Administration#
I dette kapitel beskrives administrative opgaver for brugere med rollen Administrator. Se kapitel Roller for at få mere at vide om denne rolle.
Vigtigt
Sørg for at læse oplysningerne i begyndelsen af dette dokument, før du begynder at arbejde.
Systemforvaltning#
Oplysninger om enheden#
Leverandør- og produktoplysningerne for en NetHSM kan hentes på følgende måde.
Eksempel
$ nitropy nethsm --host $NETHSM_HOST info
Host: localhost:8443
Vendor: Nitrokey GmbH
Product: NetHSM
Oplysninger om slutpunktet /info findes i API-dokumentationen.
Boot-tilstand#
NetHSM kan bruges i Attended Boot-tilstand og Unattended Boot-tilstand.
Boot-tilstand |
Beskrivelse |
---|---|
Tilstede Boot |
Ved hver start skal der indtastes Unlock Passphrase, som bruges til at dekryptere User Data. Af sikkerhedshensyn anbefales denne tilstand. |
Uovervåget opstart |
Der kræves ikke nogen Lås op-passphrase, og derfor kan NetHSM starte uden opsyn. Brug denne tilstand, hvis dine tilgængelighedskrav ikke kan opfyldes med Attended Boot-tilstand. |
Den aktuelle opstartstilstand kan hentes på følgende måde.
Eksempel
$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
Unattended boot: off
Oplysninger om slutpunktet /config/unattended-boot kan findes i API-dokumentationen.
Opstartstilstanden kan ændres på følgende måde.
Argumenter
Argument |
Beskrivelse |
---|---|
Status |
Aktiver eller deaktiver Unattended Boot. Kan have værdien |
Eksempel
$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443
Oplysninger om slutpunktet /config/unattended-boot kan findes i API-dokumentationen.
Staten#
NetHSM-softwaren har fire tilstande: Unprovisioned, Provisioned, Locked og Operational.
Staten |
Beskrivelse |
---|---|
Uforsynet |
NetHSM uden konfiguration (fabriksindstilling) |
Tilvejebragt |
NetHSM med konfiguration. Tilstanden Provisioned indebærer enten Operational eller Locked tilstand. |
Operationel |
NetHSM med konfiguration og klar til at udføre kommandoer. Tilstanden Operational forudsætter tilstanden Provisioned. |
Låst |
NetHSM med konfiguration, men beskyttet (kræver oplåsning). Tilstanden Operational forudsætter tilstanden Provisioned. |
Tilstande og overgange i NetHSM#
NetHSM’s aktuelle tilstand kan hentes på følgende måde.
Eksempel
$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned
Oplysninger om slutpunktet /health/state kan findes i API-dokumentationen.
En ny NetHSM har en Unprovisioned-tilstand og går efter provisionering ind i Operational-tilstand. Provisionering af en NetHSM er beskrevet i kapitlet Provisionering.
En NetHSM i Operational-tilstand kan låses igen for at beskytte den på følgende måde.
Eksempel
$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked
Oplysninger om slutpunktet /lock findes i API-dokumentationen.
En NetHSM i Locked-tilstand kan låses op på følgende måde.
Eksempel
$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked
Oplysninger om slutpunktet /unlock kan findes i API-dokumentationen.
Lås op for adgangsfrase#
Passphrase til oplåsning bruges til at udlede en Nøgle til oplåsning, hvis NetHSM’en er i Låst-tilstand. Passphrasen indstilles oprindeligt under tilrådighedsstillelsen af NetHSM.
Passphrase til oplåsning kan indstilles på følgende måde.
Optionelle muligheder
Mulighed |
Beskrivelse |
---|---|
|
Den nye adgangsfrase til oplåsning |
Eksempel
$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
Passphrase:
Repeat for confirmation:
Updated the unlock passphrase for localhost:8443
Oplysninger om slutpunktet /config/unlock-passphrase kan findes i API-dokumentationen.
TLS-certifikat#
TLS-certifikatet bruges til den HTTPS-baserede REST API og bruges derfor også af nitropy. Under tilrådighedsstillelsen oprettes et selvsigneret certifikat. Certifikatet kan erstattes, f.eks. med et signeret certifikat fra en certifikatudstedende myndighed (CA). I dette tilfælde skal der genereres en Certificate Signing Request (CSR). Efter signeringen skal certifikatet importeres til NetHSM.
En ændring er kun nødvendig, når certifikatet skal udskiftes. En sådan ændring kan være at erstatte det med et signeret certifikat fra en certifikatudstedende myndighed (CA).
TLS-certifikatet kan hentes på følgende måde.
Nødvendige indstillinger
Mulighed |
Beskrivelse |
---|---|
|
Indstil certifikatet for NetHSM TLS-grænsefladen |
Eksempel
$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----
Oplysninger om slutpunktet /config/tls/cert.pem findes i API-dokumentationen.
TLS-certifikatet kan genereres på følgende måde.
Nødvendige indstillinger
Mulighed |
Beskrivelse |
---|---|
|
Typen for den genererede nøgle |
|
Længden af den genererede nøgle |
Eksempel
$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443
Oplysninger om slutpunktet /config/tls/generate findes i API-dokumentationen.
Certificate Signing Request (CSR) for certifikatet kan genereres på følgende måde.
Nødvendige indstillinger
Mulighed |
Beskrivelse |
---|---|
|
Generer en CSR for NetHSM TLS-certifikatet |
|
Landets navn |
|
Staten eller provinsens navn |
|
Lokalitetsnavn |
|
Organisationens navn |
|
Navnet på den organisatoriske enhed |
|
Det fælles navn |
|
E-mail-adresse |
Eksempel
$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----
Oplysninger om /config/tls/csr.pem-slutpunktet findes i API-dokumentationen.
Certifikatet kan udskiftes på følgende måde.
Nødvendige indstillinger
Mulighed |
Beskrivelse |
---|---|
|
Indstil certifikatet for NetHSM TLS-grænsefladen |
Argumenter
Argument |
Beskrivelse |
---|---|
|
Certifikatfil |
Eksempel
nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate
Oplysninger om /config/tls/csr.pem-slutpunktet findes i API-dokumentationen.
Netværk#
Netværkskonfigurationen definerer de indstillinger, der anvendes for Netværksport.
Bemærk
Disse indstillinger konfigurerer ikke BMC Network Port.
Netværkskonfigurationen kan hentes på følgende måde.
Nødvendige indstillinger
Mulighed |
Beskrivelse |
---|---|
|
Spørg efter netværkskonfigurationen |
Eksempel
$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
IP address: 192.168.1.1
Netmask: 255.255.255.0
Gateway: 0.0.0.0
Oplysninger om slutpunktet /config/network kan findes i API-dokumentationen.
Indstil netværkskonfigurationen som følger.
Bemærk
NetHSM understøtter ikke DHCP (Dynamic Host Configuration Protocol).
Bemærk
NetHSM understøtter ikke IPv6 (Internet Protocol version 6).
Nødvendige indstillinger
Mulighed |
Beskrivelse |
---|---|
|
Den nye IP-adresse |
|
Den nye netmaske |
|
Den nye gateway |
Eksempel
$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443
Oplysninger om slutpunktet /config/network kan findes i API-dokumentationen.
Tid#
Tidskonfigurationen indstiller systemtiden for NetHSM-softwaren. Det er normalt ikke nødvendigt at indstille systemtiden, da den indstilles under tilrådighedsstillelsen.
Tidskonfigurationen kan hentes på følgende måde.
Nødvendige indstillinger
Mulighed |
Beskrivelse |
---|---|
|
Spørg om systemtid |
Eksempel
$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time: 2022-08-17 11:40:00+00:00
Oplysninger om slutpunktet /config/time findes i API-dokumentationen.
Indstil tiden for NetHSM.
Vigtigt
Sørg for at angive tiden i UTC-tidszone.
Argumenter
Argument |
Beskrivelse |
---|---|
|
Systemtid, der skal indstilles (format: ÅÅÅÅÅ-MM-DDTHH:MM:SSZ) |
Eksempel
$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443
Oplysninger om slutpunktet /config/time findes i API-dokumentationen.
Metrics#
NetHSM logger metrikker af systemparametre.
Bemærk
Denne kommando kræver godkendelse af en bruger med rollen Metrics. Se kapitel Roller for at få mere at vide om denne rolle.
Målingerne kan hentes på følgende måde.
Eksempel
$ nitropy nethsm -h $NETHSM_HOST metrics
Metric Value
---------------------------- --------
client connections 0
established state 6
external.received bytes 989931
external.received packets 13239
external.transmitted bytes 25908953
external.transmitted packets 22037
free chunk count 322
gc compactions 0
gc major bytes 21348352
gc major collections 35
gc minor collections 2652
http response 200 28
http response 201 1
http response 204 1
http response 400 1
http response 403 1
http response 404 145
http response 412 1
http response time 0.084998
http response total 178
internal.received bytes 66541
internal.received packets 1130
internal.transmitted bytes 63802
internal.transmitted packets 1133
kv write 2
log errors 3
log warnings 3
maximum allocated space 64528384
maximum releasable bytes 1216
mmapped region count 0
new sleeper size 1
non-mmapped allocated bytes 64528384
sleep queue size 11
syn-rcvd state 0
timers 2
total allocated space 43940832
total client 1
total established 515
total free space 20587552
total sleeper size 12
total syn-rcvd 514
total timers 526
uptime 17626
Oplysninger om slutpunktet /metrics findes i API-dokumentationen.
Logning#
NetHSM kan logge systemhændelser til den serielle port eller til en syslog-server på netværket.
Den serielle konsol fungerer lige fra starten af NetHSM-hardwaren. Den omfatter hændelser fra NetHSM-firmwaren og NetHSM-softwaren.
Indstillingerne for den serielle konsolforbindelse er som følger.
Indstilling |
Værdi |
---|---|
Baud-hastighed |
115200 |
Databits |
8 |
Stopbits |
1 |
Paritet |
Ingen |
Flow Control |
Ingen |
Konfigurationen af syslog-serveren kan hentes på følgende måde.
Nødvendige indstillinger
Mulighed |
Beskrivelse |
---|---|
|
Spørg efter logføringskonfigurationen |
Eksempel
$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
IP address: 0.0.0.0
Port: 514
Log level: info
Oplysninger om slutpunktet /config/logging kan findes i API-dokumentationen.
Konfigurationen af syslog-serveren kan indstilles på følgende måde.
Nødvendige indstillinger
Mulighed |
Beskrivelse |
---|---|
|
IP-adressen på den nye logningsdestination |
|
Port til den nye logningsdestination |
|
Det nye logniveau |
Eksempel
$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443
Oplysninger om slutpunktet /config/logging kan findes i API-dokumentationen.
Backup#
NetHSM Brugerdata kan gemmes i en backup-fil. Denne backup-fil indeholder alle Brugerdata, nemlig Configuration Store, Authentication Store, Domain Key Store og Key Store.
Vigtigt
En NetHSM-system-software i Unattended Boot-tilstand kræver Unlock Passphrase, hvis den gendannes på en anden NetHSM-hardware. Se kapitel Unlock Passphrase for at få mere at vide.
Vigtigt
En NetHSM i Unattended Boot-tilstand vil være i den samme tilstand efter en gendannelse.
Før en sikkerhedskopi kan startes, skal Backup Passphrase indstilles. Backup Passphrase bruges til at kryptere dataene i backup-filen.
Sikkerhedskopi-passphrase kan indstilles som følger.
Optionelle muligheder
Mulighed |
Beskrivelse |
---|---|
|
Den nye adgangsfrase til sikkerhedskopiering |
Eksempel
$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
Passphrase:
Repeat for confirmation:
Updated the backup passphrase for NetHSM localhost:8443
Oplysninger om slutpunktet /config/backup-passphrase kan findes i API-dokumentationen.
Bemærk
Denne kommando kræver godkendelse af en bruger med rollen Backup. Se kapitel Roller for at få mere at vide.
Sikkerhedskopien kan udføres på følgende måde.
Argumenter
Argument |
Beskrivelse |
---|---|
|
Backup-fil |
Eksempel
$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup
Oplysninger om slutpunktet /system/backup kan findes i API-dokumentationen.
Bemærk
Denne sikkerhedskopifil kan gendannes på en NetHSM-instans, der ikke er tilknyttet:
Gendan#
NetHSM kan gendannes fra en backup-fil.
Bemærk
NetHSM skal være i en Unprovisioned State.
Gendannelsen kan foretages på følgende måde.
Optionelle muligheder
Mulighed |
Beskrivelse |
---|---|
|
Passfrasen til sikkerhedskopiering |
|
Systemtid, der skal indstilles (Format: |
Vigtigt
Sørg for, at tiden på din lokale computer er korrekt indstillet. Hvis du vil indstille et andet tidspunkt, skal du angive det manuelt.
Argumenter
Argument |
Beskrivelse |
|
---|---|---|
|
Eksempel
$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443
Oplysninger om slutpunktet /system/restore kan findes i API-dokumentationen.
Opdatering#
Opdateringer til NetHSM kan installeres i en totrinsproces. Først skal opdateringsaftrykket uploades til NetHSM. Billedet kontrolleres og valideres automatisk.
Advarsel
Der kan opstå datatab som følge af installationen af en betaopdatering!
Opdateringsfilen kan uploades på følgende måde.
Argumenter
Argument |
Beskrivelse |
---|---|
|
Opdatering af fil |
Eksempel
$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.cpio
Image /tmp/nethsm-update.img.cpio uploaded to NetHSM localhost:8443
Oplysninger om slutpunktet /system/update kan findes i API-dokumentationen.
Herefter kan opdateringen anvendes eller afbrydes. Se venligst den ønskede mulighed nedenfor.
Opdateringen kan anvendes (commit) på følgende måde.
Eksempel
$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443
Oplysninger om slutpunktet /system/commit-update kan findes i API-dokumentationen.
Opdateringen kan annulleres på følgende måde.
Eksempel
$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443
Oplysninger om slutpunktet /system/cancel-update kan findes i API-dokumentationen.
Genstart og nedlukning#
NetHSM kan genstartes og lukkes ned, enten eksternt eller med genstart- og sluk-knappen på forsiden af NetHSM-hardwaren.
Fjerngenstart kan startes på følgende måde.
Eksempel
$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot
Oplysninger om slutpunktet /system/reboot kan findes i API-dokumentationen.
Fjernafbrydelsen kan startes på følgende måde.
Eksempel
$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown
Oplysninger om slutpunktet /system/shutdown kan findes i API-dokumentationen.
Nulstil til fabriksindstillingerne#
NetHSM kan nulstilles til fabriksindstillingerne. Under denne proces bliver alle brugerdata slettet.
Nulstillingen til fabriksindstillingerne kan udføres på følgende måde.
Eksempel
$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset
Oplysninger om slutpunktet /system/factory-reset kan findes i API-dokumentationen.
Brugerstyring#
Roller#
NetHSM gør det muligt at adskille opgaverne ved at anvende forskellige roller. Hver brugerkonto, der er konfigureret på NetHSM, har en af følgende roller tildelt.
Rolle |
Beskrivelse |
---|---|
Administrator |
En brugerkonto med denne rolle har adgang til alle operationer, der leveres af NetHSM, bortset fra nøglebrugsoperationer, dvs. signering og dekryptering af meddelelser. |
Operator |
R-Operator: En brugerkonto med denne rolle har adgang til alle nøglebrugsoperationer, en delmængde af nøgleadministrationsoperationer med skrivebeskyttet adgang og brugeradministrationsoperationer, der kun tillader ændringer til deres egen konto. |
Metrikker |
En brugerkonto med denne rolle har kun adgang til skrivebeskyttede metrikoperationer. |
Backup |
En brugerkonto med denne rolle har kun adgang til de handlinger, der kræves for at starte en systembackup. |
Bemærk
I en fremtidig udgave kan der blive indført yderligere roller.
Tilføj bruger#
Tilføj en brugerkonto til NetHSM. Hver brugerkonto har en Role, som skal angives. Se kapitel Roller for at få mere at vide om Roller.
Bemærk
NetHSM tildeler et tilfældigt bruger-id, hvis der ikke er angivet noget.
En brugerkonto kan tilføjes på følgende måde.
Nødvendige indstillinger
Mulighed |
Beskrivelse |
---|---|
|
Brugerens rigtige navn |
|
Den nye brugers Rolle. |
|
Den nye brugers adgangsfrase |
Optionelle muligheder
Mulighed |
Beskrivelse |
---|---|
|
Bruger-id for den nye bruger |
Eksempel
$ nitropy nethsm --host $NETHSM_HOST add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443
Oplysninger om slutpunktet /users, der gør det muligt at oprette en bruger uden at angive bruger-id, findes i API-dokumentationen.
Oplysninger om slutpunktet /users/{UserID}, der bruges til at oprette en bruger med angivelse af bruger-id, findes i API-dokumentationen.
Slet bruger#
Slet en brugerkonto fra NetHSM.
Advarsel
Sletningen er permanent og kan ikke genoprettes.
En brugerkonto kan slettes på følgende måde.
Argumenter
Argument |
Beskrivelse |
---|---|
|
Brugerens bruger-id. |
Eksempel
$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443
Oplysninger om slutpunktet /users/{UserID} findes i API-dokumentationen.
Liste over brugere#
Liste over brugerne på NetHSM.
Listen kan hentes på følgende måde.
Optionelle muligheder
Mulighed |
Beskrivelse |
---|---|
|
Spørg efter brugerens rigtige navn og rolle |
Eksempel
$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:
User ID Real name Role
--------- ----------------- -------------
operator1 Nitrokey Operator Operator
admin admin Administrator
Oplysninger om slutpunktet /users kan findes i API-dokumentationen.
Oplysninger om slutpunktet /users/{UserID} findes i API-dokumentationen.
Brugerens adgangsfrase#
En brugerkontos adgangsfrase kan nulstilles. En adgangsfrase indstilles første gang, når der tilføjes en brugerkonto.
Bemærk
Passphrases skal have >= 10 og <= 200 tegn.
Brugerens adgangsfrase kan indstilles på følgende måde.
Nødvendige indstillinger
Mulighed |
Beskrivelse |
---|---|
|
Brugerens bruger-id |
|
Brugerens nye adgangsfrase |
Eksempel
$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443
Oplysninger om slutpunktet /users/{UserID}/passphrase findes i API-dokumentationen.