Administration#

I dette kapitel beskrives administrative opgaver for brugere med rollen Administrator. Se kapitel Roller for at få mere at vide om denne rolle.

Vigtigt

Sørg for at læse oplysningerne i begyndelsen af dette dokument, før du begynder at arbejde.

Systemforvaltning#

Oplysninger om enheden#

Leverandør- og produktoplysningerne for en NetHSM kan hentes på følgende måde.

Eksempel

$ nitropy nethsm --host $NETHSM_HOST info

Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Boot-tilstand#

NetHSM kan bruges i Attended Boot-tilstand og Unattended Boot-tilstand.

Boot-tilstand	Beskrivelse
Deltaget i Boot	NetHSM starter op i en _låst_ tilstand. Ved hver opstart skal Unlock Passphrase indtastes, som bruges til at dekryptere User Data. Af sikkerhedsmæssige årsager anbefales denne tilstand, og det er standardtilstanden for et nyligt klargjort system.
Uovervåget opstart	Systemet starter uovervåget uden behov for at indtaste Unlock Passphrase i en _Operational_ tilstand. Brug denne tilstand, hvis dine krav til tilgængelighed ikke kan opfyldes med Attended Boot mode.

Advarsel

Uanset opstartstilstand bevarer Unlock Passphrase sin gyldighed og er nødvendig for at gendanne sikkerhedskopier på anden hardware. Opbevar Unlock Passphrase sikkert til enhver tid.

Den aktuelle opstartstilstand kan hentes på følgende måde.

Eksempel

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot

Configuration for NetHSM localhost:8443:
   Unattended boot: off

Boot-tilstanden kan ændres på følgende måde. Ved næste opstart vil NetHSM opføre sig i overensstemmelse hermed.

Argumenter

Argument	Beskrivelse
Status	Aktiver eller deaktiver Unattended Boot. Kan have værdien `on` eller `off`.

Eksempel

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on

Updated the unattended boot configuration for NetHSM localhost:8443

Staten#

NetHSM-softwaren har fire tilstande: Unprovisioned, Provisioned, Locked og Operational.

Staten	Beskrivelse
Uforsynet	NetHSM uden konfiguration (fabriksindstilling)
Tilvejebragt	NetHSM med konfiguration. Tilstanden Provisioned indebærer enten Operational eller Locked tilstand.
Operationel	NetHSM med konfiguration og klar til at udføre kommandoer. Tilstanden Operational forudsætter tilstanden Provisioned.
Låst	NetHSM med konfiguration, men krypterede og utilgængelige datalagre. Det næste skridt er typisk at låse systemet op. Tilstanden Locked indebærer tilstanden Provisioned.

NetHSM’s aktuelle tilstand kan hentes på følgende måde.

Eksempel

$ nitropy nethsm --host $NETHSM_HOST state

NetHSM localhost:8443 is Unprovisioned

En ny NetHSM har en Unprovisioned-tilstand og går efter provisionering ind i Operational-tilstand. Provisionering af en NetHSM er beskrevet i kapitlet Provisionering.

En NetHSM i Operational-tilstand kan låses igen for at beskytte den på følgende måde.

Eksempel

$ nitropy nethsm --host $NETHSM_HOST lock

NetHSM localhost:8443 locked

En NetHSM i Locked tilstand kan låses op på følgende måde. Mens NetHSM’en er i tilstanden _Locked_, er ingen andre handlinger mulige. Bagefter er NetHSM’en i en _Operational_ tilstand.

Eksempel

$ nitropy nethsm --host $NETHSM_HOST unlock

NetHSM localhost:8443 unlocked

Lås op for adgangsfrase#

Passphrase til oplåsning bruges til at udlede en Nøgle til oplåsning, hvis NetHSM’en er i Låst-tilstand. Passphrasen indstilles oprindeligt under tilrådighedsstillelsen af NetHSM.

… advarsel:: Oplåsningspasfrasen kan ikke nulstilles uden at kende den aktuelle værdi. Hvis oplåsningspasfrasen mistes, kan den ikke nulstilles til en ny værdi, og NetHSM kan heller ikke låses op.

Passphrase til oplåsning kan indstilles på følgende måde.

Optionelle muligheder

Mulighed	Beskrivelse
`-n`, `--new-passphrase` `TEXT`	Den nye adgangsfrase til oplåsning
`-p`, `--current-passphrase` `TEXT`	Den aktuelle adgangskode til oplåsning
`-f`, `--force`	Bed ikke om bekræftelse, før du ændrer adgangskoden.

Eksempel

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase

New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443

TLS-certifikat#

TLS-certifikatet bruges til den HTTPS-baserede REST API og bruges derfor også af nitropy. Under tilrådighedsstillelsen oprettes et selvsigneret certifikat. Certifikatet kan erstattes, f.eks. med et signeret certifikat fra en certifikatudstedende myndighed (CA). I dette tilfælde skal der genereres en Certificate Signing Request (CSR). Efter signeringen skal certifikatet importeres til NetHSM.

En ændring er kun nødvendig, når certifikatet skal udskiftes. En sådan ændring kan være at erstatte det med et signeret certifikat fra en certifikatudstedende myndighed (CA).

TLS-certifikatet kan hentes på følgende måde.

Nødvendige indstillinger

Mulighed	Beskrivelse
`-a`, `--api`, ``	Indstil certifikatet for NetHSM TLS-grænsefladen

Eksempel

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api

TLS-certifikatet kan genereres på følgende måde.

Nødvendige indstillinger

Mulighed	Beskrivelse
`-t`, `--type` `[RSA\|Curve25519\|EC_P224\|EC_P256\|EC_P384\|EC_P521]<x>`	Typen for den genererede nøgle
`-l`, `--length` `INTEGER`	Længden af den genererede nøgle

Eksempel

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519

Key for TLS interface generated on NetHSM localhost:8443

Certificate Signing Request (CSR) for certifikatet kan genereres på følgende måde.

Nødvendige indstillinger

Mulighed	Beskrivelse
`-a`, `--api`, ``	Generer en CSR for NetHSM TLS-certifikatet
`--country` `TEXT` `TEXT`	Landets navn
`--state-or-province` `TEXT` `` ``	Staten eller provinsens navn
`--locality` `TEXT` `TEXT`	Lokalitetsnavn
`--organization` `TEXT` `` TEXT``	Organisationens navn
`--organizational-unit` `TEXT` `TEXT`	Navnet på den organisatoriske enhed
`--common-name` `TEXT` `TEXT`	Det fælles navn
`--email-address` `TEXT` `` ``	E-mail-adresse

Eksempel

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"

Certifikatet kan udskiftes på følgende måde.

Nødvendige indstillinger

Mulighed	Beskrivelse
`-a`, `--api`, ``	Indstil certifikatet for NetHSM TLS-grænsefladen

Argumenter

Argument	Beskrivelse
`FILENAME`	Certifikatfil

Eksempel

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Netværk#

Netværkskonfigurationen definerer de indstillinger, der anvendes for Netværksport.

Bemærk

Disse indstillinger konfigurerer ikke BMC Network Port.

Netværkskonfigurationen kan hentes på følgende måde.

Nødvendige indstillinger

Mulighed	Beskrivelse
`--network`	Spørg efter netværkskonfigurationen

Eksempel

$ nitropy nethsm -h $NETHSM_HOST get-config --network

Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Indstil netværkskonfigurationen som følger.

Bemærk

NetHSM understøtter ikke DHCP (Dynamic Host Configuration Protocol).

Bemærk

NetHSM understøtter ikke IPv6 (Internet Protocol version 6).

Nødvendige indstillinger

Mulighed	Beskrivelse
`-a`, `--ip-address`, `--ip-address`	Den nye IP-adresse
`-n`, `--netmask`, ``	Den nye netmaske
`-n`, `--netmask`, ``	Den nye gateway

Eksempel

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0

Updated the network configuration for NetHSM localhost:8443

Tid#

Tidskonfigurationen indstiller systemtiden for NetHSM-softwaren. Det er normalt ikke nødvendigt at indstille systemtiden, da den indstilles under tilrådighedsstillelsen.

Tidskonfigurationen kan hentes på følgende måde.

Nødvendige indstillinger

Mulighed	Beskrivelse
`--time`	Spørg om systemtid

Eksempel

$ nitropy nethsm -host $NETHSM_HOST get-config --time

Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Indstil tiden for NetHSM.

Vigtigt

Sørg for at angive tiden i UTC-tidszone.

Argumenter

Argument	Beskrivelse
`time`	Systemtid, der skal indstilles (format: ÅÅÅÅÅ-MM-DDTHH:MM:SSZ)

Eksempel

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z

Updated the system time for NetHSM localhost:8443

Metrics#

NetHSM logger metrikker af systemparametre.

Bemærk

Denne kommando kræver godkendelse af en bruger med rollen Metrics. Se kapitel Roller for at få mere at vide om denne rolle.

Se Metrics for at få mere at vide om hver metrik.

Målingerne kan hentes på følgende måde.

Eksempel

$ nitropy nethsm -h $NETHSM_HOST metrics

Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Logning#

NetHSM kan logge systemhændelser til den serielle port eller til en syslog-server på netværket.

Vigtigt

Ved enhver produktionsudrulning bør NetHSM-loggen overvåges løbende for at give øjeblikkelig besked om eventuelle sikkerhedsproblemer.

Den serielle konsol fungerer lige fra starten af NetHSM-hardwaren. Den omfatter hændelser fra NetHSM-firmwaren og NetHSM-softwaren.

Indstillingerne for den serielle konsolforbindelse er som følger.

Indstilling	Værdi
Baud-hastighed	115200
Databits	8
Stopbits	1
Paritet	Ingen
Flow Control	Ingen

Konfigurationen af syslog-serveren kan hentes på følgende måde.

Nødvendige indstillinger

Mulighed	Beskrivelse
`--network`	Spørg efter logføringskonfigurationen

Eksempel

$ nitropy nethsm -h $NETHSM_HOST get-config --logging

Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

Konfigurationen af syslog-serveren kan indstilles på følgende måde.

Nødvendige indstillinger

Mulighed	Beskrivelse
`-p`, `--passphrase` `TEXT`	IP-adressen på den nye logningsdestination
`-p`, `--port` `INTEGER<x>`	Port til den nye logningsdestination
`-l`, `--log-level` `[debug\|info\|warning\|error]`	Det nye logniveau

Eksempel

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info

Updated the logging configuration for NetHSM localhost:8443

Backup#

NetHSM Brugerdata kan gemmes i en backup-fil. Denne backup-fil indeholder alle Brugerdata, nemlig Configuration Store, Authentication Store, Domain Key Store og Key Store.

Vigtigt

En NetHSM-system-software i Unattended Boot-tilstand kræver Unlock Passphrase, hvis den gendannes på en anden NetHSM-hardware. Se kapitel Unlock Passphrase for at få mere at vide.

Vigtigt

En NetHSM i Unattended Boot-tilstand vil være i den samme tilstand efter en gendannelse.

Før en sikkerhedskopi kan startes, skal Backup Passphrase indstilles. Backup Passphrase bruges til at kryptere dataene i backup-filen.

Advarsel

Backup-passphrasen kan ikke nulstilles uden at kende den aktuelle værdi. Hvis backup-passphrasen mistes, kan den ikke nulstilles til en ny værdi, og de oprettede backups kan ikke gendannes.

Sikkerhedskopi-passphrase kan indstilles som følger.

Optionelle muligheder

Mulighed	Beskrivelse
`-n`, `--new-passphrase` `TEXT`	Den nye adgangsfrase til sikkerhedskopiering
`-p`, `--current-passphrase` `TEXT`	Den aktuelle backup-passphrase (eller en tom streng, hvis den ikke er indstillet)
`-f`, `--force`	Bed ikke om bekræftelse, før du ændrer adgangskoden.

Eksempel

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase

New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443

Bemærk

Denne kommando kræver godkendelse af en bruger med rollen Backup. Se kapitel Roller for at få mere at vide.

Sikkerhedskopien kan udføres på følgende måde.

Argumenter

Argument	Beskrivelse
`FILENAME`	Backup-fil

Eksempel

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup

Backup for localhost:8443 written to /tmp/backup

Bemærk

Denne sikkerhedskopifil kan gendannes på en NetHSM-instans, der ikke er tilknyttet:

Gendan#

NetHSM kan gendannes fra en backup-fil.

Hvis NetHSM er Unprovisioned vil den gendanne alle User Data inklusive systemkonfiguration og genstarte. Derfor kan systemet få forskellige netværksindstillinger, TLS-certifikat og Unlock Passphrase bagefter.
Hvis NetHSM er Provisioned, vil den gendanne brugere og brugernøgler, men ikke systemkonfigurationen. I dette tilfælde vil alle tidligere eksisterende brugere og brugernøgler blive slettet. NetHSM ender i en Operational tilstand.

Gendannelsen kan foretages på følgende måde.

Optionelle muligheder

Mulighed	Beskrivelse
`-p`, `--backup-passphrase` `passphrase`	Passfrasen til sikkerhedskopiering
`-t`, `--system-time`, `--system-time`	Systemtid, der skal indstilles (Format: `YYYY-MM-DDTHH:MM:SSZ`)

Vigtigt

Sørg for, at tiden på din lokale computer er korrekt indstillet. Hvis du vil indstille et andet tidspunkt, skal du angive det manuelt.

Argumenter

Argument		Beskrivelse
`FILENAME` \| Gendan fil

Eksempel

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup

Backup passphrase:
Backup restored on NetHSM localhost:8443

Opdatering af software#

Softwareopdateringer kan installeres i en totrinsproces. Først skal opdateringsbilledet uploades til en Provisioned NetHSM. NetHSM’en verificerer billedets autenticitet, integritet og versionsnummer. Eventuelt viser NetHSM udgivelsesnoter, hvis der er nogen.

Advarsel

Der kan opstå datatab på grund af installationen af en beta-opdatering! Stabile versioner bør ikke forårsage datatab. Det anbefales dog at lave en sikkerhedskopi, før du opdaterer.

Opdateringsfilen kan uploades på følgende måde.

Argumenter

Argument	Beskrivelse
`FILENAME`	Opdatering af fil

Eksempel

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.cpio

Image /tmp/nethsm-update.img.cpio uploaded to NetHSM localhost:8443

Bagefter kan opdateringen anvendes eller afbrydes. Se venligst den ønskede indstilling nedenfor. Hvis NetHSM slukkes før »commit«-operationen, skal opdateringsfilen uploades igen.

Opdateringen kan anvendes (committed) på følgende måde. Eventuel datamigrering udføres først _efter_ at NetHSM har startet den nye systemsoftwareversion op.

Eksempel

$ nitropy nethsm --host $NETHSM_HOST commit-update

Update successfully committed on NetHSM localhost:8443

Opdateringen kan annulleres på følgende måde.

Eksempel

$ nitropy nethsm --host $NETHSM_HOST cancel-update

Update successfully cancelled on NetHSM localhost:8443

Genstart og nedlukning#

NetHSM kan genstartes og lukkes ned, enten eksternt eller med genstart- og sluk-knappen på forsiden af NetHSM-hardwaren.

Fjerngenstart kan startes på følgende måde.

Eksempel

$ nitropy nethsm --host $NETHSM_HOST reboot

NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

Fjernafbrydelsen kan startes på følgende måde.

Eksempel

$ nitropy nethsm --host $NETHSM_HOST shutdown

NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Nulstil til fabriksindstillingerne#

En Provisioned NetHSM kan nulstilles til fabriksindstillingerne. I dette tilfælde slettes alle brugerdata sikkert, og NetHSM starter op i en Unprovisioned tilstand. Bagefter vil du måske provisionere NetHSM’en.

Nulstillingen til fabriksindstillingerne kan udføres på følgende måde.

Eksempel

$ nitropy nethsm -h $NETHSM_HOST factory-reset

NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Brugerstyring#

Roller#

NetHSM gør det muligt at adskille opgaverne ved at anvende forskellige roller. Hver brugerkonto, der er konfigureret på NetHSM, har en af følgende roller tildelt.

Rolle	Beskrivelse
Administrator	En brugerkonto med denne rolle har adgang til alle operationer, der leveres af NetHSM, bortset fra nøglebrugsoperationer, dvs. signering og dekryptering af meddelelser.
Operator	R-Operator: En brugerkonto med denne rolle har adgang til alle nøglebrugsoperationer, en delmængde af nøgleadministrationsoperationer med skrivebeskyttet adgang og brugeradministrationsoperationer, der kun tillader ændringer til deres egen konto.
Metrikker	En brugerkonto med denne rolle har kun adgang til skrivebeskyttede metrikoperationer.
Backup	En brugerkonto med denne rolle har kun adgang til de handlinger, der kræves for at starte en systembackup.

Se Tags for mere finkornede adgangsbegrænsninger.

Bemærk

I en fremtidig udgave kan der blive indført yderligere roller.

Tilføj bruger#

Tilføj en brugerkonto til NetHSM. Hver brugerkonto har en Role, som skal angives. Se kapitel Roller for at få mere at vide om Roller.

Bemærk

NetHSM tildeler et tilfældigt bruger-id, hvis der ikke er angivet noget.

En brugerkonto kan tilføjes på følgende måde.

Nødvendige indstillinger

Mulighed	Beskrivelse
`-n`, `--real-name` `TEXT`	Brugerens rigtige navn
`-r`, `--role` `[Administrator\|Operator\|Metrics\|Backup]<x>`	Den nye brugers Rolle.
`-p`, `--passphrase` `TEXT`	Den nye brugers adgangsfrase

Optionelle muligheder

Mulighed	Beskrivelse
`-u`, `--user-id` `TEXT`	Bruger-id for den nye bruger

Eksempel

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1

Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Slet bruger#

Slet en brugerkonto fra NetHSM.

Advarsel

Sletningen er permanent og kan ikke genoprettes.

En brugerkonto kan slettes på følgende måde.

Argumenter

Argument	Beskrivelse
`USER_ID`	Brugerens bruger-id.

Eksempel

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1

User operator1 deleted on NetHSM localhost:8443

Liste over brugere#

Liste over brugerne på NetHSM.

Listen kan hentes på følgende måde.

Optionelle muligheder

Mulighed	Beskrivelse
`--details`, `--no-details`, `--no-details`	Spørg efter brugerens rigtige navn og rolle

Eksempel

$ nitropy nethsm --host $NETHSM_HOST list-users

Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Brugerens adgangsfrase#

En brugerkontos adgangsfrase kan nulstilles. En adgangsfrase indstilles første gang, når der tilføjes en brugerkonto.

Bemærk

Passphrases skal have >= 10 og <= 200 tegn.

Brugerens adgangsfrase kan indstilles på følgende måde.

Nødvendige indstillinger

Mulighed	Beskrivelse
`-u`, `--user-id` `TEXT`	Brugerens bruger-id
`-p`, `--passphrase` `TEXT`	Brugerens nye adgangsfrase

Eksempel

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1

Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Tags for brugere#

Tags kan bruges til at indstille finkornede adgangsbegrænsninger på nøgler, og er en valgfri funktion. Et eller flere Tags kan kun tildeles brugerkonti med rollen Operator. * Operatører* kan se alle nøgler, men kun bruge dem med mindst ét tilsvarende Tag. En nøgle kan ikke ændres af en Operatør bruger.

Du kan læse mere om, hvordan du bruger Tags på nøgler, i Tags for nøgler.

Et Tag kan tilføjes på følgende måde.

Argumenter

Argument	Beskrivelse
`USER_ID`	Det bruger-id, der skal bruges til at sætte mærket på.
`TAG`	Det tag, der skal sættes på bruger-id’et.

Eksempel

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin

Added tag berlin for user operator1 on the NetHSM localhost:8443

Tag kan slettes på følgende måde.

Argumenter

Argument	Beskrivelse
`USER_ID`	Det bruger-id, der skal bruges til at sætte mærket på.
`TAG`	Det tag, der skal sættes på bruger-id’et.

Eksempel

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin

Deleted tag berlin for user operator1 on the NetHSM localhost:8443