Administration¶
Dette kapitel beskriver administrative opgaver for brugere med rollen Administrator. Se kapitel Roller for at få mere at vide om rollen.
Vigtigt
Sørg for at læse oplysningerne i begyndelsen af dette dokument, før du begynder at arbejde.
Systemforvaltning¶
Oplysninger om enheden¶
Leverandør- og produktoplysningerne for en NetHSM kan hentes på følgende måde.
Eksempel
$ nitropy nethsm --host $NETHSM_HOST info
Host: localhost:8443
Vendor: Nitrokey GmbH
Product: NetHSM
Oplysninger om slutpunktet /info findes i API-dokumentationen.
Boot-tilstand¶
NetHSM kan bruges i Attended Boot-tilstand og Unattended Boot-tilstand.
Boot-tilstand |
Beskrivelse |
|---|---|
Deltaget i Boot |
NetHSM starter op i en _låst_ tilstand. Ved hver opstart skal Unlock Passphrase indtastes, som bruges til at dekryptere User Data. Af sikkerhedsmæssige årsager anbefales denne tilstand, og det er standardtilstanden for et nyligt klargjort system. |
Uovervåget opstart |
Systemet starter uovervåget uden behov for at indtaste Unlock Passphrase i en _Operational_ tilstand. Brug denne tilstand, hvis dine krav til tilgængelighed ikke kan opfyldes med Attended Boot mode. |
Advarsel
Uanset opstartstilstand bevarer Unlock Passphrase sin gyldighed og er nødvendig for at gendanne sikkerhedskopier på anden hardware. Opbevar Unlock Passphrase sikkert til enhver tid.
Den aktuelle opstartstilstand kan hentes på følgende måde.
Eksempel
$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
Unattended boot: off
Oplysninger om slutpunktet /config/unattended-boot kan findes i API-dokumentationen.
Boot-tilstanden kan ændres på følgende måde. Ved næste opstart vil NetHSM opføre sig i overensstemmelse hermed.
Argumenter
Argument |
Beskrivelse |
|---|---|
Status |
Aktiver eller deaktiver Unattended Boot. Kan have værdien |
Eksempel
$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443
Oplysninger om slutpunktet /config/unattended-boot kan findes i API-dokumentationen.
Staten¶
NetHSM-softwaren har fire tilstande: Unprovisioned, Provisioned, Locked og Operational.
Staten |
Beskrivelse |
|---|---|
Uforsynet |
NetHSM uden konfiguration (fabriksindstilling) |
Tilvejebragt |
NetHSM med konfiguration. Tilstanden Provisioned indebærer enten Operational eller Locked tilstand. |
Operationel |
NetHSM med konfiguration og klar til at udføre kommandoer. Tilstanden Operational forudsætter tilstanden Provisioned. |
Låst |
NetHSM med konfiguration, men krypterede og utilgængelige datalagre. Det næste skridt er typisk at låse systemet op. Tilstanden Locked indebærer tilstanden Provisioned. |
Tilstande og overgange i NetHSM¶
NetHSM’s aktuelle tilstand kan hentes på følgende måde.
Eksempel
$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned
Oplysninger om slutpunktet /health/state kan findes i API-dokumentationen.
En ny NetHSM har tilstanden Unprovisioned og går efter provisionering over i tilstanden Operational. Provisioning af en NetHSM er beskrevet i kapitlet Provisioning.
En NetHSM i Operational-tilstand kan låses igen for at beskytte den på følgende måde.
Eksempel
$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked
Oplysninger om slutpunktet /lock findes i API-dokumentationen.
En NetHSM i Locked tilstand kan låses op på følgende måde. Mens NetHSM’en er i tilstanden _Locked_, er ingen andre handlinger mulige. Bagefter er NetHSM’en i en _Operational_ tilstand.
Eksempel
$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked
Oplysninger om slutpunktet /unlock kan findes i API-dokumentationen.
Lås op for adgangsfrase¶
Passphrase til oplåsning bruges til at udlede en Nøgle til oplåsning, hvis NetHSM’en er i Låst-tilstand. Passphrasen indstilles oprindeligt under tilrådighedsstillelsen af NetHSM.
Advarsel
Oplåsningspasfrasen kan ikke nulstilles uden at kende den aktuelle værdi. Hvis oplåsningspasfrasen mistes, kan den ikke nulstilles til en ny værdi, og NetHSM kan heller ikke låses op.
Passphrase til oplåsning kan indstilles på følgende måde.
Optionelle muligheder
Mulighed |
Beskrivelse |
|---|---|
|
Den nye adgangsfrase til oplåsning |
|
Den aktuelle adgangskode til oplåsning |
|
Bed ikke om bekræftelse, før du ændrer adgangskoden. |
Eksempel
$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443
Oplysninger om slutpunktet /config/unlock-passphrase kan findes i API-dokumentationen.
TLS-certifikat¶
TLS-certifikatet bruges til den HTTPS-baserede REST API og bruges derfor også af nitropy. Under tilrådighedsstillelsen oprettes et selvsigneret certifikat. Certifikatet kan erstattes, f.eks. med et signeret certifikat fra en certifikatudstedende myndighed (CA). I dette tilfælde skal der genereres en Certificate Signing Request (CSR). Efter signeringen skal certifikatet importeres til NetHSM.
En ændring er kun nødvendig, når certifikatet skal udskiftes. En sådan ændring kan være at erstatte det med et signeret certifikat fra en certifikatudstedende myndighed (CA).
TLS-certifikatet kan hentes på følgende måde.
Nødvendige indstillinger
Mulighed |
Beskrivelse |
|---|---|
|
Get the certificate for the NetHSM TLS interface |
Eksempel
$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----
Oplysninger om slutpunktet /config/tls/cert.pem findes i API-dokumentationen.
TLS-certifikatet kan genereres på følgende måde.
Nødvendige indstillinger
Mulighed |
Beskrivelse |
|---|---|
|
Typen for den genererede nøgle |
|
Længden af den genererede nøgle |
Eksempel
$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443
Oplysninger om slutpunktet /config/tls/generate findes i API-dokumentationen.
Certificate Signing Request (CSR) for certifikatet kan genereres på følgende måde.
Nødvendige indstillinger
Mulighed |
Beskrivelse |
|---|---|
|
Generer en CSR for NetHSM TLS-certifikatet |
|
Landets navn |
|
Staten eller provinsens navn |
|
Lokalitetsnavn |
|
Organisationens navn |
|
Navnet på den organisatoriske enhed |
|
Det fælles navn |
|
E-mail-adresse |
Eksempel
$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----
Oplysninger om /config/tls/csr.pem-slutpunktet findes i API-dokumentationen.
Certifikatet kan udskiftes på følgende måde.
Nødvendige indstillinger
Mulighed |
Beskrivelse |
|---|---|
|
Indstil certifikatet for NetHSM TLS-grænsefladen |
Argumenter
Argument |
Beskrivelse |
|---|---|
|
Certifikatfil |
Eksempel
nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate
Oplysninger om /config/tls/csr.pem-slutpunktet findes i API-dokumentationen.
Netværk¶
Netværkskonfigurationen definerer de indstillinger, der anvendes for Netværksport.
Bemærk
This settings do not configure the BMC Network Port on the NetHSM 1.
Netværkskonfigurationen kan hentes på følgende måde.
Nødvendige indstillinger
Mulighed |
Beskrivelse |
|---|---|
|
Spørg efter netværkskonfigurationen |
Eksempel
$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
IP address: 192.168.1.1
Netmask: 255.255.255.0
Gateway: 0.0.0.0
Oplysninger om slutpunktet /config/network kan findes i API-dokumentationen.
Indstil netværkskonfigurationen som følger.
Bemærk
NetHSM understøtter ikke DHCP (Dynamic Host Configuration Protocol).
Bemærk
NetHSM understøtter ikke IPv6 (Internet Protocol version 6).
Nødvendige indstillinger
Mulighed |
Beskrivelse |
|---|---|
|
Den nye IP-adresse |
|
Den nye netmaske |
|
Den nye gateway |
Eksempel
$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443
Oplysninger om slutpunktet /config/network kan findes i API-dokumentationen.
Tid¶
Tidskonfigurationen indstiller systemtiden for NetHSM-softwaren. Det er normalt ikke nødvendigt at indstille systemtiden, da den indstilles under tilrådighedsstillelsen.
Tidskonfigurationen kan hentes på følgende måde.
Nødvendige indstillinger
Mulighed |
Beskrivelse |
|---|---|
|
Spørg om systemtid |
Eksempel
$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time: 2022-08-17 11:40:00+00:00
Oplysninger om slutpunktet /config/time findes i API-dokumentationen.
Indstil tiden for NetHSM.
Vigtigt
Sørg for at angive tiden i UTC-tidszone.
Argumenter
Argument |
Beskrivelse |
|---|---|
|
Systemtid, der skal indstilles (format: ÅÅÅÅÅ-MM-DDTHH:MM:SSZ) |
Eksempel
$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443
Oplysninger om slutpunktet /config/time findes i API-dokumentationen.
Metrics¶
The NetHSM logs metrics of system parameters. Please refer to Metrics to learn more about each metric.
Målingerne kan hentes på følgende måde.
Nødvendig rolle
This operation requires an authentication with the Metrics role.
Eksempel
$ nitropy nethsm -h $NETHSM_HOST metrics
Metric Value
---------------------------- --------
client connections 0
established state 6
external.received bytes 989931
external.received packets 13239
external.transmitted bytes 25908953
external.transmitted packets 22037
free chunk count 322
gc compactions 0
gc major bytes 21348352
gc major collections 35
gc minor collections 2652
http response 200 28
http response 201 1
http response 204 1
http response 400 1
http response 403 1
http response 404 145
http response 412 1
http response time 0.084998
http response total 178
internal.received bytes 66541
internal.received packets 1130
internal.transmitted bytes 63802
internal.transmitted packets 1133
kv write 2
log errors 3
log warnings 3
maximum allocated space 64528384
maximum releasable bytes 1216
mmapped region count 0
new sleeper size 1
non-mmapped allocated bytes 64528384
sleep queue size 11
syn-rcvd state 0
timers 2
total allocated space 43940832
total client 1
total established 515
total free space 20587552
total sleeper size 12
total syn-rcvd 514
total timers 526
uptime 17626
Oplysninger om slutpunktet /metrics findes i API-dokumentationen.
Logning¶
NetHSM kan logge systemhændelser til den serielle port eller til en syslog-server på netværket.
Vigtigt
Ved enhver produktionsudrulning bør NetHSM-loggen overvåges løbende for at give øjeblikkelig besked om eventuelle sikkerhedsproblemer.
Konfigurationen af syslog-serveren kan hentes på følgende måde.
Nødvendige indstillinger
Mulighed |
Beskrivelse |
|---|---|
|
Spørg efter logføringskonfigurationen |
Eksempel
$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
IP address: 0.0.0.0
Port: 514
Log level: info
Oplysninger om slutpunktet /config/logging kan findes i API-dokumentationen.
Konfigurationen af syslog-serveren kan indstilles på følgende måde.
Nødvendige indstillinger
Mulighed |
Beskrivelse |
|---|---|
|
IP-adressen på den nye logningsdestination |
|
Port til den nye logningsdestination |
|
Det nye logniveau |
Eksempel
$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443
Oplysninger om slutpunktet /config/logging kan findes i API-dokumentationen.
Den serielle konsol fungerer lige fra starten af NetHSM-hardwaren. Den omfatter hændelser fra NetHSM-firmwaren og NetHSM-softwaren.
Indstillingerne for den serielle konsolforbindelse er som følger.
Indstilling |
Værdi |
|---|---|
Baud-hastighed |
115200 |
Databits |
8 |
Stopbits |
1 |
Paritet |
Ingen |
Flow Control |
Ingen |
Backup¶
NetHSM Brugerdata kan gemmes i en backup-fil. Denne backup-fil indeholder alle Brugerdata, nemlig Configuration Store, Authentication Store, Domain Key Store og Key Store.
Vigtigt
En NetHSM-systemsoftware i Unattended Boot -tilstand vil kræve Unlock Passphrase, hvis den gendannes på en anden NetHSM-hardware. Se kapitel Oplåsning af adgangssætning for at få mere at vide.
Vigtigt
En NetHSM i Unattended Boot-tilstand vil være i den samme tilstand efter en gendannelse.
Før en sikkerhedskopi kan startes, skal Backup Passphrase indstilles. Backup Passphrase bruges til at kryptere dataene i backup-filen.
Advarsel
Backup-passphrasen kan ikke nulstilles uden at kende den aktuelle værdi. Hvis backup-passphrasen mistes, kan den ikke nulstilles til en ny værdi, og de oprettede backups kan ikke gendannes.
Sikkerhedskopi-passphrase kan indstilles som følger.
Optionelle muligheder
Mulighed |
Beskrivelse |
|---|---|
|
Den nye adgangsfrase til sikkerhedskopiering |
|
Den aktuelle backup-passphrase (eller en tom streng, hvis den ikke er indstillet) |
|
Bed ikke om bekræftelse, før du ændrer adgangskoden. |
Eksempel
$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443
Oplysninger om slutpunktet /config/backup-passphrase kan findes i API-dokumentationen.
Sikkerhedskopien kan udføres på følgende måde.
Nødvendig rolle
This operation requires an authentication with the Backup role.
Argumenter
Argument |
Beskrivelse |
|---|---|
|
Backup-fil |
Eksempel
$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup
Oplysninger om slutpunktet /system/backup kan findes i API-dokumentationen.
Gendan¶
NetHSM kan gendannes fra en backup-fil.
If the NetHSM is Unprovisioned it will restore all User Data including system configuration and reboot. Therefore the system may get different network settings, TLS certificate and Unlock Passphrase afterwards. The NetHSM ends in a Locked state.
Hvis NetHSM er Provisioned, vil den gendanne brugere og brugernøgler, men ikke systemkonfigurationen. I dette tilfælde vil alle tidligere eksisterende brugere og brugernøgler blive slettet. NetHSM ender i en Operational tilstand.
Gendannelsen kan foretages på følgende måde.
Optionelle muligheder
Mulighed |
Beskrivelse |
|---|---|
|
Passfrasen til sikkerhedskopiering |
|
Systemtid, der skal indstilles (Format: |
Vigtigt
Sørg for, at tiden på din lokale computer er korrekt indstillet. Hvis du vil indstille et andet tidspunkt, skal du angive det manuelt.
Argumenter
Argument |
Beskrivelse |
|
|---|---|---|
|
||
Eksempel
$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443
Oplysninger om slutpunktet /system/restore kan findes i API-dokumentationen.
Replication¶
NetHSM is stateless, so that several NetHSM devices can be used to process extremely high throughput and provide high availability. The PKCS#11 module supports round-robin schedule for a cluster of NetHSM instances. Multiple instances of NetHSM can be synchronized via encrypted backups. For this a separate system downloads and uploads backup files between the instances. The synchronization can be easily scripted by using pynitrokey as shown in this example. This separate system doesn’t have access to the backed up data in clear text because the backup files are encrypted twice. The separate system is in possession of the backup passphrase only but not of the Domain Key resp. Unlock Passphrase which is the second layer of encryption. See the system design for further details.
Opdatering af software¶
Softwareopdateringer kan installeres i en totrinsproces. Først skal opdateringsbilledet uploades til en Provisioned NetHSM. NetHSM’en verificerer billedets autenticitet, integritet og versionsnummer. Eventuelt viser NetHSM udgivelsesnoter, hvis der er nogen.
Advarsel
Der kan opstå datatab på grund af installationen af en beta-opdatering! Stabile versioner bør ikke forårsage datatab. Det anbefales dog at lave en sikkerhedskopi, før du opdaterer.
Advarsel
Sørg for at installere den korrekte opdateringsfil til din hardwaremodel NetHSM 1 eller NetHSM 2. Du kan tjekke din model på systemoplysninger.
Opdateringsfilen kan uploades på følgende måde.
Argumenter
Argument |
Beskrivelse |
|---|---|
|
Opdatering af fil |
Eksempel
$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin
Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443
Oplysninger om slutpunktet /system/update kan findes i API-dokumentationen.
Bagefter kan opdateringen anvendes eller afbrydes. Se venligst den ønskede indstilling nedenfor. Hvis NetHSM slukkes før »commit«-operationen, skal opdateringsfilen uploades igen.
Vigtigt
Hvis upload af opdateringsbilledet mislykkes med Error: NetHSM request failed: Bad request -- malformed image, skal du følge nedenstående trin.
Sørg for, at du har en gyldig opdateringsfil ved at tjekke med den medfølgende signatur.
Sørg for, at du ikke har aktiveret et højt logniveau, f.eks.
DEBUG. Se kapitlet Logning for at få mere at vide om konfiguration af logniveauer.Genstart apparatet for at frigøre brugt hukommelse.
Opdateringen kan anvendes (committed) på følgende måde. Enhver datamigrering udføres først efter NetHSM har startet den nye systemsoftwareversion med succes.
Eksempel
$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443
Oplysninger om slutpunktet /system/commit-update kan findes i API-dokumentationen.
Opdateringen kan annulleres på følgende måde.
Eksempel
$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443
Oplysninger om slutpunktet /system/cancel-update kan findes i API-dokumentationen.
Systeminformation¶
Systemoplysninger som firmwareversion, softwareversion og hardwareversion kan hentes på følgende måde.
Eksempel
$ nitropy nethsm -h $NETHSM_HOST system-info
Host: 192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1
Build tag: v2.0-0-g17ad829
Attestation keys
P256: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEup7z8QYvkzkBuLryG1SgVQjlPhSFW3PzYn1l3uLNd+pSBxX0OBpslcbnmPFr5wSs/iP46+H8MFlEAYUkYv6uuQ==
P384: MHYwEAYHKoZIzj0CAQYFK4EEACIDYgAEfQiurLvEmjsAmumRtIqu70HKehRo8A/nVrqQGiR8Rcr+SUujwgtQByORX5BoRtv4sZNJW4FyLGqvXCIF9IV1puob2+9Qq5oEjz4x4malLbFdyXDmQK8o2NpvcbgOr215
Platform Configuration Registers
0: 0f6064779fba55b102a6ecc20498c2020deaf2aebef23716ec293b25873647f8
2: 2b0d25a4a92b4df5205742954243db9d306a4c3277a6b6958bcbaf3d47def26f
Information om slutpunktet /system/info kan findes i API-dokumentationen.
En NetHSM 1 identificeres som hardwareversion prodrive-hermes-1 og en NetHSM 2 som msi-z790-1.
Genstart og nedlukning¶
NetHSM kan genstartes og lukkes ned, enten eksternt eller med genstart- og sluk-knappen på forsiden af NetHSM-hardwaren.
Fjerngenstart kan startes på følgende måde.
Eksempel
$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot
Oplysninger om slutpunktet /system/reboot kan findes i API-dokumentationen.
Fjernafbrydelsen kan startes på følgende måde.
Eksempel
$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown
Oplysninger om slutpunktet /system/shutdown kan findes i API-dokumentationen.
Nulstil til fabriksindstillingerne¶
En Provisioned NetHSM kan nulstilles til fabriksindstillingerne. I dette tilfælde slettes alle brugerdata sikkert, og NetHSM starter op i en Unprovisioned tilstand. Bagefter vil du måske provisionere NetHSM’en.
Nulstillingen til fabriksindstillingerne kan udføres på følgende måde.
Eksempel
$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset
Oplysninger om slutpunktet /system/factory-reset kan findes i API-dokumentationen.
Brugerstyring¶
Roller¶
NetHSM gør det muligt at adskille opgaverne ved at anvende forskellige roller. Hver brugerkonto, der er konfigureret på NetHSM, har en af følgende roller tildelt.
Rolle |
Beskrivelse |
|---|---|
Administrator |
En brugerkonto med denne rolle har adgang til alle operationer, der leveres af NetHSM, bortset fra nøglebrugsoperationer, dvs. signering og dekryptering af meddelelser. |
Operator |
R-Operator: En brugerkonto med denne rolle har adgang til alle nøglebrugsoperationer, en delmængde af nøgleadministrationsoperationer med skrivebeskyttet adgang og brugeradministrationsoperationer, der kun tillader ændringer til deres egen konto. |
Metrikker |
En brugerkonto med denne rolle har kun adgang til skrivebeskyttede metrikoperationer. |
Backup |
En brugerkonto med denne rolle har kun adgang til de handlinger, der kræves for at starte en systembackup. |
Se Namespaces og Tags for mere finkornede adgangsbegrænsninger.
Bemærk
I en fremtidig udgave kan der blive indført yderligere roller.
Tilføj bruger¶
Tilføj en brugerkonto til NetHSM. Hver brugerkonto har en Role, som skal specificeres. Se kapitel Roller for at få mere at vide om Roller.
Optionally, a user can be assigned to a Namespace.
Bemærk
Bruger-id’et skal være alfanumerisk. NetHSM tildeler et tilfældigt bruger-id, hvis der ikke er angivet noget.
En brugerkonto kan tilføjes på følgende måde.
Nødvendige indstillinger
Mulighed |
Beskrivelse |
|---|---|
|
Den nye brugers rigtige navn |
|
Den nye brugers navnerum |
|
Den nye brugers Rolle. |
|
Den nye brugers adgangsfrase |
Optionelle muligheder
Mulighed |
Beskrivelse |
|---|---|
|
Bruger-id for den nye bruger |
Eksempel
$ nitropy nethsm --host $NETHSM_HOST add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443
Oplysninger om slutpunktet /users, der gør det muligt at oprette en bruger uden at angive bruger-id, findes i API-dokumentationen.
Oplysninger om slutpunktet /users/{UserID}, der bruges til at oprette en bruger med angivelse af bruger-id, findes i API-dokumentationen.
Som standard arves Namespace fra den bruger, der tilføjer den nye bruger. Kun brugere uden et Namespace kan vælge et andet Namespace til nye brugere. Namespace bruges som præfiks for brugernavnet, for eksempel namespace~user. Derfor kan det samme brugernavn bruges i flere Namespaces.
Slet bruger¶
Slet en brugerkonto fra NetHSM.
Advarsel
Sletningen er permanent og kan ikke genoprettes.
En brugerkonto kan slettes på følgende måde.
Argumenter
Argument |
Beskrivelse |
|---|---|
|
Brugerens bruger-id. |
Eksempel
$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443
Oplysninger om slutpunktet /users/{UserID} findes i API-dokumentationen.
Liste over brugere¶
Liste over brugerne på NetHSM.
Listen kan hentes på følgende måde.
Optionelle muligheder
Mulighed |
Beskrivelse |
|---|---|
|
Spørg efter brugerens rigtige navn og rolle |
Eksempel
$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:
User ID Real name Role
--------- ----------------- -------------
operator1 Nitrokey Operator Operator
admin admin Administrator
Oplysninger om slutpunktet /users kan findes i API-dokumentationen.
Oplysninger om slutpunktet /users/{UserID} findes i API-dokumentationen.
Brugere i et navnerum kan kun se brugere i det samme navnerum.
Brugerens adgangsfrase¶
En brugerkontos adgangsfrase kan nulstilles. En adgangsfrase indstilles første gang, når der tilføjes en brugerkonto.
Bemærk
Passphrases skal have >= 10 og <= 200 tegn.
Brugerens adgangsfrase kan indstilles på følgende måde.
Nødvendige indstillinger
Mulighed |
Beskrivelse |
|---|---|
|
Brugerens bruger-id |
|
Brugerens nye adgangsfrase |
Eksempel
$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443
Oplysninger om slutpunktet /users/{UserID}/passphrase findes i API-dokumentationen.
Navnerum¶
Similarly to the concept of partitions, NetHSM supports the more flexible Namespaces which group keys, administrators, and users on a NetHSM into separate subsets. Users can only see and use keys in the same Namespace and can only see users in the same Namespace. It is not possible to see users and to see and use keys of other Namespaces. When a new user is created, it inherits the Namespace of the user that created it. The available storage capacity is shared between all Namespaces. An practically unlimited amount of Namespaces can be used without requiring additional licenses.
Namespaces blev introduceret i softwareversion 2.0. Når man migrerer fra en tidligere version af softwaren, vil alle eksisterende brugere og nøgler være uden et Namespace.
Brugere med rollen Administrator ` <administration#roles>`__ kaldes også R-Administrator, hvis de ikke er i et navnerum, eller N-Administrator, hvis de er i et navnerum.
Der gælder særlige regler for R-Administrator brugere: De kan indstille Namespace for nye brugere, liste alle brugere og forespørge om en brugers Namespace. NetHSM-konfigurationen kan også kun tilgås af R-Administrator brugere. R-administratorer kan ikke se nøgler i et Namespace.
For at kunne generere nøgler og brugere i et Namespace skal Namespace oprettes af en R-Administrator bruger. Når navnerummet er oprettet, kan R-Administrator brugere ikke længere oprette, slette eller ændre brugere i det navnerum. Dette gør det muligt at beskytte Namespaces‹ nøgler, som R-Administrator har adgang til (også indirekte ved at tilføje en ny bruger på vegne af eller nulstille en eksisterende brugers eller administrators legitimationsoplysninger). Derfor er det nødvendigt at oprette en N-Administrator bruger til navnerummet, før navnerummet oprettes. R-Administrator brugere kan også slette et navnerum med alle de indeholdte nøgler.
Liste over navnerum¶
Liste over navneområder på NetHSM.
Listen kan hentes på følgende måde.
Eksempel
$ nitropy nethsm --host $NETHSM_HOST list-namespaces
Namespaces on NetHSM localhost:8843:
- ns1
- ns2
Oplysninger om slutpunktet /namespaces kan findes i API-dokumentationen.
Tilføj navnerum¶
Tilføj et navnerum til NetHSM.
R-Administrator brugere kan allerede oprette nye konti i Namespace, før det oprettes. Efter oprettelsen er det kun N-Administrator brugere, der kan administrere brugerne i Namespace. Oprettelse og brug af nøgler i Namespace er kun muligt, når det er blevet tilføjet.
Bemærk
Namespace-id’et skal være alfanumerisk. NetHSM tildeler et tilfældigt bruger-id, hvis der ikke er angivet noget.
Et navnerum kan tilføjes på følgende måde.
Argumenter
Argument |
Beskrivelse |
|
|---|---|---|
|
||
Eksempel
$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1
Namespace ns1 added to NetHSM localhost:8443
Oplysninger om slutpunktet /namespaces/{NamespaceID} kan findes i API-dokumentationen.
Slet navnerummet¶
Slet et navnerum fra NetHSM.
Sletning af et navnerum sletter også alle nøgler i det navnerum. Resterende brugere i navnerummet kan ikke tilføje nøgler, før navnerummet er blevet tilføjet igen.
Et navnerum kan slettes på følgende måde.
Argumenter
Argument |
Beskrivelse |
|---|---|
|
Det navnerum, der skal slettes. |
Eksempel
$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1
Namespace ns1 deleted on NetHSM localhost:8443
Oplysninger om slutpunktet /namespaces/{NamespaceID} kan findes i API-dokumentationen.