Διοίκηση

Αυτό το κεφάλαιο περιγράφει διαχειριστικές εργασίες για χρήστες με το ρόλο Administrator. Ανατρέξτε στο κεφάλαιο Ρόλοι για να μάθετε περισσότερα σχετικά με το ρόλο.

Σημαντικό

Βεβαιωθείτε ότι έχετε διαβάσει τις πληροφορίες στην αρχή του ` παρόντος εγγράφου <index.html>`__ προτού ξεκινήσετε να εργάζεστε.

Διαχείριση συστήματος

Πληροφορίες συσκευής

Οι πληροφορίες προμηθευτή και προϊόντος για ένα NetHSM μπορούν να ανακτηθούν ως εξής.

nitropyREST API

Παράδειγμα

$ nitropy nethsm --host $NETHSM_HOST info

Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Λειτουργία εκκίνησης

Το NetHSM μπορεί να χρησιμοποιηθεί σε λειτουργία Αυτόνομης εκκίνησης και Αυτόνομης εκκίνησης.

Λειτουργία εκκίνησης	Περιγραφή
Συμμετείχε στο Boot	Το NetHSM εκκινείται σε κατάσταση _Locked_. Σε κάθε εκκίνηση πρέπει να εισάγεται η φράση Unlock Passphrase, η οποία χρησιμοποιείται για την αποκρυπτογράφηση των δεδομένων χρήστη ** . Για λόγους ασφαλείας, αυτή η κατάσταση συνιστάται και είναι η προεπιλεγμένη κατάσταση για ένα σύστημα που παρέχεται πρόσφατα.
Εκκίνηση χωρίς επίβλεψη	Το σύστημα εκκινείται χωρίς επιτήρηση, χωρίς να χρειάζεται να εισαχθεί το Unlock Passphrase σε κατάσταση _Operational_. Χρησιμοποιήστε αυτή τη λειτουργία εάν οι απαιτήσεις διαθεσιμότητάς σας δεν μπορούν να ικανοποιηθούν με τη λειτουργία Attended Boot.

Προειδοποίηση

Ανεξάρτητα από τη λειτουργία εκκίνησης, το Unlock Passphrase διατηρεί την εγκυρότητά του και απαιτείται για την επαναφορά αντιγράφων ασφαλείας σε άλλο υλικό. Φυλάξτε το Unlock Passphrase ασφαλές ανά πάσα στιγμή.

Η τρέχουσα λειτουργία εκκίνησης μπορεί να ανακτηθεί ως εξής.

nitropyREST API

Παράδειγμα

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot

Configuration for NetHSM localhost:8443:
   Unattended boot: off

Η λειτουργία εκκίνησης μπορεί να αλλάξει ως εξής. Κατά την επόμενη εκκίνηση, το NetHSM θα συμπεριφερθεί ανάλογα.

nitropyREST API

Επιχειρήματα

Επιχειρήματα	Περιγραφή
Κατάσταση	Ενεργοποίηση ή απενεργοποίηση της Ανεπίβλεπτης εκκίνησης. Μπορεί να έχει την τιμή on ή off.

Παράδειγμα

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on

Updated the unattended boot configuration for NetHSM localhost:8443

Κράτος

Το λογισμικό NetHSM έχει τέσσερις καταστάσεις: Δεν προβλέπεται, Προβλέπεται, Κλειδωμένο και Λειτουργικό.

Κράτος	Περιγραφή
Δεν προβλέπεται	NetHSM χωρίς διαμόρφωση (εργοστασιακή προεπιλογή)
Προβλέπεται	NetHSM με διαμόρφωση. Η κατάσταση Provisioned συνεπάγεται είτε Operational είτε Locked.
Λειτουργικό	NetHSM με διαμόρφωση και έτοιμο να εκτελέσει εντολές. Η κατάσταση λειτουργική συνεπάγεται την κατάσταση προγραμματισμένη.
Κλειδωμένο	NetHSM με διαμόρφωση αλλά κρυπτογραφημένα και μη προσβάσιμα αποθέματα δεδομένων. Συνήθως, το επόμενο βήμα είναι να ξεκλειδώσετε το σύστημα. Η κατάσταση Locked συνεπάγεται την κατάσταση Provisioned.

Καταστάσεις και μεταβάσεις του NetHSM

Η τρέχουσα κατάσταση του NetHSM μπορεί να ανακτηθεί ως εξής.

nitropyREST API

Παράδειγμα

$ nitropy nethsm --host $NETHSM_HOST state

NetHSM localhost:8443 is Unprovisioned

Ένα νέο NetHSM έχει την κατάσταση Unprovisioned και μετά την παροχή εισέρχεται στην κατάσταση Operational. Η τροφοδότηση ενός NetHSM περιγράφεται στο κεφάλαιο Provisioning.

Ένα NetHSM σε κατάσταση λειτουργίας μπορεί να κλειδωθεί ξανά για να προστατευτεί ως εξής.

nitropyREST API

Παράδειγμα

$ nitropy nethsm --host $NETHSM_HOST lock

NetHSM localhost:8443 locked

Ένα NetHSM στην κατάσταση Locked μπορεί να ξεκλειδωθεί ως εξής. Όσο το NetHSM βρίσκεται σε κατάσταση _Locked_ δεν είναι δυνατή καμία άλλη λειτουργία. Στη συνέχεια το NetHSM βρίσκεται σε κατάσταση _Operational_.

nitropyREST API

Παράδειγμα

$ nitropy nethsm --host $NETHSM_HOST unlock

NetHSM localhost:8443 unlocked

Ξεκλείδωμα κωδικού πρόσβασης

Η Ψευδοφράση ξεκλειδώματος χρησιμοποιείται για να προκύψει ένα Κλειδί ξεκλειδώματος εάν το NetHSM βρίσκεται σε κατάσταση Κλειδωμένο. Η συνθηματική φράση ορίζεται αρχικά κατά την παροχή του NetHSM.

Προειδοποίηση

Η κωδική φράση ξεκλειδώματος δεν μπορεί να μηδενιστεί χωρίς να γνωρίζετε την τρέχουσα τιμή. Εάν η συνθηματική φράση ξεκλειδώματος χαθεί, δεν είναι δυνατή ούτε η επαναφορά της σε νέα τιμή ούτε το ξεκλείδωμα του NetHSM.

Η Φράση πρόσβασης ξεκλειδώματος μπορεί να οριστεί ως εξής.

nitropyREST API

Προαιρετικές επιλογές

Επιλογή	Περιγραφή
-n, --new-passphrase TEXT	Η νέα κωδική φράση ξεκλειδώματος
-p, --current-passphrase TEXT	Η τρέχουσα κωδική φράση ξεκλειδώματος
-f, --force	Μην ζητάτε επιβεβαίωση πριν αλλάξετε τη φράση πρόσβασης

Παράδειγμα

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase

New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443

Πιστοποιητικό TLS

Το πιστοποιητικό TLS χρησιμοποιείται για το REST API με βάση το HTTPS και, συνεπώς, χρησιμοποιείται επίσης από το nitropy. Κατά τη διάρκεια της παροχής δημιουργείται ένα αυτο-υπογεγραμμένο πιστοποιητικό. Το πιστοποιητικό μπορεί να αντικατασταθεί, για παράδειγμα, με ένα υπογεγραμμένο πιστοποιητικό από μια αρχή έκδοσης πιστοποιητικών (CA). Σε αυτή την περίπτωση πρέπει να δημιουργηθεί ένα αίτημα υπογραφής πιστοποιητικού (CSR). Μετά την υπογραφή το πιστοποιητικό πρέπει να εισαχθεί στο NetHSM.

Μια αλλαγή είναι απαραίτητη μόνο όταν το πιστοποιητικό πρόκειται να αντικατασταθεί. Μια τέτοια αλλαγή μπορεί να είναι η αντικατάστασή του με ένα υπογεγραμμένο πιστοποιητικό από μια αρχή έκδοσης πιστοποιητικών (CA).

Το πιστοποιητικό TLS μπορεί να ανακτηθεί ως εξής.

nitropyREST API

Απαιτούμενες επιλογές

Επιλογή	Περιγραφή
-a, --api	Get the certificate for the NetHSM TLS interface

Παράδειγμα

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api

-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----

Το πιστοποιητικό TLS μπορεί να δημιουργηθεί ως εξής.

nitropyREST API

Απαιτούμενες επιλογές

Επιλογή	Περιγραφή
-t, --type [RSA|Curve25519|EC_P224|EC_P256|EC_P384|EC_P521]	Ο τύπος του παραγόμενου κλειδιού
-l, --length INTEGER	Το μήκος του παραγόμενου κλειδιού

Παράδειγμα

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519

Key for TLS interface generated on NetHSM localhost:8443

Η αίτηση υπογραφής πιστοποιητικού (CSR) για το πιστοποιητικό μπορεί να δημιουργηθεί ως εξής.

nitropyREST API

Απαιτούμενες επιλογές

Επιλογή	Περιγραφή
-a, --api	Δημιουργία CSR για το πιστοποιητικό NetHSM TLS
--country TEXT	Το όνομα της χώρας
--state-or-province TEXT	Το όνομα της πολιτείας ή της επαρχίας
--locality TEXT	Το όνομα του τόπου
--organization TEXT	Το όνομα του οργανισμού
--organizational-unit TEXT	Το όνομα της οργανωτικής μονάδας
--common-name TEXT	Το κοινό όνομα
--email-address TEXT	Η διεύθυνση ηλεκτρονικού ταχυδρομείου

Παράδειγμα

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"

-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----

Το πιστοποιητικό μπορεί να αντικατασταθεί ως εξής.

nitropyREST API

Απαιτούμενες επιλογές

Επιλογή	Περιγραφή
-a, --api	Ορίστε το πιστοποιητικό για τη διασύνδεση NetHSM TLS

Επιχειρήματα

Επιχειρήματα	Περιγραφή
FILENAME	Αρχείο πιστοποιητικού

Παράδειγμα

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Δίκτυο

Η διαμόρφωση δικτύου καθορίζει τις ρυθμίσεις που χρησιμοποιούνται για τη θύρα Δικτύου.

Σημείωση

This settings do not configure the BMC Network Port on the NetHSM 1.

Η ρύθμιση παραμέτρων δικτύου μπορεί να ανακτηθεί ως εξής.

nitropyREST API

Απαιτούμενες επιλογές

Επιλογή	Περιγραφή
--network	Ερώτηση για τη διαμόρφωση του δικτύου

Παράδειγμα

$ nitropy nethsm -h $NETHSM_HOST get-config --network

Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Ρυθμίστε τη διαμόρφωση δικτύου ως εξής.

Σημείωση

Το NetHSM δεν υποστηρίζει DHCP (Dynamic Host Configuration Protocol).

Σημείωση

Το NetHSM δεν υποστηρίζει IPv6 (έκδοση 6 του πρωτοκόλλου Internet).

nitropyREST API

Απαιτούμενες επιλογές

Επιλογή	Περιγραφή
-a, --ip-address	Η νέα διεύθυνση IP
-n, --netmask	Η νέα μάσκα δικτύου
-n, --netmask	Η νέα πύλη

Παράδειγμα

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0

Updated the network configuration for NetHSM localhost:8443

Χρόνος

Η διαμόρφωση ώρας ορίζει την ώρα συστήματος του λογισμικού NetHSM. Συνήθως δεν απαιτείται η ρύθμιση της ώρας συστήματος, καθώς αυτή ορίζεται κατά τη διάρκεια της παροχής.

Η διαμόρφωση του χρόνου μπορεί να ανακτηθεί ως εξής.

nitropyREST API

Απαιτούμενες επιλογές

Επιλογή	Περιγραφή
--time	Ερώτηση της ώρας του συστήματος

Παράδειγμα

$ nitropy nethsm -host $NETHSM_HOST get-config --time

Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Ορίστε την ώρα του NetHSM.

Σημαντικό

Φροντίστε να περάσετε την ώρα σε ζώνη ώρας UTC.

nitropyREST API

Επιχειρήματα

Επιχειρήματα	Περιγραφή
time	Η ώρα του συστήματος που πρέπει να οριστεί (Μορφή: YYYY-MM-DDTHH:MM:SSZ)

Παράδειγμα

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z

Updated the system time for NetHSM localhost:8443

Μετρικές

The NetHSM logs metrics of system parameters. Please refer to Metrics to learn more about each metric.

Οι μετρικές μπορούν να ανακτηθούν ως εξής.

nitropyREST API

Απαιτούμενος ρόλος

This operation requires an authentication with the Metrics role.

Παράδειγμα

$ nitropy nethsm -h $NETHSM_HOST metrics

Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Καταγραφή

Το NetHSM μπορεί να καταγράφει συμβάντα του συστήματος στη σειριακή θύρα ή σε έναν διακομιστή syslog στο δίκτυο.

Σημαντικό

Για οποιαδήποτε εγκατάσταση παραγωγής, το αρχείο καταγραφής NetHSM θα πρέπει να παρακολουθείται συνεχώς, ώστε να παρέχεται άμεση ειδοποίηση για τυχόν πιθανά προβλήματα ασφαλείας.

Η ρύθμιση παραμέτρων του διακομιστή syslog μπορεί να ανακτηθεί ως εξής.

nitropyREST API

Απαιτούμενες επιλογές

Επιλογή	Περιγραφή
--network	Ερώτηση των ρυθμίσεων καταγραφής

Παράδειγμα

$ nitropy nethsm -h $NETHSM_HOST get-config --logging

Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

Η διαμόρφωση του διακομιστή syslog μπορεί να ρυθμιστεί ως εξής.

nitropyREST API

Απαιτούμενες επιλογές

Επιλογή	Περιγραφή
-p, --passphrase TEXT	Η διεύθυνση IP του νέου προορισμού καταγραφής
-p, --port INTEGER	Η θύρα του νέου προορισμού καταγραφής
-l, --log-level [debug|info|warning|error]	Το νέο επίπεδο καταγραφής

Παράδειγμα

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info

Updated the logging configuration for NetHSM localhost:8443

Η σειριακή κονσόλα λειτουργεί από την αρχή του υλικού NetHSM. Περιλαμβάνει συμβάντα από το υλικολογισμικό NetHSM και το λογισμικό NetHSM.

Οι ρυθμίσεις σύνδεσης σειριακής κονσόλας είναι οι εξής.

Ρύθμιση	Αξία
Ρυθμός Baud	115200
Μπιτ δεδομένων	8
Stop bits	1
Ισοτιμία	Κανένα
Έλεγχος ροής	Κανένα

Δημιουργία αντιγράφων ασφαλείας

Τα Δεδομένα χρήστη του NetHSM μπορούν να αποθηκευτούν σε ένα αρχείο αντιγράφων ασφαλείας. Αυτό το αρχείο αντιγράφων ασφαλείας περιέχει όλα τα Δεδομένα χρήστη, δηλαδή τα Configuration Store, Authentication Store, Domain Key Store και Key Store.

Σημαντικό

Ένα λογισμικό συστήματος NetHSM σε λειτουργία Unattended Boot θα χρειαστεί τη φράση πρόσβασης Unlock Passphrase εάν επαναφερθεί σε διαφορετικό υλικό NetHSM. Ανατρέξτε στο κεφάλαιο Unlock Passphrase για να μάθετε περισσότερα.

Σημαντικό

Ένα NetHSM σε λειτουργία Ανεπίβλεπτης εκκίνησης θα βρίσκεται στην ίδια λειτουργία μετά από μια επαναφορά.

Πριν από την έναρξη ενός αντιγράφου ασφαλείας πρέπει να οριστεί η Φράση πρόσβασης αντιγράφου ασφαλείας. Η Διαβατήριο ασφαλείας χρησιμοποιείται για την κρυπτογράφηση των δεδομένων στο αρχείο αντιγράφων ασφαλείας.

Προειδοποίηση

Η εφεδρική συνθηματική φράση δεν μπορεί να μηδενιστεί χωρίς να γνωρίζετε την τρέχουσα τιμή. Εάν η κωδική φράση αντιγράφων ασφαλείας χαθεί, δεν είναι δυνατή ούτε η επαναφορά της σε νέα τιμή ούτε η επαναφορά των δημιουργημένων αντιγράφων ασφαλείας.

Η εφεδρική κωδική φράση μπορεί να ρυθμιστεί ως εξής.

nitropyREST API

Προαιρετικές επιλογές

Επιλογή	Περιγραφή
-n, --new-passphrase TEXT	Η νέα κωδική φράση αντιγράφων ασφαλείας
-p, --current-passphrase TEXT	Η τρέχουσα κωδική φράση αντιγράφου ασφαλείας (ή μια κενή συμβολοσειρά αν δεν έχει οριστεί)
-f, --force	Μην ζητάτε επιβεβαίωση πριν αλλάξετε τη φράση πρόσβασης

Παράδειγμα

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase

New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443

Το αντίγραφο ασφαλείας μπορεί να εκτελεστεί ως εξής.

nitropyREST API

Απαιτούμενος ρόλος

This operation requires an authentication with the Backup role.

Επιχειρήματα

Επιχειρήματα	Περιγραφή
FILENAME	Αρχείο αντιγράφων ασφαλείας

Παράδειγμα

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup

Backup for localhost:8443 written to /tmp/backup

Επαναφορά

Το NetHSM μπορεί να αποκατασταθεί από ένα αρχείο αντιγράφων ασφαλείας.

• If the NetHSM is Unprovisioned it will restore all User Data including system configuration and reboot. Therefore the system may get different network settings, TLS certificate and Unlock Passphrase afterwards. The NetHSM ends in a Locked state.

• Εάν το NetHSM είναι Provisioned, θα επαναφέρει τους χρήστες και τα κλειδιά χρήστη, αλλά όχι τη διαμόρφωση του συστήματος. Σε αυτή την περίπτωση θα διαγραφούν όλοι οι προηγουμένως υπάρχοντες χρήστες και τα κλειδιά χρηστών. Το NetHSM τερματίζει σε κατάσταση Λειτουργία.

Η αποκατάσταση μπορεί να εφαρμοστεί ως εξής.

nitropyREST API

Προαιρετικές επιλογές

Επιλογή	Περιγραφή
-p, --backup-passphrase passphrase	Η Διαβατήριο ασφαλείας
-t, --system-time	Η ώρα του συστήματος που πρέπει να οριστεί (Μορφή: YYYY-MM-DDTHH:MM:SSZ)

Σημαντικό

Βεβαιωθείτε ότι η ώρα του τοπικού σας υπολογιστή έχει ρυθμιστεί σωστά. Για να ρυθμίσετε διαφορετική ώρα, παρακαλούμε δώστε τη χειροκίνητα.

Επιχειρήματα

Επιχειρήματα		Περιγραφή
FILENAME | Επαναφορά αρχείου

Παράδειγμα

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup

Backup passphrase:
Backup restored on NetHSM localhost:8443

Replication

NetHSM is stateless, so that several NetHSM devices can be used to process extremely high throughput and provide high availability. The PKCS#11 module supports round-robin schedule for a cluster of NetHSM instances. Multiple instances of NetHSM can be synchronized via encrypted backups. For this a separate system downloads and uploads backup files between the instances. The synchronization can be easily scripted by using pynitrokey as shown in this example. This separate system doesn’t have access to the backed up data in clear text because the backup files are encrypted twice. The separate system is in possession of the backup passphrase only but not of the Domain Key resp. Unlock Passphrase which is the second layer of encryption. See the system design for further details.

Ενημέρωση λογισμικού

Οι ενημερώσεις λογισμικού μπορούν να εγκατασταθούν με μια διαδικασία δύο βημάτων. Πρώτα πρέπει να μεταφορτωθεί η εικόνα της ενημέρωσης σε ένα Provisioned NetHSM. Το NetHSM επαληθεύει τη γνησιότητα, την ακεραιότητα και τον αριθμό έκδοσης της εικόνας. Προαιρετικά, το NetHSM εμφανίζει σημειώσεις έκδοσης, εάν υπάρχουν.

Προειδοποίηση

Μπορεί να προκληθεί απώλεια δεδομένων λόγω της εγκατάστασης μιας ενημέρωσης beta! Οι σταθερές εκδόσεις δεν πρέπει να προκαλούν απώλεια δεδομένων. Ωστόσο, συνιστάται η δημιουργία αντιγράφου ασφαλείας πριν από την ενημέρωση.

Προειδοποίηση

Βεβαιωθείτε ότι έχετε εγκαταστήσει το σωστό αρχείο ενημέρωσης για το μοντέλο υλικού σας NetHSM 1 ή NetHSM 2. Μπορείτε να ελέγξετε το μοντέλο σας στις πληροφορίες συστήματος ` <administration#system-information>` __.

Το αρχείο ενημέρωσης μπορεί να μεταφορτωθεί ως εξής.

nitropyREST API

Επιχειρήματα

Επιχειρήματα	Περιγραφή
FILENAME	Αρχείο ενημέρωσης

Παράδειγμα

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin

Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443

Στη συνέχεια, η ενημέρωση μπορεί να εφαρμοστεί ή να διακοπεί. Ανατρέξτε στην επιθυμητή επιλογή παρακάτω. Εάν το NetHSM απενεργοποιηθεί πριν από τη λειτουργία «commit», το αρχείο ενημέρωσης πρέπει να μεταφορτωθεί ξανά.

Σημαντικό

Αν η μεταφόρτωση της εικόνας ενημέρωσης αποτύχει με την ένδειξη Error: NetHSM request failed: Bad request -- malformed image, ακολουθήστε τα παρακάτω βήματα.

1. Βεβαιωθείτε ότι έχετε ένα έγκυρο αρχείο ενημέρωσης, ελέγχοντας με την υπογραφή που παρέχεται.

2. Βεβαιωθείτε ότι δεν έχετε ενεργοποιήσει υψηλό επίπεδο καταγραφής, όπως το DEBUG. Ανατρέξτε στο κεφάλαιο Καταγραφή για να μάθετε περισσότερα σχετικά με τη διαμόρφωση του επιπέδου καταγραφής.

3. Κάντε επανεκκίνηση της συσκευής για να ελευθερώσετε τη χρησιμοποιούμενη μνήμη.

Η ενημέρωση μπορεί να εφαρμοστεί (δεσμευτεί) ως εξής. Οποιαδήποτε μεταφορά δεδομένων πραγματοποιείται μόνο αφού το NetHSM έχει εκκινήσει επιτυχώς τη νέα έκδοση λογισμικού συστήματος.

nitropyREST API

Παράδειγμα

$ nitropy nethsm --host $NETHSM_HOST commit-update

Update successfully committed on NetHSM localhost:8443

Η ενημέρωση μπορεί να ακυρωθεί ως εξής.

nitropyREST API

Παράδειγμα

$ nitropy nethsm --host $NETHSM_HOST cancel-update

Update successfully cancelled on NetHSM localhost:8443

Πληροφορίες συστήματος

Οι πληροφορίες συστήματος, όπως η έκδοση υλικολογισμικού, η έκδοση λογισμικού και η έκδοση υλικού, μπορούν να ανακτηθούν ως εξής.

nitropyREST API

Παράδειγμα

$ nitropy nethsm -h $NETHSM_HOST system-info

Host:             192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1
Build tag:        v2.0-0-g17ad829
Attestation keys
  P256:           MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEup7z8QYvkzkBuLryG1SgVQjlPhSFW3PzYn1l3uLNd+pSBxX0OBpslcbnmPFr5wSs/iP46+H8MFlEAYUkYv6uuQ==
  P384:           MHYwEAYHKoZIzj0CAQYFK4EEACIDYgAEfQiurLvEmjsAmumRtIqu70HKehRo8A/nVrqQGiR8Rcr+SUujwgtQByORX5BoRtv4sZNJW4FyLGqvXCIF9IV1puob2+9Qq5oEjz4x4malLbFdyXDmQK8o2NpvcbgOr215
Platform Configuration Registers
  0:              0f6064779fba55b102a6ecc20498c2020deaf2aebef23716ec293b25873647f8
  2:              2b0d25a4a92b4df5205742954243db9d306a4c3277a6b6958bcbaf3d47def26f

Ένα NetHSM 1 αναγνωρίζεται ως έκδοση υλικού prodrive-hermes-1 και ένα NetHSM 2 ως msi-z790-1.

Επανεκκίνηση και τερματισμός λειτουργίας

Το NetHSM μπορεί να επανεκκινηθεί και να τερματιστεί, είτε εξ αποστάσεως, είτε με το κουμπί επανεκκίνησης και απενεργοποίησης στο μπροστινό μέρος του υλικού του NetHSM.

Η απομακρυσμένη επανεκκίνηση μπορεί να ξεκινήσει ως εξής.

nitropyREST API

Παράδειγμα

$ nitropy nethsm --host $NETHSM_HOST reboot

NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

Ο απομακρυσμένος τερματισμός λειτουργίας μπορεί να ξεκινήσει ως εξής.

nitropyREST API

Παράδειγμα

$ nitropy nethsm --host $NETHSM_HOST shutdown

NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Επαναφορά στις εργοστασιακές ρυθμίσεις

Ένα Provisioned NetHSM μπορεί να επανέλθει στις εργοστασιακές ρυθμίσεις. Σε αυτή την περίπτωση, όλα τα δεδομένα χρήστη διαγράφονται με ασφάλεια και το NetHSM εκκινεί σε κατάσταση Unprovisioned. Στη συνέχεια, μπορεί να θελήσετε να προβλέψετε το NetHSM.

Η επαναφορά στις εργοστασιακές ρυθμίσεις μπορεί να πραγματοποιηθεί ως εξής.

nitropyREST API

Παράδειγμα

$ nitropy nethsm -h $NETHSM_HOST factory-reset

NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Διαχείριση χρηστών

Ρόλοι

Το NetHSM επιτρέπει το διαχωρισμό των καθηκόντων με τη χρήση διαφορετικών ρόλων. Σε κάθε λογαριασμό χρήστη που έχει διαμορφωθεί στο NetHSM έχει εκχωρηθεί ένας από τους ακόλουθους ρόλους.

Ρόλος	Περιγραφή
Διαχειριστής	Ένας λογαριασμός χρήστη με αυτόν τον Ρόλο έχει πρόσβαση σε όλες τις λειτουργίες που παρέχονται από το NetHSM, εκτός από τις λειτουργίες χρήσης κλειδιών, δηλαδή την υπογραφή και αποκρυπτογράφηση μηνυμάτων.
Ο χειριστής	Ένας λογαριασμός χρήστη με αυτόν τον Ρόλο έχει πρόσβαση σε όλες τις λειτουργίες χρήσης κλειδιών, σε ένα υποσύνολο λειτουργιών διαχείρισης κλειδιών μόνο για ανάγνωση και σε λειτουργίες διαχείρισης χρηστών που επιτρέπουν αλλαγές μόνο στον δικό τους λογαριασμό.
Metrics	Ένας λογαριασμός χρήστη με αυτόν τον Ρόλο έχει πρόσβαση μόνο σε λειτουργίες μετρήσεων μόνο για ανάγνωση.
Backup	Ένας λογαριασμός χρήστη με αυτόν τον Ρόλο έχει πρόσβαση μόνο στις λειτουργίες που απαιτούνται για την έναρξη δημιουργίας αντιγράφων ασφαλείας του συστήματος.

Δείτε Χώροι ονομάτων και Ετικέτες για πιο λεπτομερείς περιορισμούς πρόσβασης.

Σημείωση

Σε μια μελλοντική έκδοση, ενδέχεται να εισαχθούν επιπλέον Ρόλοι.

Προσθήκη χρήστη

Προσθέστε έναν λογαριασμό χρήστη στο NetHSM. Κάθε λογαριασμός χρήστη έχει έναν ρόλο ** , ο οποίος πρέπει να καθοριστεί. Ανατρέξτε στο κεφάλαιο Ρόλοι για να μάθετε περισσότερα σχετικά με τους Ρόλους.

Optionally, a user can be assigned to a Namespace.

Σημείωση

Το αναγνωριστικό χρήστη πρέπει να είναι αλφαριθμητικό. Το NetHSM εκχωρεί ένα τυχαίο αναγνωριστικό χρήστη εάν δεν έχει καθοριστεί.

Ένας λογαριασμός χρήστη μπορεί να προστεθεί ως εξής.

nitropyREST API

Απαιτούμενες επιλογές

Επιλογή	Περιγραφή
-n, --real-name TEXT	Το πραγματικό όνομα του νέου χρήστη
-N, --namespace TEXT	Το Namespace του νέου χρήστη
-r, --role [Administrator|Operator|Metrics|Backup]	Ο Ρόλος του νέου χρήστη
-p, --passphrase TEXT	Η φράση πρόσβασης του νέου χρήστη

Προαιρετικές επιλογές

Επιλογή	Περιγραφή
-u, --user-id TEXT	Το αναγνωριστικό χρήστη του νέου χρήστη

Παράδειγμα

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1

Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Από προεπιλογή, ο χώρος ονομάτων κληρονομείται από τον χρήστη που προσθέτει τον νέο χρήστη. Μόνο οι χρήστες χωρίς Namespace μπορούν να επιλέξουν διαφορετικό Namespace για τους νέους χρήστες. Το Namespace χρησιμοποιείται ως πρόθεμα για το όνομα του χρήστη, για παράδειγμα namespace~user. Επομένως, το ίδιο όνομα χρήστη μπορεί να χρησιμοποιηθεί σε πολλά Namespaces.

Διαγραφή χρήστη

Διαγραφή ενός λογαριασμού χρήστη από το NetHSM.

Προειδοποίηση

Η διαγραφή είναι μόνιμη και δεν μπορεί να επανέλθει.

Ένας λογαριασμός χρήστη μπορεί να διαγραφεί ως εξής.

nitropyREST API

Επιχειρήματα

Επιχειρήματα	Περιγραφή
USER_ID	Το αναγνωριστικό χρήστη του χρήστη.

Παράδειγμα

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1

User operator1 deleted on NetHSM localhost:8443

Λίστα χρηστών

Καταγράψτε τους χρήστες στο NetHSM.

Ο κατάλογος μπορεί να ανακτηθεί ως εξής.

nitropyREST API

Προαιρετικές επιλογές

Επιλογή	Περιγραφή
--details, --no-details	Ερώτηση του πραγματικού ονόματος και του ρόλου του χρήστη

Παράδειγμα

$ nitropy nethsm --host $NETHSM_HOST list-users

Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Οι χρήστες εντός ενός Namespace μπορούν να βλέπουν μόνο τους χρήστες του ίδιου Namespace.

Κωδικός πρόσβασης χρήστη

Η συνθηματική φράση ενός λογαριασμού χρήστη μπορεί να επαναφερθεί. Η συνθηματική φράση ορίζεται αρχικά κατά την προσθήκη ενός λογαριασμού χρήστη.

Σημείωση

Οι φράσεις πρόσβασης πρέπει να έχουν >= 10 και <= 200 χαρακτήρες.

Η συνθηματική φράση χρήστη μπορεί να οριστεί ως εξής.

nitropyREST API

Απαιτούμενες επιλογές

Επιλογή	Περιγραφή
-u, --user-id TEXT	Το αναγνωριστικό χρήστη του χρήστη
-p, --passphrase TEXT	Η νέα συνθηματική φράση του χρήστη

Παράδειγμα

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1

Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Χώροι ονομάτων

Similarly to the concept of partitions, NetHSM supports the more flexible Namespaces which group keys, administrators, and users on a NetHSM into separate subsets. Users can only see and use keys in the same Namespace and can only see users in the same Namespace. It is not possible to see users and to see and use keys of other Namespaces. When a new user is created, it inherits the Namespace of the user that created it. The available storage capacity is shared between all Namespaces. An practically unlimited amount of Namespaces can be used without requiring additional licenses.

Οι χώροι ονομάτων εισήχθησαν στην έκδοση λογισμικού 2.0. Κατά τη μετάβαση από μια προηγούμενη έκδοση του λογισμικού, όλοι οι υπάρχοντες χρήστες και κλειδιά θα είναι χωρίς χώρο ονομάτων.

Οι χρήστες με τον ρόλο Διαχειριστής ` <administration#roles>`__ αναφέρονται επίσης ως R-Διαχειριστής εάν δεν βρίσκονται σε χώρο ονομάτων ή N-Διαχειριστής εάν βρίσκονται σε χώρο ονομάτων.

Ειδικοί κανόνες ισχύουν για τους χρήστες R-Administrator: Μπορούν να ορίσουν το Namespace για νέους χρήστες, να καταχωρήσουν όλους τους χρήστες και να αναζητήσουν το Namespace ενός χρήστη. Επίσης, η διαμόρφωση του NetHSM μπορεί να προσπελαστεί μόνο από τους χρήστες R-Administrator. Οι R-Administrators δεν μπορούν να δουν τα κλειδιά σε ένα Namespace.

Για να είναι δυνατή η δημιουργία κλειδιών και χρηστών σε ένα Namespace, το Namespace πρέπει να δημιουργηθεί από έναν χρήστη R-Administrator. Μόλις δημιουργηθεί το Namespace, οι χρήστες R-Administrator δεν μπορούν πλέον να δημιουργούν, να διαγράφουν ή να τροποποιούν χρήστες στο συγκεκριμένο Namespace. Αυτό επιτρέπει την προστασία των κλειδιών των Namespaces από την πρόσβαση του R-Administrator (επίσης έμμεσα με την προσθήκη ενός νέου χρήστη για λογαριασμό του ή την επαναφορά των διαπιστευτηρίων του υπάρχοντος χρήστη ή του διαχειριστή). Ως εκ τούτου, είναι απαραίτητο να δημιουργηθεί ένας χρήστης N-Administrator για το Namespace πριν από τη δημιουργία του Namespace. Οι χρήστες R-Administrator μπορούν επίσης να διαγράψουν ένα Namespace με όλα τα περιεχόμενα κλειδιά.

Λίστα χώρων ονομάτων

Κατάλογος των χώρων ονομάτων στο NetHSM.

Ο κατάλογος μπορεί να ανακτηθεί ως εξής.

nitropyREST API

Παράδειγμα

$ nitropy nethsm --host $NETHSM_HOST list-namespaces

Namespaces on NetHSM localhost:8843:
- ns1
- ns2

Προσθήκη χώρου ονομάτων

Προσθέστε έναν χώρο ονομάτων στο NetHSM.

Οι χρήστες R-Administrator μπορούν ήδη να δημιουργήσουν νέους λογαριασμούς στο χώρο ονομάτων πριν από τη δημιουργία του. Μετά τη δημιουργία, μόνο οι χρήστες N-Administrator μπορούν να διαχειριστούν τους χρήστες στο Namespace. Η δημιουργία και η χρήση κλειδιών στο Namespace είναι δυνατή μόνο μετά την προσθήκη του.

Σημείωση

Το αναγνωριστικό χώρου ονομάτων πρέπει να είναι αλφαριθμητικό. Το NetHSM εκχωρεί ένα τυχαίο αναγνωριστικό χρήστη εάν δεν έχει καθοριστεί.

Ένας χώρος ονομάτων μπορεί να προστεθεί ως εξής.

nitropyREST API

Επιχειρήματα

Επιχειρήματα		Περιγραφή
NAMESPACE | Το νέο Namespace.

Παράδειγμα

$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1

Namespace ns1 added to NetHSM localhost:8443

Διαγραφή χώρου ονομάτων

Διαγραφή ενός χώρου ονομάτων από το NetHSM.

Η διαγραφή ενός Namespace διαγράφει επίσης όλα τα κλειδιά αυτού του Namespace. Οι υπόλοιποι χρήστες του Namespace δεν μπορούν να προσθέσουν κλειδιά μέχρι να προστεθεί ξανά το Namespace.

Ένα Namespace μπορεί να διαγραφεί ως εξής.

nitropyREST API

Επιχειρήματα

Επιχειρήματα	Περιγραφή
NAMESPACE	Το Namespace που θα διαγραφεί.

Παράδειγμα

$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1

Namespace ns1 deleted on NetHSM localhost:8443

Ετικέτες για χρήστες

Οι ετικέτες μπορούν να χρησιμοποιηθούν για τον καθορισμό λεπτομερών περιορισμών πρόσβασης σε κλειδιά και αποτελούν προαιρετική λειτουργία. Μία ή περισσότερες ετικέτες ** μπορούν να εκχωρηθούν σε λογαριασμούς χρηστών με το ρόλο Χειριστής μόνο. Οι Χειριστές μπορούν να βλέπουν όλα τα κλειδιά, αλλά να χρησιμοποιούν μόνο εκείνα με τουλάχιστον μία αντίστοιχη ετικέτα ** . Ένα κλειδί δεν μπορεί να τροποποιηθεί από έναν χρήστη Operator.

Για να μάθετε πώς να χρησιμοποιείτε τις ετικέτες ** σε κλειδιά, ανατρέξτε στην ενότητα Ετικέτες για κλειδιά.

Μια ετικέτα ** μπορεί να προστεθεί ως εξής.

nitropyREST API

Επιχειρήματα

Επιχειρήματα	Περιγραφή
USER_ID	Το αναγνωριστικό χρήστη για το οποίο θα οριστεί η ετικέτα.
TAG	Η ετικέτα που πρέπει να οριστεί στο αναγνωριστικό χρήστη.

Παράδειγμα

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin

Added tag berlin for user operator1 on the NetHSM localhost:8443

Η ετικέτα Tag μπορεί να διαγραφεί ως εξής.

nitropyREST API

Επιχειρήματα

Επιχειρήματα	Περιγραφή
USER_ID	Το αναγνωριστικό χρήστη για το οποίο θα οριστεί η ετικέτα.
TAG	Η ετικέτα που πρέπει να οριστεί στο αναγνωριστικό χρήστη.

Παράδειγμα

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin

Deleted tag berlin for user operator1 on the NetHSM localhost:8443