklad

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0

Updated the network configuration for NetHSM localhost:8443

Čas#

Konfigurace času nastavuje systémový čas softwaru NetHSM. Obvykle není nutné nastavovat systémový čas, protože ten se nastavuje při provisioningu.

Konfiguraci času lze získat následujícím způsobem.

Požadované možnosti

Možnost	Popis
`--time`	Dotaz na systémový čas

Příklad

$ nitropy nethsm -host $NETHSM_HOST get-config --time

Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Nastavení času NetHSM.

Důležité

Ujistěte se, že jste zadali čas v časovém pásmu UTC.

Argumenty

Argument	Popis
`time`	Nastavení systémového času (formát: RRRR-MM-DDTHH:MM:SSZ)

Příklad

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z

Updated the system time for NetHSM localhost:8443

Metriky#

NetHSM zaznamenává metriky systémových parametrů.

Poznámka

Tento příkaz vyžaduje ověření uživatele s rolí Metrics. Více informací o této roli naleznete v kapitole Role.

Více informací o jednotlivých metrikách naleznete na Metriky.

Metriky lze získat následujícím způsobem.

Příklad

$ nitropy nethsm -h $NETHSM_HOST metrics

Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Protokolování#

Zařízení NetHSM může zaznamenávat systémové události na sériový port nebo na server syslog v síti.

Důležité

Při jakémkoli produkčním nasazení by měl být protokol NetHSM průběžně monitorován, aby bylo možné okamžitě upozornit na případné bezpečnostní problémy.

Sériová konzola funguje od samého počátku hardwaru NetHSM. Zahrnuje události z firmwaru NetHSM a softwaru NetHSM.

Nastavení sériového konzolového připojení jsou následující.

Nastavení	Hodnota
Přenosová rychlost	115200
Datové bity	8
Stop bity	1
Parita	Žádné
Řízení toku	Žádné

Konfiguraci serveru syslog lze načíst následujícím způsobem.

Požadované možnosti

Možnost	Popis
`--network`	Dotaz na konfiguraci protokolování

Příklad

$ nitropy nethsm -h $NETHSM_HOST get-config --logging

Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

Konfiguraci serveru syslog lze nastavit takto.

Požadované možnosti

Možnost	Popis
`-p`, `--passphrase` `TEXT`	IP adresa nového cíle protokolování
`-p`, `--port` `INTEGER`	Port nového cíle protokolování
`-l`, `--log-level` `[debug\|info\|warning\|error]`	Nová úroveň protokolu

Příklad

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info

Updated the logging configuration for NetHSM localhost:8443

Záloha#

Uživatelská data NetHSM lze uložit do záložního souboru. Tento záložní soubor obsahuje všechna Uživatelská data, konkrétně Úložiště konfigurace, Úložiště ověření, Úložiště klíčů domény a Úložiště klíčů.

Důležité

Systémový software NetHSM v režimu neobslužného zavádění bude vyžadovat frázi pro odblokování, pokud bude obnoven na jiném hardwaru NetHSM. Více informací naleznete v kapitole Unlock Passphrase.

Důležité

Zařízení NetHSM v režimu Unattended Boot bude po obnovení ve stejném režimu.

Před zahájením zálohování je třeba nastavit zálohovací heslo. Backup Passphrase se používá k šifrování dat v záložním souboru.

Záložní přístupovou frázi lze nastavit takto.

Volitelné možnosti

Možnost	Popis
`-p`, `--passphrase` `TEXT`	Nová záložní přístupová fráze

Příklad

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase

Passphrase:
Repeat for confirmation:
Updated the backup passphrase for NetHSM localhost:8443

Poznámka

Tento příkaz vyžaduje ověření uživatele s rolí Backup. Více informací naleznete v kapitole Role.

Zálohování lze provést následujícím způsobem.

Argumenty

Argument	Popis
`FILENAME`	Záložní soubor

Příklad

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup

Backup for localhost:8443 written to /tmp/backup

Poznámka

Tento záložní soubor lze obnovit v neschválené instanci NetHSM:

Obnovení#

NetHSM lze obnovit ze záložního souboru.

Pokud je NetHSM Unprovisioned, obnoví se všechna User Data včetně konfigurace systému a restartu. Proto může systém následně získat jiná síťová nastavení, certifikát TLS a odemykací frázi.
Pokud je NetHSM Provisioned, obnoví se uživatelé a uživatelské klíče, ale ne konfigurace systému. V tomto případě budou odstraněni všichni dříve existující uživatelé a uživatelské klíče. NetHSM skončí ve stavu Operational.

Obnovení lze použít následujícím způsobem.

Volitelné možnosti

Možnost	Popis
`-p`, `--backup-passphrase` `passphrase`	Záložní přístupová fráze
`-t`, `--system-time`.	Systémový čas, který se má nastavit (Formát: `YYYY-MM-DDTHH:MM:SSZ`)

Důležité

Zkontrolujte, zda je správně nastaven čas v místním počítači. Chcete-li nastavit jiný čas, zadejte jej ručně.

Argumenty

Argument		Popis
`FILENAME` \| Obnovení souboru

Příklad

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup

Backup passphrase:
Backup restored on NetHSM localhost:8443

Aktualizace softwaru#

Aktualizace softwaru lze instalovat ve dvou krocích. Nejprve je třeba nahrát obraz aktualizace na Provisioned NetHSM. NetHSM ověří pravost, integritu a číslo verze obrazu. Volitelně NetHSM zobrazí případné poznámky k vydání.

Varování

V důsledku instalace beta aktualizace může dojít ke ztrátě dat! Stabilní verze by neměly způsobit ztrátu dat. Před aktualizací však doporučujeme vytvořit zálohu.

Aktualizační soubor lze nahrát následujícím způsobem.

Argumenty

Argument	Popis
`FILENAME`	Aktualizace souboru

Příklad

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.cpio

Image /tmp/nethsm-update.img.cpio uploaded to NetHSM localhost:8443

Poté lze aktualizaci použít nebo přerušit. Požadovanou možnost naleznete níže. Pokud je NetHSM před operací „commit“ vypnut, je třeba aktualizační soubor nahrát znovu.

Aktualizaci lze použít (odevzdat) následujícím způsobem. Jakákoli migrace dat se provede až poté, co NetHSM úspěšně zavede novou verzi systémového softwaru.

Příklad

$ nitropy nethsm --host $NETHSM_HOST commit-update

Update successfully committed on NetHSM localhost:8443

Aktualizaci lze zrušit následujícím způsobem.

Příklad

$ nitropy nethsm --host $NETHSM_HOST cancel-update

Update successfully cancelled on NetHSM localhost:8443

Restart a vypnutí#

Zařízení NetHSM lze restartovat a vypnout buď na dálku, nebo pomocí tlačítka restartování a vypnutí na přední straně hardwaru NetHSM.

Vzdálený restart lze zahájit následujícím způsobem.

Příklad

$ nitropy nethsm --host $NETHSM_HOST reboot

NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

Vzdálené vypnutí lze spustit následujícím způsobem.

Příklad

$ nitropy nethsm --host $NETHSM_HOST shutdown

NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Obnovení výchozích továrních nastavení#

Zařízení Provisioned NetHSM lze obnovit do výchozího továrního nastavení. V takovém případě se bezpečně odstraní všechna uživatelská data a NetHSM se spustí do stavu Unprovisioned. Poté můžete chtít provision NetHSM.

Obnovení výchozího továrního nastavení lze provést následujícím způsobem.

Příklad

$ nitropy nethsm -h $NETHSM_HOST factory-reset

NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Správa uživatelů#

Role#

NetHSM umožňuje oddělení povinností pomocí různých rolí. Každý uživatelský účet nakonfigurovaný v NetHSM má přiřazenu jednu z následujících Rol.

Role	Popis
Administrátor	Uživatelský účet s touto rolí má přístup ke všem operacím poskytovaným NetHSM, s výjimkou operací používání klíčů, tj. podepisování a dešifrování zpráv.
Operátor	R-Operátor: Uživatelský účet s touto rolí má přístup ke všem operacím používání klíčů, k podmnožině operací správy klíčů pouze pro čtení a k operacím správy uživatelů, které umožňují změny pouze na jeho vlastním účtu.
Metriky	Uživatelský účet s touto rolí má přístup pouze k operacím s metrikami pro čtení.
Záloha	Uživatelský účet s touto rolí má přístup pouze k operacím potřebným k zahájení zálohování systému.

Podrobnější omezení přístupu naleznete v části Tags.

Poznámka

V některé z budoucích verzí mohou být zavedeny další Role.

Přidat uživatele#

Přidání uživatelského účtu do NetHSM. Každý uživatelský účet má Roli, kterou je třeba zadat. Více informací o Rolách naleznete v kapitole Roly.

Poznámka

Pokud není zadáno žádné, NetHSM přiřadí náhodné ID uživatele.

Uživatelský účet lze přidat následujícím způsobem.

Požadované možnosti

Možnost	Popis
`-n`, `--real-name` `TEXT`	Skutečné jméno uživatele
`-r`, `--role` `[Administrator\|Operator\|Metrics\|Backup]`	Role nového uživatele
`-p`, `--passphrase` `TEXT`	Přístupová fráze nového uživatele

Volitelné možnosti

Možnost	Popis
`-u`, `--user-id` `TEXT`	ID nového uživatele

Příklad

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1

Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Odstranit uživatele#

Odstranění uživatelského účtu z NetHSM.

Varování

Vymazání je trvalé a nelze je vrátit zpět.

Uživatelský účet lze odstranit následujícím způsobem.

Argumenty

Argument	Popis
`USER_ID`	Id uživatele.

Příklad

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1

User operator1 deleted on NetHSM localhost:8443

Seznam uživatelů#

Seznam uživatelů v systému NetHSM.

Seznam lze získat následujícím způsobem.

Volitelné možnosti

Možnost	Popis
`--details`, `--no-details`	Dotaz na skutečné jméno a roli uživatele

Příklad

$ nitropy nethsm --host $NETHSM_HOST list-users

Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Uživatelská přístupová fráze#

Heslo uživatelského účtu lze resetovat. Přístupová fráze se původně nastavuje při přidávání uživatelského účtu.

Poznámka

Hesla musí mít >= 10 a <= 200 znaků.

Uživatelskou přístupovou frázi lze nastavit takto.

Požadované možnosti

Možnost	Popis
`-u`, `--user-id` `TEXT`	ID uživatele
`-p`, `--passphrase` `TEXT`	Nová přístupová fráze uživatele

Příklad

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1

Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Štítky pro uživatele#

Značky lze použít k nastavení jemných omezení přístupu ke klíčům a jsou volitelnou funkcí. Jeden nebo více Tagů lze přiřadit pouze uživatelským účtům s rolí Operátor. Operátoři ** mohou vidět všechny klíče, ale používat pouze ty, které mají alespoň jeden odpovídající Tag. Klíč nemůže uživatel Operátor upravovat.

Informace o používání Tags na klíčích naleznete v části Tags for Keys.

Značku ** lze přidat takto.

Argumenty

Argument	Popis
`USER_ID`	ID uživatele, na kterém má být značka nastavena.
`TAG`	Značka, která se nastaví na ID uživatele.

Příklad

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin

Added tag berlin for user operator1 on the NetHSM localhost:8443

Značku Tag lze odstranit následujícím způsobem.

Argumenty

Argument	Popis
`USER_ID`	ID uživatele, na kterém má být značka nastavena.
`TAG`	Značka, která se nastaví na ID uživatele.

Příklad

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin

Deleted tag berlin for user operator1 on the NetHSM localhost:8443