Nástroj příkazového řádku Nitropy#
Tento návod ukazuje, jak přistupovat k systému NetHMS pomocí nitropy nástroje příkazového řádku, který je třeba stáhnout a nainstalovat.
Poznámka
Pokud používáte demonstrační instanci NetHSM s certifikátem podepsaným vlastními silami, například pomocí bitové kopie Docker, budete muset použít možnost --no-verify-tls pro nitropy, abyste kontrolu certifikátu přeskočili.
Poznámka
Nejprve nastavte hodnotu $NETHSM_HOST na IP adresu nebo URL vašeho NetHSM. Náš ukázkový server je dostupný na adrese https://nethsmdemo.nitrokey.com/
Informace o zařízení & Stav#
$ nitropy nethsm --host $NETHSM_HOST info
Host: localhost:8443
Vendor: Nitrokey GmbH
Product: NetHSM
$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned
Provisioning#
Nový NetHSM je třeba nejprve vybavit přístupovými hesly a aktuálním časem. Admin Passphrase je přístupová fráze Administrátora, což je superuživatel NetHSM. Heslo Unlock Passphrase slouží k zašifrování důvěrného úložiště dat NetHSM.
Poznámka
Demo instance NetHSM na adrese nethsmdemo.nitrokey.com je již zajištěna.
$ nitropy nethsm --host $NETHSM_HOST provision
NetHSM localhost:8443 provisioned
NetHSM lze používat v režimu Attended Boot a Unattended Boot.
V režimu Attended Boot je třeba při každém spuštění zadat Unlock Passphrase, která se používá k zašifrování datového úložiště. Z bezpečnostních důvodů se tento režim doporučuje.
V režimu Unattended Boot není vyžadována žádná odemykací fráze, proto se NetHSM může spustit bezobslužně a úložiště dat je uloženo nezašifrovaně. Tento režim použijte, pokud vaše požadavky na dostupnost nelze splnit pomocí režimu Attended Boot.
Získání aktuálního režimu:
$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
Unattended boot: off
Zapněte režim Unattended Boot:
$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443
Správa uživatelů#
Role#
Oddělení povinností lze realizovat pomocí dostupných rolí. Každý uživatelský účet nakonfigurovaný v NetHSM má přiřazenu jednu z následujících Rolí. Níže je uveden stručný popis operací povolených jednotlivými Rolemi, podrobnosti týkající se konkrétního koncového bodu naleznete v dokumentaci rozhraní REST API.
R-administrátor: Uživatelský účet s touto rolí má přístup ke všem operacím poskytovaným rozhraním REST API, s výjimkou operací používání klíčů, tj. podepisování a dešifrování zpráv.
R-Operátor: Uživatelský účet s touto rolí má přístup ke všem operacím používání klíčů, k podmnožině operací správy klíčů pouze pro čtení a k operacím správy uživatelů, které umožňují změny pouze na jeho vlastním účtu.
R-Metrics: Uživatelský účet s touto rolí má přístup pouze k operacím metrik pro čtení.
R-Backup: Uživatelský účet s touto rolí má přístup pouze k operacím potřebným k zahájení zálohování systému.
Poznámka: V budoucích verzích mohou být zavedeny další role.
Vytváření a mazání uživatelů
Nyní vytvořte nového uživatele s rolí operátora, který může podepisovat a dešifrovat data. Všimněte si, že NetHSM přiřadí náhodné ID uživatele, pokud jej nezadáme.
$ nitropy nethsm --host $NETHSM_HOST add-user --real-name "Jane User" --role Operator
User Operator added to NetHSM localhost:8443
$ nitropy nethsm --host $NETHSM_HOST delete-user "Jane User"
Správa klíčů#
Generování klíčů#
V této příručce chceme použít klíč RSA k dešifrování dat pomocí PKCS #1 a k podepisování dat pomocí PSS pomocí SHA256. Vygenerujme tedy nový klíč v NetHSM. Ujistěte se, že používáte algoritmus RSA a že jste zvolili klíčové mechanismy RSA_Signature_PSS_SHA256 a RSA_Decryption_PKCS1. Pokud ID klíče nezadáte, vygeneruje NetHSM náhodné ID nového klíče.
$ nitropy nethsm --host $NETHSM_HOST generate-key --type RSA --mechanism RSA_Signature_PSS_SHA256 --mechanism RSA_Decryption_PKCS1 --length 2048 --key-id myFirstKey
Key myFirstKey generated on NetHSM localhost:8443
Importní klíče#
Namísto generování klíče v NetHSM můžete do NetHSM také importovat stávající soukromé klíče:
$ nitropy nethsm --host $NETHSM_HOST add-key --type RSA --mechanism RSA_Signature_PSS_SHA256 --mechanism RSA_Decryption_PKCS1 --key-id mySecondKey --public-exponent AQAB --prime-p "AOnWFZ+JrI/xOXJU04uYCZOiPVUWd6CSbVseEYrYQYxc7dVroePshz29tc+VEOUP5T0O8lXMEkjFAwjW6C9QTAsPyl6jwyOQluMRIkdN4/7BAg3HAMuGd7VmkGyYrnZWW54sLWp1JD6XJG33kF+9OSar9ETPoVyBgK5punfiUFEL" \
--prime-q "ANT1kWDdP9hZoFKT49dwdM/S+3ZDnxQa7kZk9p+JKU5RaU9e8pS2GOJljHwkES1FH6CUGeIaUi81tRKe2XZhe/163sEyMcxkaaRbBbTc1v6ZDKILFKKt4eX7LAQfhL/iFlgi6pcyUM8QDrm1QeFgGz11ChM0JuQw1WwkX06lg8iv"
Key mySecondKey added to NetHSM localhost:8443
Seznam klíčů#
Abychom se ujistili, že klíč byl vytvořen a má správné nastavení algoritmu a mechanismu, můžeme se dotázat na všechny klíče v NetHSM:
$ nitropy nethsm --host $NETHSM_HOST list-keys
Keys on NetHSM localhost:8443:
Key ID Algorithm Mechanisms Operations
---------- --------- ---------------------------------------------- ----------
myFirstKey RSA RSA_Decryption_PKCS1, RSA_Signature_PSS_SHA256 0
mySecondKey RSA RSA_Decryption_PKCS1, RSA_Signature_PSS_SHA256 0
Zobrazit podrobnosti o klíči#
Můžeme se také zeptat na veřejný klíč vygenerovaného páru klíčů:
$ nitropy nethsm --host $NETHSM_HOST get-key myFirstKey
Abychom mohli klíč použít v OpenSSL, exportujeme jej jako soubor PEM a uložíme jako public.pem:
$ nitropy nethsm --host $NETHSM_HOST get-key myFirstKey --public-key > public.pem
Klíč můžeme zkontrolovat pomocí openssl a použít jej pro šifrování nebo ověření podpisu (jak je popsáno v následující části):
$ openssl rsa -in public.pem -pubin -text
RSA Public-Key: (2048 bit)
Modulus:
00:c3:56:f5:09:cc:a9:3e:ca:16:2e:fb:d2:8b:9d:
a9:33:5a:87:8f:3f:7a:bb:8a:3d:62:9b:5d:56:84:
95:97:bb:97:f0:77:e2:c8:59:f2:b5:c6:b7:f5:b3:
76:69:a3:e8:f6:b7:35:f4:3c:52:6d:3c:a0:b6:a1:
e4:1a:32:05:1d:51:68:21:7d:fc:53:69:ec:bc:0b:
a0:db:63:b2:0e:47:00:03:4d:98:1f:ab:c0:7b:2e:
3c:8f:b6:36:ff:f0:db:80:26:f0:a6:af:30:2f:7b:
16:fd:5c:db:0f:2c:54:8a:26:2b:db:3d:78:49:4b:
7b:d1:60:ea:a7:f0:b4:5e:fc:33:ff:57:f8:83:fd:
12:64:8f:29:d1:94:96:9a:15:18:5d:04:ca:1c:29:
44:ad:42:31:c5:80:38:4c:eb:3b:b8:7e:17:27:5c:
69:a8:88:44:ea:d1:82:64:fe:51:31:47:97:a7:a9:
87:c3:13:c9:00:7a:b9:fb:6f:cc:66:4c:07:d7:68:
fa:78:68:9a:e7:87:1e:94:c6:27:92:5f:f2:7d:11:
44:11:b5:39:35:59:2c:cd:f9:4f:59:e3:56:93:1f:
94:20:fd:6b:23:0d:15:e6:4e:bb:84:a8:a5:0d:9f:
1c:90:ab:a8:10:04:50:12:c1:80:02:94:85:78:df:
d6:b3
Exponent: 65537 (0x10001)
writing RSA key
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAw1b1CcypPsoWLvvSi52p
M1qHjz96u4o9YptdVoSVl7uX8HfiyFnytca39bN2aaPo9rc19DxSbTygtqHkGjIF
HVFoIX38U2nsvAug22OyDkcAA02YH6vAey48j7Y2//DbgCbwpq8wL3sW/VzbDyxU
iiYr2z14SUt70WDqp/C0Xvwz/1f4g/0SZI8p0ZSWmhUYXQTKHClErUIxxYA4TOs7
uH4XJ1xpqIhE6tGCZP5RMUeXp6mHwxPJAHq5+2/MZkwH12j6eGia54celMYnkl/y
fRFEEbU5NVkszflPWeNWkx+UIP1rIw0V5k67hKilDZ8ckKuoEARQEsGAApSFeN/W
swIDAQAB
-----END PUBLIC KEY-----
Klíčové certifikáty#
Pro klíče uložené v instanci NetHSM je možné nastavovat certifikáty a dotazovat se na ně:
$ nitropy nethsm --host $NETHSM_HOST set-certificate myFirstKey --mime-type application/x-pem-file /tmp/cert.pem
Updated the certificate for key myFirstKey on NetHSM localhost:8443
$ nitropy nethsm --host $NETHSM_HOST get-certificate myFirstKey > /tmp/cert.pem
Žádosti o podepsání klíčových certifikátů#
NetHSM podporuje generování žádostí o podpis certifikátu (CSR) pro uložené klíče:
$ nitropy nethsm --host $NETHSM_HOST csr --key-id myFirstKey --country DE --state-or-province BE --locality Berlin --organization ACME --organizational-unit IT --common-name example.com --email-address it@example.com
Klíčové operace#
Data pro klíč uložený v NetHSM můžeme šifrovat pomocí OpenSSL. (public.pem je soubor s veřejným klíčem, který jsme vytvořili v části Zobrazit podrobnosti o klíči).
$ echo 'NetHSM rulez!' | OpenSSL rsautl -encrypt -inkey public.pem -pubin | base64 > data.crypt
$ nitropy nethsm -h $NETHSM_HOST decrypt -k myFirstKey -d "$(cat data.crypt)" -m PKCS1 | base64 -d
NetHSM rulez!
Podobně můžeme data podepisovat pomocí klíče v systému NetHSM. V případě RSA a ECDSA musíme nejprve vypočítat digest:
$ echo 'NetHSM rulez!' > data
$ openssl dgst -sha256 -binary data | base64 > data.digest
Poté můžeme z tohoto digestu vytvořit podpis pomocí NetHSM:
$ nitropy nethsm -h $NETHSM_HOST sign -k myFirstKey -m PSS_SHA256 -d "$(cat data.digest)" | base64 -d > data.sig
A poté pomocí protokolu OpenSSL ověřte podpis:
$ openssl dgst -sha256 -verify public.pem -signature data.sig -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 data
Verified OK
Vytváření záloh#
Je možné vytvořit zálohu NetHSM, která zachycuje konfiguraci i uložené klíče. Aby bylo možné vytvořit zálohu, je třeba nejprve nastavit přístupovou frázi zálohy, která se použije k zašifrování souboru zálohy:
$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
Updated the backup passphrase for NetHSM localhost:8443
Nyní je třeba vytvořit uživatele s rolí R-Backup:
$ nitropy nethsm -h $NETHSM_HOST -u admin add-user --user-id backup --real-name "Backup User" --role backup
User backup added to NetHSM localhost:8443
Pak můžete vygenerovat zálohu a zapsat ji do souboru:
$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup
Obnovení záloh#
Tento záložní soubor lze obnovit v neschválené instanci NetHSM:
$ nitropy nethsm -h $NETHSM_HOST restore --backup-passphrase backup-passphrase backupencryptionkey /tmp/nethsm-backup
Backup restored on NetHSM localhost:8443
Aktualizace NetHSM#
Varování
V důsledku instalace beta aktualizace může dojít ke ztrátě dat!
$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.cpio
Image /tmp/nethsm-update.img.cpio uploaded to NetHSM localhost:8443
Pokud chcete v instalaci pokračovat, můžete nyní aktualizaci odevzdat:
$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443
Případně můžete aktualizaci zrušit:
$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443