Διοίκηση¶
Αυτό το κεφάλαιο περιγράφει διαχειριστικές εργασίες για χρήστες με το ρόλο Administrator. Ανατρέξτε στο κεφάλαιο Ρόλοι για να μάθετε περισσότερα σχετικά με το ρόλο.
Σημαντικό
Βεβαιωθείτε ότι έχετε διαβάσει τις πληροφορίες στην αρχή του ` παρόντος εγγράφου <index.html>`__ προτού ξεκινήσετε να εργάζεστε.
Διαχείριση συστήματος¶
Πληροφορίες συσκευής¶
Οι πληροφορίες προμηθευτή και προϊόντος για ένα NetHSM μπορούν να ανακτηθούν ως εξής.
Παράδειγμα
$ nitropy nethsm --host $NETHSM_HOST info
Host: localhost:8443
Vendor: Nitrokey GmbH
Product: NetHSM
Πληροφορίες σχετικά με το τελικό σημείο /info μπορείτε να βρείτε στην τεκμηρίωση του API.
Λειτουργία εκκίνησης¶
Το NetHSM μπορεί να χρησιμοποιηθεί σε λειτουργία Αυτόνομης εκκίνησης και Αυτόνομης εκκίνησης.
Λειτουργία εκκίνησης |
Περιγραφή |
|---|---|
Συμμετείχε στο Boot |
Το NetHSM εκκινείται σε κατάσταση _Locked_. Σε κάθε εκκίνηση πρέπει να εισάγεται η φράση Unlock Passphrase, η οποία χρησιμοποιείται για την αποκρυπτογράφηση των δεδομένων χρήστη ** . Για λόγους ασφαλείας, αυτή η κατάσταση συνιστάται και είναι η προεπιλεγμένη κατάσταση για ένα σύστημα που παρέχεται πρόσφατα. |
Εκκίνηση χωρίς επίβλεψη |
Το σύστημα εκκινείται χωρίς επιτήρηση, χωρίς να χρειάζεται να εισαχθεί το Unlock Passphrase σε κατάσταση _Operational_. Χρησιμοποιήστε αυτή τη λειτουργία εάν οι απαιτήσεις διαθεσιμότητάς σας δεν μπορούν να ικανοποιηθούν με τη λειτουργία Attended Boot. |
Προειδοποίηση
Ανεξάρτητα από τη λειτουργία εκκίνησης, το Unlock Passphrase διατηρεί την εγκυρότητά του και απαιτείται για την επαναφορά αντιγράφων ασφαλείας σε άλλο υλικό. Φυλάξτε το Unlock Passphrase ασφαλές ανά πάσα στιγμή.
Η τρέχουσα λειτουργία εκκίνησης μπορεί να ανακτηθεί ως εξής.
Παράδειγμα
$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
Unattended boot: off
Πληροφορίες σχετικά με το τελικό σημείο /config/unattended-boot μπορείτε να βρείτε στην τεκμηρίωση του API.
Η λειτουργία εκκίνησης μπορεί να αλλάξει ως εξής. Κατά την επόμενη εκκίνηση, το NetHSM θα συμπεριφερθεί ανάλογα.
Επιχειρήματα
Επιχειρήματα |
Περιγραφή |
|---|---|
Κατάσταση |
Ενεργοποίηση ή απενεργοποίηση της Ανεπίβλεπτης εκκίνησης. Μπορεί να έχει την τιμή |
Παράδειγμα
$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443
Πληροφορίες σχετικά με το τελικό σημείο /config/unattended-boot μπορείτε να βρείτε στην τεκμηρίωση του API.
Κράτος¶
Το λογισμικό NetHSM έχει τέσσερις καταστάσεις: Δεν προβλέπεται, Προβλέπεται, Κλειδωμένο και Λειτουργικό.
Κράτος |
Περιγραφή |
|---|---|
Δεν προβλέπεται |
NetHSM χωρίς διαμόρφωση (εργοστασιακή προεπιλογή) |
Προβλέπεται |
NetHSM με διαμόρφωση. Η κατάσταση Provisioned συνεπάγεται είτε Operational είτε Locked. |
Λειτουργικό |
NetHSM με διαμόρφωση και έτοιμο να εκτελέσει εντολές. Η κατάσταση λειτουργική συνεπάγεται την κατάσταση προγραμματισμένη. |
Κλειδωμένο |
NetHSM με διαμόρφωση αλλά κρυπτογραφημένα και μη προσβάσιμα αποθέματα δεδομένων. Συνήθως, το επόμενο βήμα είναι να ξεκλειδώσετε το σύστημα. Η κατάσταση Locked συνεπάγεται την κατάσταση Provisioned. |
Καταστάσεις και μεταβάσεις του NetHSM¶
Η τρέχουσα κατάσταση του NetHSM μπορεί να ανακτηθεί ως εξής.
Παράδειγμα
$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned
Πληροφορίες σχετικά με το τελικό σημείο /health/state μπορείτε να βρείτε στην τεκμηρίωση του API.
Ένα νέο NetHSM έχει την κατάσταση Unprovisioned και μετά την παροχή εισέρχεται στην κατάσταση Operational. Η τροφοδότηση ενός NetHSM περιγράφεται στο κεφάλαιο Provisioning.
Ένα NetHSM σε κατάσταση λειτουργίας μπορεί να κλειδωθεί ξανά για να προστατευτεί ως εξής.
Παράδειγμα
$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked
Πληροφορίες σχετικά με το τελικό σημείο /lock μπορείτε να βρείτε στην τεκμηρίωση του API.
Ένα NetHSM στην κατάσταση Locked μπορεί να ξεκλειδωθεί ως εξής. Όσο το NetHSM βρίσκεται σε κατάσταση _Locked_ δεν είναι δυνατή καμία άλλη λειτουργία. Στη συνέχεια το NetHSM βρίσκεται σε κατάσταση _Operational_.
Παράδειγμα
$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked
Πληροφορίες σχετικά με το τελικό σημείο /unlock μπορείτε να βρείτε στην τεκμηρίωση του API.
Ξεκλείδωμα κωδικού πρόσβασης¶
Η Ψευδοφράση ξεκλειδώματος χρησιμοποιείται για να προκύψει ένα Κλειδί ξεκλειδώματος εάν το NetHSM βρίσκεται σε κατάσταση Κλειδωμένο. Η συνθηματική φράση ορίζεται αρχικά κατά την παροχή του NetHSM.
Προειδοποίηση
Η κωδική φράση ξεκλειδώματος δεν μπορεί να μηδενιστεί χωρίς να γνωρίζετε την τρέχουσα τιμή. Εάν η συνθηματική φράση ξεκλειδώματος χαθεί, δεν είναι δυνατή ούτε η επαναφορά της σε νέα τιμή ούτε το ξεκλείδωμα του NetHSM.
Η Φράση πρόσβασης ξεκλειδώματος μπορεί να οριστεί ως εξής.
Προαιρετικές επιλογές
Επιλογή |
Περιγραφή |
|---|---|
|
Η νέα κωδική φράση ξεκλειδώματος |
|
Η τρέχουσα κωδική φράση ξεκλειδώματος |
|
Μην ζητάτε επιβεβαίωση πριν αλλάξετε τη φράση πρόσβασης |
Παράδειγμα
$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443
Πληροφορίες σχετικά με το τελικό σημείο /config/unlock-passphrase μπορείτε να βρείτε στην τεκμηρίωση του API.
Πιστοποιητικό TLS¶
Το πιστοποιητικό TLS χρησιμοποιείται για το REST API με βάση το HTTPS και, συνεπώς, χρησιμοποιείται επίσης από το nitropy. Κατά τη διάρκεια της παροχής δημιουργείται ένα αυτο-υπογεγραμμένο πιστοποιητικό. Το πιστοποιητικό μπορεί να αντικατασταθεί, για παράδειγμα, με ένα υπογεγραμμένο πιστοποιητικό από μια αρχή έκδοσης πιστοποιητικών (CA). Σε αυτή την περίπτωση πρέπει να δημιουργηθεί ένα αίτημα υπογραφής πιστοποιητικού (CSR). Μετά την υπογραφή το πιστοποιητικό πρέπει να εισαχθεί στο NetHSM.
Μια αλλαγή είναι απαραίτητη μόνο όταν το πιστοποιητικό πρόκειται να αντικατασταθεί. Μια τέτοια αλλαγή μπορεί να είναι η αντικατάστασή του με ένα υπογεγραμμένο πιστοποιητικό από μια αρχή έκδοσης πιστοποιητικών (CA).
Το πιστοποιητικό TLS μπορεί να ανακτηθεί ως εξής.
Απαιτούμενες επιλογές
Επιλογή |
Περιγραφή |
|---|---|
|
Get the certificate for the NetHSM TLS interface |
Παράδειγμα
$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----
Πληροφορίες σχετικά με το τελικό σημείο /config/tls/cert.pem μπορείτε να βρείτε στην τεκμηρίωση του API.
Το πιστοποιητικό TLS μπορεί να δημιουργηθεί ως εξής.
Απαιτούμενες επιλογές
Επιλογή |
Περιγραφή |
|---|---|
|
Ο τύπος του παραγόμενου κλειδιού |
|
Το μήκος του παραγόμενου κλειδιού |
Παράδειγμα
$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443
Πληροφορίες σχετικά με το τελικό σημείο /config/tls/generate μπορείτε να βρείτε στην τεκμηρίωση του API.
Η αίτηση υπογραφής πιστοποιητικού (CSR) για το πιστοποιητικό μπορεί να δημιουργηθεί ως εξής.
Απαιτούμενες επιλογές
Επιλογή |
Περιγραφή |
|---|---|
|
Δημιουργία CSR για το πιστοποιητικό NetHSM TLS |
|
Το όνομα της χώρας |
|
Το όνομα της πολιτείας ή της επαρχίας |
|
Το όνομα του τόπου |
|
Το όνομα του οργανισμού |
|
Το όνομα της οργανωτικής μονάδας |
|
Το κοινό όνομα |
|
Η διεύθυνση ηλεκτρονικού ταχυδρομείου |
Παράδειγμα
$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----
Πληροφορίες σχετικά με το τελικό σημείο /config/tls/csr.pem μπορείτε να βρείτε στην τεκμηρίωση του API.
Το πιστοποιητικό μπορεί να αντικατασταθεί ως εξής.
Απαιτούμενες επιλογές
Επιλογή |
Περιγραφή |
|---|---|
|
Ορίστε το πιστοποιητικό για τη διασύνδεση NetHSM TLS |
Επιχειρήματα
Επιχειρήματα |
Περιγραφή |
|---|---|
|
Αρχείο πιστοποιητικού |
Παράδειγμα
nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate
Πληροφορίες σχετικά με το τελικό σημείο /config/tls/csr.pem μπορείτε να βρείτε στην τεκμηρίωση του API.
Δίκτυο¶
Η διαμόρφωση δικτύου καθορίζει τις ρυθμίσεις που χρησιμοποιούνται για τη θύρα Δικτύου.
Σημείωση
Αυτές οι ρυθμίσεις δεν διαμορφώνουν τη θύρα δικτύου BMC.
Η ρύθμιση παραμέτρων δικτύου μπορεί να ανακτηθεί ως εξής.
Απαιτούμενες επιλογές
Επιλογή |
Περιγραφή |
|---|---|
|
Ερώτηση για τη διαμόρφωση του δικτύου |
Παράδειγμα
$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
IP address: 192.168.1.1
Netmask: 255.255.255.0
Gateway: 0.0.0.0
Πληροφορίες σχετικά με το τελικό σημείο /config/network μπορείτε να βρείτε στην τεκμηρίωση του API.
Ρυθμίστε τη διαμόρφωση δικτύου ως εξής.
Σημείωση
Το NetHSM δεν υποστηρίζει DHCP (Dynamic Host Configuration Protocol).
Σημείωση
Το NetHSM δεν υποστηρίζει IPv6 (έκδοση 6 του πρωτοκόλλου Internet).
Απαιτούμενες επιλογές
Επιλογή |
Περιγραφή |
|---|---|
|
Η νέα διεύθυνση IP |
|
Η νέα μάσκα δικτύου |
|
Η νέα πύλη |
Παράδειγμα
$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443
Πληροφορίες σχετικά με το τελικό σημείο /config/network μπορείτε να βρείτε στην τεκμηρίωση του API.
Χρόνος¶
Η διαμόρφωση ώρας ορίζει την ώρα συστήματος του λογισμικού NetHSM. Συνήθως δεν απαιτείται η ρύθμιση της ώρας συστήματος, καθώς αυτή ορίζεται κατά τη διάρκεια της παροχής.
Η διαμόρφωση του χρόνου μπορεί να ανακτηθεί ως εξής.
Απαιτούμενες επιλογές
Επιλογή |
Περιγραφή |
|---|---|
|
Ερώτηση της ώρας του συστήματος |
Παράδειγμα
$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time: 2022-08-17 11:40:00+00:00
Πληροφορίες σχετικά με το τελικό σημείο /config/time μπορείτε να βρείτε στην τεκμηρίωση του API.
Ορίστε την ώρα του NetHSM.
Σημαντικό
Φροντίστε να περάσετε την ώρα σε ζώνη ώρας UTC.
Επιχειρήματα
Επιχειρήματα |
Περιγραφή |
|---|---|
|
Η ώρα του συστήματος που πρέπει να οριστεί (Μορφή: YYYY-MM-DDTHH:MM:SSZ) |
Παράδειγμα
$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443
Πληροφορίες σχετικά με το τελικό σημείο /config/time μπορείτε να βρείτε στην τεκμηρίωση του API.
Μετρικές¶
The NetHSM logs metrics of system parameters. Please refer to Metrics to learn more about each metric.
Οι μετρικές μπορούν να ανακτηθούν ως εξής.
Απαιτούμενος ρόλος
This operation requires an authentication with the Metrics role.
Παράδειγμα
$ nitropy nethsm -h $NETHSM_HOST metrics
Metric Value
---------------------------- --------
client connections 0
established state 6
external.received bytes 989931
external.received packets 13239
external.transmitted bytes 25908953
external.transmitted packets 22037
free chunk count 322
gc compactions 0
gc major bytes 21348352
gc major collections 35
gc minor collections 2652
http response 200 28
http response 201 1
http response 204 1
http response 400 1
http response 403 1
http response 404 145
http response 412 1
http response time 0.084998
http response total 178
internal.received bytes 66541
internal.received packets 1130
internal.transmitted bytes 63802
internal.transmitted packets 1133
kv write 2
log errors 3
log warnings 3
maximum allocated space 64528384
maximum releasable bytes 1216
mmapped region count 0
new sleeper size 1
non-mmapped allocated bytes 64528384
sleep queue size 11
syn-rcvd state 0
timers 2
total allocated space 43940832
total client 1
total established 515
total free space 20587552
total sleeper size 12
total syn-rcvd 514
total timers 526
uptime 17626
Πληροφορίες σχετικά με το τελικό σημείο /metrics μπορείτε να βρείτε στην τεκμηρίωση του API.
Καταγραφή¶
Το NetHSM μπορεί να καταγράφει συμβάντα του συστήματος στη σειριακή θύρα ή σε έναν διακομιστή syslog στο δίκτυο.
Σημαντικό
Για οποιαδήποτε εγκατάσταση παραγωγής, το αρχείο καταγραφής NetHSM θα πρέπει να παρακολουθείται συνεχώς, ώστε να παρέχεται άμεση ειδοποίηση για τυχόν πιθανά προβλήματα ασφαλείας.
Η ρύθμιση παραμέτρων του διακομιστή syslog μπορεί να ανακτηθεί ως εξής.
Απαιτούμενες επιλογές
Επιλογή |
Περιγραφή |
|---|---|
|
Ερώτηση των ρυθμίσεων καταγραφής |
Παράδειγμα
$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
IP address: 0.0.0.0
Port: 514
Log level: info
Πληροφορίες σχετικά με το τελικό σημείο /config/logging μπορείτε να βρείτε στην τεκμηρίωση του API.
Η διαμόρφωση του διακομιστή syslog μπορεί να ρυθμιστεί ως εξής.
Απαιτούμενες επιλογές
Επιλογή |
Περιγραφή |
|---|---|
|
Η διεύθυνση IP του νέου προορισμού καταγραφής |
|
Η θύρα του νέου προορισμού καταγραφής |
|
Το νέο επίπεδο καταγραφής |
Παράδειγμα
$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443
Πληροφορίες σχετικά με το τελικό σημείο /config/logging μπορείτε να βρείτε στην τεκμηρίωση του API.
Η σειριακή κονσόλα λειτουργεί από την αρχή του υλικού NetHSM. Περιλαμβάνει συμβάντα από το υλικολογισμικό NetHSM και το λογισμικό NetHSM.
Οι ρυθμίσεις σύνδεσης σειριακής κονσόλας είναι οι εξής.
Ρύθμιση |
Αξία |
|---|---|
Ρυθμός Baud |
115200 |
Μπιτ δεδομένων |
8 |
Stop bits |
1 |
Ισοτιμία |
Κανένα |
Έλεγχος ροής |
Κανένα |
Δημιουργία αντιγράφων ασφαλείας¶
Τα Δεδομένα χρήστη του NetHSM μπορούν να αποθηκευτούν σε ένα αρχείο αντιγράφων ασφαλείας. Αυτό το αρχείο αντιγράφων ασφαλείας περιέχει όλα τα Δεδομένα χρήστη, δηλαδή τα Configuration Store, Authentication Store, Domain Key Store και Key Store.
Σημαντικό
Ένα λογισμικό συστήματος NetHSM σε λειτουργία Unattended Boot θα χρειαστεί τη φράση πρόσβασης Unlock Passphrase εάν επαναφερθεί σε διαφορετικό υλικό NetHSM. Ανατρέξτε στο κεφάλαιο Unlock Passphrase για να μάθετε περισσότερα.
Σημαντικό
Ένα NetHSM σε λειτουργία Ανεπίβλεπτης εκκίνησης θα βρίσκεται στην ίδια λειτουργία μετά από μια επαναφορά.
Πριν από την έναρξη ενός αντιγράφου ασφαλείας πρέπει να οριστεί η Φράση πρόσβασης αντιγράφου ασφαλείας. Η Διαβατήριο ασφαλείας χρησιμοποιείται για την κρυπτογράφηση των δεδομένων στο αρχείο αντιγράφων ασφαλείας.
Προειδοποίηση
Η εφεδρική συνθηματική φράση δεν μπορεί να μηδενιστεί χωρίς να γνωρίζετε την τρέχουσα τιμή. Εάν η κωδική φράση αντιγράφων ασφαλείας χαθεί, δεν είναι δυνατή ούτε η επαναφορά της σε νέα τιμή ούτε η επαναφορά των δημιουργημένων αντιγράφων ασφαλείας.
Η εφεδρική κωδική φράση μπορεί να ρυθμιστεί ως εξής.
Προαιρετικές επιλογές
Επιλογή |
Περιγραφή |
|---|---|
|
Η νέα κωδική φράση αντιγράφων ασφαλείας |
|
Η τρέχουσα κωδική φράση αντιγράφου ασφαλείας (ή μια κενή συμβολοσειρά αν δεν έχει οριστεί) |
|
Μην ζητάτε επιβεβαίωση πριν αλλάξετε τη φράση πρόσβασης |
Παράδειγμα
$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443
Πληροφορίες σχετικά με το τελικό σημείο /config/backup-passphrase μπορείτε να βρείτε στην τεκμηρίωση του API.
Το αντίγραφο ασφαλείας μπορεί να εκτελεστεί ως εξής.
Απαιτούμενος ρόλος
This operation requires an authentication with the Backup role.
Επιχειρήματα
Επιχειρήματα |
Περιγραφή |
|---|---|
|
Αρχείο αντιγράφων ασφαλείας |
Παράδειγμα
$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup
Πληροφορίες σχετικά με το τελικό σημείο /system/backup μπορείτε να βρείτε στην τεκμηρίωση του API.
Επαναφορά¶
Το NetHSM μπορεί να αποκατασταθεί από ένα αρχείο αντιγράφων ασφαλείας.
Εάν το NetHSM είναι Unprovisioned θα επαναφέρει όλα τα δεδομένα χρήστη, συμπεριλαμβανομένης της διαμόρφωσης του συστήματος και της επανεκκίνησης. Ως εκ τούτου, το σύστημα ενδέχεται να λάβει διαφορετικές ρυθμίσεις δικτύου, πιστοποιητικό TLS και Unlock Passphrase στη συνέχεια.
Εάν το NetHSM είναι Provisioned, θα επαναφέρει τους χρήστες και τα κλειδιά χρήστη, αλλά όχι τη διαμόρφωση του συστήματος. Σε αυτή την περίπτωση θα διαγραφούν όλοι οι προηγουμένως υπάρχοντες χρήστες και τα κλειδιά χρηστών. Το NetHSM τερματίζει σε κατάσταση Λειτουργία.
Η αποκατάσταση μπορεί να εφαρμοστεί ως εξής.
Προαιρετικές επιλογές
Επιλογή |
Περιγραφή |
|---|---|
|
Η Διαβατήριο ασφαλείας |
|
Η ώρα του συστήματος που πρέπει να οριστεί (Μορφή: |
Σημαντικό
Βεβαιωθείτε ότι η ώρα του τοπικού σας υπολογιστή έχει ρυθμιστεί σωστά. Για να ρυθμίσετε διαφορετική ώρα, παρακαλούμε δώστε τη χειροκίνητα.
Επιχειρήματα
Επιχειρήματα |
Περιγραφή |
|
|---|---|---|
|
||
Παράδειγμα
$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443
Πληροφορίες σχετικά με το τελικό σημείο /system/restore μπορείτε να βρείτε στην τεκμηρίωση του API.
Replication¶
NetHSM is stateless, so that several NetHSM devices can be used to process extremely high throughput and provide high availability. The PKCS#11 module supports round-robin schedule for a cluster of NetHSM instances. Multiple instances of NetHSM can be synchronized via encrypted backups. For this a separate system downloads and uploads backup files between the instances. The synchronization can be easily scripted by using pynitrokey as shown in this example. This separate system doesn’t have access to the backed up data in clear text because the backup files are encrypted twice. The separate system is in possession of the backup passphrase only but not of the Domain Key resp. Unlock Passphrase which is the second layer of encryption. See the system design for further details.
Ενημέρωση λογισμικού¶
Οι ενημερώσεις λογισμικού μπορούν να εγκατασταθούν με μια διαδικασία δύο βημάτων. Πρώτα πρέπει να μεταφορτωθεί η εικόνα της ενημέρωσης σε ένα Provisioned NetHSM. Το NetHSM επαληθεύει τη γνησιότητα, την ακεραιότητα και τον αριθμό έκδοσης της εικόνας. Προαιρετικά, το NetHSM εμφανίζει σημειώσεις έκδοσης, εάν υπάρχουν.
Προειδοποίηση
Μπορεί να προκληθεί απώλεια δεδομένων λόγω της εγκατάστασης μιας ενημέρωσης beta! Οι σταθερές εκδόσεις δεν πρέπει να προκαλούν απώλεια δεδομένων. Ωστόσο, συνιστάται η δημιουργία αντιγράφου ασφαλείας πριν από την ενημέρωση.
Το αρχείο ενημέρωσης μπορεί να μεταφορτωθεί ως εξής.
Επιχειρήματα
Επιχειρήματα |
Περιγραφή |
|---|---|
|
Αρχείο ενημέρωσης |
Παράδειγμα
$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin
Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443
Πληροφορίες σχετικά με το τελικό σημείο /system/update μπορείτε να βρείτε στην τεκμηρίωση του API.
Στη συνέχεια, η ενημέρωση μπορεί να εφαρμοστεί ή να διακοπεί. Ανατρέξτε στην επιθυμητή επιλογή παρακάτω. Εάν το NetHSM απενεργοποιηθεί πριν από τη λειτουργία «commit», το αρχείο ενημέρωσης πρέπει να μεταφορτωθεί ξανά.
Σημαντικό
Αν η μεταφόρτωση της εικόνας ενημέρωσης αποτύχει με την ένδειξη Error: NetHSM request failed: Bad request -- malformed image, ακολουθήστε τα παρακάτω βήματα.
Βεβαιωθείτε ότι έχετε ένα έγκυρο αρχείο ενημέρωσης, ελέγχοντας με την υπογραφή που παρέχεται.
Βεβαιωθείτε ότι δεν έχετε ενεργοποιήσει υψηλό επίπεδο καταγραφής, όπως το
DEBUG. Ανατρέξτε στο κεφάλαιο Καταγραφή για να μάθετε περισσότερα σχετικά με τη διαμόρφωση του επιπέδου καταγραφής.Κάντε επανεκκίνηση της συσκευής για να ελευθερώσετε τη χρησιμοποιούμενη μνήμη.
Η ενημέρωση μπορεί να εφαρμοστεί (δεσμευτεί) ως εξής. Οποιαδήποτε μεταφορά δεδομένων πραγματοποιείται μόνο αφού το NetHSM έχει εκκινήσει επιτυχώς τη νέα έκδοση λογισμικού συστήματος.
Παράδειγμα
$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443
Πληροφορίες σχετικά με το τελικό σημείο /system/commit-update μπορείτε να βρείτε στην τεκμηρίωση του API.
Η ενημέρωση μπορεί να ακυρωθεί ως εξής.
Παράδειγμα
$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443
Πληροφορίες σχετικά με το τελικό σημείο /system/cancel-update μπορείτε να βρείτε στην τεκμηρίωση του API.
Πληροφορίες συστήματος¶
Οι πληροφορίες συστήματος, όπως η έκδοση υλικολογισμικού, η έκδοση λογισμικού και η έκδοση υλικού, μπορούν να ανακτηθούν ως εξής.
Παράδειγμα
$ nitropy nethsm -h $NETHSM_HOST system-info
Host: 192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1.0
Build tag: v2.0-0-g17ad829
Πληροφορίες σχετικά με το τελικό σημείο /system/info μπορείτε να βρείτε στην τεκμηρίωση API documentation.
Επανεκκίνηση και τερματισμός λειτουργίας¶
Το NetHSM μπορεί να επανεκκινηθεί και να τερματιστεί, είτε εξ αποστάσεως, είτε με το κουμπί επανεκκίνησης και απενεργοποίησης στο μπροστινό μέρος του υλικού του NetHSM.
Η απομακρυσμένη επανεκκίνηση μπορεί να ξεκινήσει ως εξής.
Παράδειγμα
$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot
Πληροφορίες σχετικά με το τελικό σημείο /system/reboot μπορείτε να βρείτε στην τεκμηρίωση του API.
Ο απομακρυσμένος τερματισμός λειτουργίας μπορεί να ξεκινήσει ως εξής.
Παράδειγμα
$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown
Πληροφορίες σχετικά με το τελικό σημείο /system/shutdown μπορείτε να βρείτε στην τεκμηρίωση του API.
Επαναφορά στις εργοστασιακές ρυθμίσεις¶
Ένα Provisioned NetHSM μπορεί να επανέλθει στις εργοστασιακές ρυθμίσεις. Σε αυτή την περίπτωση, όλα τα δεδομένα χρήστη διαγράφονται με ασφάλεια και το NetHSM εκκινεί σε κατάσταση Unprovisioned. Στη συνέχεια, μπορεί να θελήσετε να προβλέψετε το NetHSM.
Η επαναφορά στις εργοστασιακές ρυθμίσεις μπορεί να πραγματοποιηθεί ως εξής.
Παράδειγμα
$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset
Πληροφορίες σχετικά με το τελικό σημείο /system/factory-reset μπορείτε να βρείτε στην τεκμηρίωση του API.
Διαχείριση χρηστών¶
Ρόλοι¶
Το NetHSM επιτρέπει το διαχωρισμό των καθηκόντων με τη χρήση διαφορετικών ρόλων. Σε κάθε λογαριασμό χρήστη που έχει διαμορφωθεί στο NetHSM έχει εκχωρηθεί ένας από τους ακόλουθους ρόλους.
Ρόλος |
Περιγραφή |
|---|---|
Διαχειριστής |
Ένας λογαριασμός χρήστη με αυτόν τον Ρόλο έχει πρόσβαση σε όλες τις λειτουργίες που παρέχονται από το NetHSM, εκτός από τις λειτουργίες χρήσης κλειδιών, δηλαδή την υπογραφή και αποκρυπτογράφηση μηνυμάτων. |
Ο χειριστής |
Ένας λογαριασμός χρήστη με αυτόν τον Ρόλο έχει πρόσβαση σε όλες τις λειτουργίες χρήσης κλειδιών, σε ένα υποσύνολο λειτουργιών διαχείρισης κλειδιών μόνο για ανάγνωση και σε λειτουργίες διαχείρισης χρηστών που επιτρέπουν αλλαγές μόνο στον δικό τους λογαριασμό. |
Metrics |
Ένας λογαριασμός χρήστη με αυτόν τον Ρόλο έχει πρόσβαση μόνο σε λειτουργίες μετρήσεων μόνο για ανάγνωση. |
Backup |
Ένας λογαριασμός χρήστη με αυτόν τον Ρόλο έχει πρόσβαση μόνο στις λειτουργίες που απαιτούνται για την έναρξη δημιουργίας αντιγράφων ασφαλείας του συστήματος. |
Δείτε Χώροι ονομάτων και Ετικέτες για πιο λεπτομερείς περιορισμούς πρόσβασης.
Σημείωση
Σε μια μελλοντική έκδοση, ενδέχεται να εισαχθούν επιπλέον Ρόλοι.
Προσθήκη χρήστη¶
Προσθέστε έναν λογαριασμό χρήστη στο NetHSM. Κάθε λογαριασμός χρήστη έχει έναν ρόλο ** , ο οποίος πρέπει να καθοριστεί. Ανατρέξτε στο κεφάλαιο Ρόλοι για να μάθετε περισσότερα σχετικά με τους Ρόλους.
Προαιρετικά, ένας χρήστης μπορεί να εκχωρηθεί σε ένα *Namespace*.
Σημείωση
Το αναγνωριστικό χρήστη πρέπει να είναι αλφαριθμητικό. Το NetHSM εκχωρεί ένα τυχαίο αναγνωριστικό χρήστη εάν δεν έχει καθοριστεί.
Ένας λογαριασμός χρήστη μπορεί να προστεθεί ως εξής.
Απαιτούμενες επιλογές
Επιλογή |
Περιγραφή |
|---|---|
|
Το πραγματικό όνομα του νέου χρήστη |
|
Το Namespace του νέου χρήστη |
|
Ο Ρόλος του νέου χρήστη |
|
Η φράση πρόσβασης του νέου χρήστη |
Προαιρετικές επιλογές
Επιλογή |
Περιγραφή |
|---|---|
|
Το αναγνωριστικό χρήστη του νέου χρήστη |
Παράδειγμα
$ nitropy nethsm --host $NETHSM_HOST add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443
Πληροφορίες σχετικά με το τελικό σημείο /users, για τη δημιουργία ενός χρήστη χωρίς τον προσδιορισμό του αναγνωριστικού χρήστη, μπορείτε να βρείτε στην τεκμηρίωση του API.
Πληροφορίες σχετικά με το τελικό σημείο /users/{UserID}, για τη δημιουργία ενός χρήστη με τον προσδιορισμό του αναγνωριστικού χρήστη, μπορείτε να βρείτε στην τεκμηρίωση του API.
Από προεπιλογή, ο χώρος ονομάτων κληρονομείται από τον χρήστη που προσθέτει τον νέο χρήστη. Μόνο οι χρήστες χωρίς Namespace μπορούν να επιλέξουν διαφορετικό Namespace για τους νέους χρήστες. Το Namespace χρησιμοποιείται ως πρόθεμα για το όνομα του χρήστη, για παράδειγμα namespace~user. Επομένως, το ίδιο όνομα χρήστη μπορεί να χρησιμοποιηθεί σε πολλά Namespaces.
Διαγραφή χρήστη¶
Διαγραφή ενός λογαριασμού χρήστη από το NetHSM.
Προειδοποίηση
Η διαγραφή είναι μόνιμη και δεν μπορεί να επανέλθει.
Ένας λογαριασμός χρήστη μπορεί να διαγραφεί ως εξής.
Επιχειρήματα
Επιχειρήματα |
Περιγραφή |
|---|---|
|
Το αναγνωριστικό χρήστη του χρήστη. |
Παράδειγμα
$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443
Πληροφορίες σχετικά με το τελικό σημείο /users/{UserID} μπορείτε να βρείτε στην τεκμηρίωση του API.
Λίστα χρηστών¶
Καταγράψτε τους χρήστες στο NetHSM.
Ο κατάλογος μπορεί να ανακτηθεί ως εξής.
Προαιρετικές επιλογές
Επιλογή |
Περιγραφή |
|---|---|
|
Ερώτηση του πραγματικού ονόματος και του ρόλου του χρήστη |
Παράδειγμα
$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:
User ID Real name Role
--------- ----------------- -------------
operator1 Nitrokey Operator Operator
admin admin Administrator
Οι χρήστες εντός ενός Namespace μπορούν να βλέπουν μόνο τους χρήστες του ίδιου Namespace.
Κωδικός πρόσβασης χρήστη¶
Η συνθηματική φράση ενός λογαριασμού χρήστη μπορεί να επαναφερθεί. Η συνθηματική φράση ορίζεται αρχικά κατά την προσθήκη ενός λογαριασμού χρήστη.
Σημείωση
Οι φράσεις πρόσβασης πρέπει να έχουν >= 10 και <= 200 χαρακτήρες.
Η συνθηματική φράση χρήστη μπορεί να οριστεί ως εξής.
Απαιτούμενες επιλογές
Επιλογή |
Περιγραφή |
|---|---|
|
Το αναγνωριστικό χρήστη του χρήστη |
|
Η νέα συνθηματική φράση του χρήστη |
Παράδειγμα
$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443
Πληροφορίες σχετικά με το τελικό σημείο /users/{UserID}/passphrase μπορείτε να βρείτε στην τεκμηρίωση του API.
Χώροι ονομάτων¶
Οι χώροι ονομάτων εισήχθησαν στην έκδοση λογισμικού 2.0. Κατά τη μετάβαση από μια προηγούμενη έκδοση του λογισμικού, όλοι οι υπάρχοντες χρήστες και κλειδιά θα είναι χωρίς χώρο ονομάτων.
Παρόμοια με την έννοια των διαμερισμάτων, το NetHSM υποστηρίζει τα πιο ευέλικτα Namespaces τα οποία ομαδοποιούν τα κλειδιά, τους διαχειριστές και τους χρήστες σε ένα NetHSM σε ξεχωριστά υποσύνολα. Οι χρήστες μπορούν να βλέπουν και να χρησιμοποιούν κλειδιά μόνο στο ίδιο Namespace και μπορούν να βλέπουν χρήστες μόνο στο ίδιο Namespace. Δεν είναι δυνατόν να βλέπουν χρήστες και να βλέπουν και να χρησιμοποιούν κλειδιά άλλων Namespaces. Όταν δημιουργείται ένας νέος χρήστης, κληρονομεί το Namespace του χρήστη που τον δημιούργησε. Η διαθέσιμη χωρητικότητα αποθήκευσης μοιράζεται μεταξύ όλων των Namespaces.
Οι χρήστες με τον ρόλο Διαχειριστής ` <administration#roles>`__ αναφέρονται επίσης ως R-Διαχειριστής εάν δεν βρίσκονται σε χώρο ονομάτων ή N-Διαχειριστής εάν βρίσκονται σε χώρο ονομάτων.
Ειδικοί κανόνες ισχύουν για τους χρήστες R-Administrator: Μπορούν να ορίσουν το Namespace για νέους χρήστες, να καταχωρήσουν όλους τους χρήστες και να αναζητήσουν το Namespace ενός χρήστη. Επίσης, η διαμόρφωση του NetHSM μπορεί να προσπελαστεί μόνο από τους χρήστες R-Administrator. Οι R-Administrators δεν μπορούν να δουν τα κλειδιά σε ένα Namespace.
Για να είναι δυνατή η δημιουργία κλειδιών και χρηστών σε ένα Namespace, το Namespace πρέπει να δημιουργηθεί από έναν χρήστη R-Administrator. Μόλις δημιουργηθεί το Namespace, οι χρήστες R-Administrator δεν μπορούν πλέον να δημιουργούν, να διαγράφουν ή να τροποποιούν χρήστες στο συγκεκριμένο Namespace. Αυτό επιτρέπει την προστασία των κλειδιών των Namespaces από την πρόσβαση του R-Administrator (επίσης έμμεσα με την προσθήκη ενός νέου χρήστη για λογαριασμό του ή την επαναφορά των διαπιστευτηρίων του υπάρχοντος χρήστη ή του διαχειριστή). Ως εκ τούτου, είναι απαραίτητο να δημιουργηθεί ένας χρήστης N-Administrator για το Namespace πριν από τη δημιουργία του Namespace. Οι χρήστες R-Administrator μπορούν επίσης να διαγράψουν ένα Namespace με όλα τα περιεχόμενα κλειδιά.
Λίστα χώρων ονομάτων¶
Κατάλογος των χώρων ονομάτων στο NetHSM.
Ο κατάλογος μπορεί να ανακτηθεί ως εξής.
Παράδειγμα
$ nitropy nethsm --host $NETHSM_HOST list-namespaces
Namespaces on NetHSM localhost:8843:
- ns1
- ns2
Πληροφορίες σχετικά με το τελικό σημείο /namespaces μπορείτε να βρείτε στην τεκμηρίωση API documentation.
Προσθήκη χώρου ονομάτων¶
Προσθέστε έναν χώρο ονομάτων στο NetHSM.
Οι χρήστες R-Administrator μπορούν ήδη να δημιουργήσουν νέους λογαριασμούς στο χώρο ονομάτων πριν από τη δημιουργία του. Μετά τη δημιουργία, μόνο οι χρήστες N-Administrator μπορούν να διαχειριστούν τους χρήστες στο Namespace. Η δημιουργία και η χρήση κλειδιών στο Namespace είναι δυνατή μόνο μετά την προσθήκη του.
Σημείωση
Το αναγνωριστικό χώρου ονομάτων πρέπει να είναι αλφαριθμητικό. Το NetHSM εκχωρεί ένα τυχαίο αναγνωριστικό χρήστη εάν δεν έχει καθοριστεί.
Ένας χώρος ονομάτων μπορεί να προστεθεί ως εξής.
Επιχειρήματα
Επιχειρήματα |
Περιγραφή |
|
|---|---|---|
|
||
Παράδειγμα
$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1
Namespace ns1 added to NetHSM localhost:8443
Πληροφορίες σχετικά με το τελικό σημείο /namespaces/{NamespaceID} μπορείτε να βρείτε στην τεκμηρίωση του API.
Διαγραφή χώρου ονομάτων¶
Διαγραφή ενός χώρου ονομάτων από το NetHSM.
Η διαγραφή ενός Namespace διαγράφει επίσης όλα τα κλειδιά αυτού του Namespace. Οι υπόλοιποι χρήστες του Namespace δεν μπορούν να προσθέσουν κλειδιά μέχρι να προστεθεί ξανά το Namespace.
Ένα Namespace μπορεί να διαγραφεί ως εξής.
Επιχειρήματα
Επιχειρήματα |
Περιγραφή |
|---|---|
|
Το Namespace που θα διαγραφεί. |
Παράδειγμα
$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1
Namespace ns1 deleted on NetHSM localhost:8443
Πληροφορίες σχετικά με το τελικό σημείο /namespaces/{NamespaceID} μπορείτε να βρείτε στην τεκμηρίωση του API.