Administración#
Este capítulo describe las tareas administrativas para los usuarios con el rol Administrador. Consulte el capítulo Roles para obtener más información sobre el rol.
Importante
Por favor, asegúrese de leer la información del principio de este documento antes de empezar a trabajar.
Gestión del sistema#
Información sobre el dispositivo#
La información sobre el proveedor y el producto de un NetHSM puede recuperarse como sigue.
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST info
Host: localhost:8443
Vendor: Nitrokey GmbH
Product: NetHSM
Se puede encontrar información sobre el punto final /info en la documentación de la API.
Modo de arranque#
NetHSM puede utilizarse en modo Attended Boot y en modo Unattended Boot.
Modo de arranque |
Descripción |
|---|---|
Attended Boot |
Es necesario introducir la Frase de acceso de desbloqueo durante cada inicio, que se utiliza para descifrar los Datos del usuario. Por razones de seguridad, se recomienda este modo. |
Botón desatendido |
No se requiere una Frase de paso de desbloqueo, por lo que el NetHSM puede arrancar sin supervisión. Utilice este modo si sus requisitos de disponibilidad no pueden cumplirse con el modo Attended Boot. |
El modo de arranque actual se puede recuperar de la siguiente manera.
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
Unattended boot: off
La información sobre el punto final /config/unattended-boot se puede encontrar en la documentación de la API.
El modo de arranque se puede cambiar de la siguiente manera.
Argumentos
Argumento |
Descripción |
|---|---|
Estatus |
Habilitar o deshabilitar el Arranque desatendido. Puede tener el valor |
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443
La información sobre el punto final /config/unattended-boot se puede encontrar en la documentación de la API.
Estado#
El software NetHSM tiene cuatro estados: Desaprovisionado, Aprovisionado, Bloqueado y Operativo.
Estado |
Descripción |
|---|---|
Sin aprovisionamiento |
NetHSM sin configuración (por defecto) |
Preparado |
NetHSM con configuración. El estado Provisioned implica el estado Operational o Locked. |
Operativo |
NetHSM con configuración y listo para ejecutar comandos. El estado Operativo implica el estado Aprovisionado. |
Bloqueado |
NetHSM con configuración pero protegido (requiere desbloqueo). El estado Operativo implica el estado Provisionado. |
Estados y transiciones de la NetHSM#
El estado actual del NetHSM se puede recuperar de la siguiente manera.
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned
La información sobre el punto final /health/state se puede encontrar en la documentación de la API.
Un nuevo NetHSM tiene un estado Desaprovisionado y tras el aprovisionamiento entra en el estado Operativo. El aprovisionamiento de una NetHSM se describe en el capítulo Provisionamiento.
Un NetHSM en estado Operativo puede bloquearse de nuevo para protegerlo de la siguiente manera.
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked
Se puede encontrar información sobre el punto final /lock en la documentación de la API.
Un NetHSM en estado Bloqueado puede ser desbloqueado de la siguiente manera.
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked
Se puede encontrar información sobre el punto final /unlock en la documentación de la API.
Desbloquear frase de acceso#
La Frase de contraseña de desbloqueo se utiliza para obtener una Clave de desbloqueo si el NetHSM está en estado Bloqueado. La frase de contraseña se establece inicialmente durante el aprovisionamiento del NetHSM.
La Frase de acceso de desbloqueo se puede configurar de la siguiente manera.
Opciones
Opción |
Descripción |
|---|---|
|
La nueva frase de desbloqueo |
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
Passphrase:
Repeat for confirmation:
Updated the unlock passphrase for localhost:8443
Puede encontrar información sobre el punto final /config/unlock-passphrase en la documentación de la API.
Certificado TLS#
El certificado TLS se utiliza para la API REST basada en HTTPS, y por lo tanto también es utilizado por nitropy. Durante el aprovisionamiento se crea un certificado autofirmado. El certificado puede ser sustituido, por ejemplo, por un certificado firmado de una autoridad de certificación (CA). En este caso debe generarse una solicitud de firma de certificado (CSR). Una vez firmado, el certificado debe importarse al NetHSM.
Un cambio sólo es necesario cuando se va a sustituir el certificado. Dicho cambio puede consistir en sustituirlo por un certificado firmado por una autoridad de certificación (CA).
El certificado TLS se puede recuperar de la siguiente manera.
Opciones requeridas
Opción |
Descripción |
|---|---|
|
Establecer el certificado para la interfaz TLS de NetHSM |
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----
La información sobre el punto final /config/tls/cert.pem se puede encontrar en la documentación de la API.
El certificado TLS se puede generar de la siguiente manera.
Opciones requeridas
Opción |
Descripción |
|---|---|
|
El tipo de la clave generada |
|
La longitud de la clave generada |
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443
La información sobre el punto final /config/tls/generate se puede encontrar en la documentación de la API.
La solicitud de firma de certificado (CSR) para el certificado se puede generar de la siguiente manera.
Opciones requeridas
Opción |
Descripción |
|---|---|
|
Generar una CSR para el certificado TLS de NetHSM |
|
El nombre del país |
|
El nombre del estado o de la provincia |
|
El nombre de la localidad |
|
El nombre de la organización |
|
El nombre de la unidad de organización |
|
El nombre común |
|
La dirección de correo electrónico |
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----
La información sobre el punto final /config/tls/csr.pem se puede encontrar en la documentación de la API.
El certificado puede ser sustituido de la siguiente manera.
Opciones requeridas
Opción |
Descripción |
|---|---|
|
Establecer el certificado para la interfaz TLS de NetHSM |
Argumentos
Argumento |
Descripción |
|---|---|
|
Archivo de certificados |
Ejemplo
nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate
La información sobre el punto final /config/tls/csr.pem se puede encontrar en la documentación de la API.
Red#
La configuración de red define los ajustes utilizados para el Puerto de red.
Nota
Estos ajustes no configuran el Puerto de red BMC.
La configuración de la red se puede recuperar de la siguiente manera.
Opciones requeridas
Opción |
Descripción |
|---|---|
|
Consultar la configuración de la red |
Ejemplo
$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
IP address: 192.168.1.1
Netmask: 255.255.255.0
Gateway: 0.0.0.0
La información sobre el punto final /config/network se puede encontrar en la documentación de la API.
Establezca la configuración de la red como sigue.
Nota
El NetHSM no soporta DHCP (Dynamic Host Configuration Protocol).
Nota
El NetHSM no soporta IPv6 (Protocolo de Internet versión 6).
Opciones requeridas
Opción |
Descripción |
|---|---|
|
La nueva dirección IP |
|
La nueva máscara de red |
|
La nueva pasarela |
Ejemplo
$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443
La información sobre el punto final /config/network se puede encontrar en la documentación de la API.
Tiempo#
La configuración de la hora establece la hora del sistema del software NetHSM. Normalmente no es necesario configurar la hora del sistema, ya que se establece durante el aprovisionamiento.
La configuración de la hora se puede recuperar de la siguiente manera.
Opciones requeridas
Opción |
Descripción |
|---|---|
|
Consultar la hora del sistema |
Ejemplo
$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time: 2022-08-17 11:40:00+00:00
Se puede encontrar información sobre el punto final /config/time en la documentación de la API.
Ajuste la hora del NetHSM.
Importante
Asegúrese de pasar la hora en la zona horaria UTC.
Argumentos
Argumento |
Descripción |
|---|---|
|
La hora del sistema que se va a establecer (Formato: AAAA-MM-DDTHH:MM:SSZ) |
Ejemplo
$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443
Se puede encontrar información sobre el punto final /config/time en la documentación de la API.
Métrica#
El NetHSM registra las métricas de los parámetros del sistema.
Nota
Este comando requiere la autenticación de un usuario con el rol Metrics. Consulte el capítulo Roles para obtener más información sobre el rol.
Las métricas se pueden recuperar de la siguiente manera.
Ejemplo
$ nitropy nethsm -h $NETHSM_HOST metrics
Metric Value
---------------------------- --------
client connections 0
established state 6
external.received bytes 989931
external.received packets 13239
external.transmitted bytes 25908953
external.transmitted packets 22037
free chunk count 322
gc compactions 0
gc major bytes 21348352
gc major collections 35
gc minor collections 2652
http response 200 28
http response 201 1
http response 204 1
http response 400 1
http response 403 1
http response 404 145
http response 412 1
http response time 0.084998
http response total 178
internal.received bytes 66541
internal.received packets 1130
internal.transmitted bytes 63802
internal.transmitted packets 1133
kv write 2
log errors 3
log warnings 3
maximum allocated space 64528384
maximum releasable bytes 1216
mmapped region count 0
new sleeper size 1
non-mmapped allocated bytes 64528384
sleep queue size 11
syn-rcvd state 0
timers 2
total allocated space 43940832
total client 1
total established 515
total free space 20587552
total sleeper size 12
total syn-rcvd 514
total timers 526
uptime 17626
La información sobre el punto final /metrics se puede encontrar en la documentación de la API.
Registro#
El NetHSM puede registrar los eventos del sistema en el puerto serie o en un servidor syslog de la red.
La consola en serie funciona desde el inicio del hardware NetHSM. Incluye eventos del firmware de NetHSM y del software de NetHSM.
La configuración de la conexión de la consola serie es la siguiente.
Configurar |
Valor |
|---|---|
Velocidad en baudios |
115200 |
Bits de datos |
8 |
Bits de parada |
1 |
Paridad |
Ninguno |
Control de flujo |
Ninguno |
La configuración del servidor syslog se puede recuperar de la siguiente manera.
Opciones requeridas
Opción |
Descripción |
|---|---|
|
Consultar la configuración del registro |
Ejemplo
$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
IP address: 0.0.0.0
Port: 514
Log level: info
Se puede encontrar información sobre el punto final /config/logging en la documentación de la API.
La configuración del servidor syslog puede establecerse de la siguiente manera.
Opciones requeridas
Opción |
Descripción |
|---|---|
|
La dirección IP del nuevo destino de registro |
|
El puerto del nuevo destino de registro |
|
El nuevo nivel de registro |
Ejemplo
$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443
Se puede encontrar información sobre el punto final /config/logging en la documentación de la API.
Copia de seguridad#
Los Datos de Usuario de NetHSM pueden guardarse en un archivo de copia de seguridad. Este archivo de copia de seguridad contiene todos los Datos de usuario, a saber, Almacén de configuración, Almacén de autenticación, Almacén de claves de dominio y Almacén de claves.
Importante
Un software de sistema NetHSM en el modo Unattended Boot requerirá la Unlock Passphrase si se restaura en un hardware NetHSM diferente. Consulte el capítulo Desbloquear frase de contraseña para obtener más información.
Importante
Un NetHSM en el modo de Botón Desatendido estará en el mismo modo después de una restauración.
Antes de iniciar una copia de seguridad, debe establecerse la Frase de acceso a la copia de seguridad. La Frase de acceso a la copia de seguridad se utiliza para cifrar los datos del archivo de copia de seguridad.
La frase de contraseña de respaldo se puede establecer de la siguiente manera.
Opciones
Opción |
Descripción |
|---|---|
|
La nueva frase de paso de la copia de seguridad |
Ejemplo
$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
Passphrase:
Repeat for confirmation:
Updated the backup passphrase for NetHSM localhost:8443
Puede encontrar información sobre el punto final /config/backup-passphrase en la documentación de la API.
Nota
Este comando requiere la autenticación de un usuario con el rol Backup. Consulte el capítulo Roles para obtener más información.
La copia de seguridad se puede ejecutar de la siguiente manera.
Argumentos
Argumento |
Descripción |
|---|---|
|
Archivo de copia de seguridad |
Ejemplo
$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup
La información sobre el punto final /system/backup se puede encontrar en la documentación de la API.
Nota
Este archivo de copia de seguridad puede restaurarse en una instancia de NetHSM no aprovisionada:
Restaurar#
El NetHSM puede restaurarse a partir de un archivo de copia de seguridad.
Nota
El NetHSM debe estar en un Estado sin aprovisionar.
La restauración puede aplicarse de la siguiente manera.
Opciones opcionales
Opción |
Descripción |
|---|---|
|
La frase de acceso a la copia de seguridad. |
|
La hora del sistema a establecer (Formato: |
Importante
Asegúrese de que la hora de su ordenador local está correctamente ajustada. Para establecer una hora diferente, proporciónela manualmente.
Argumentos
Argumento |
Descripción |
|
|---|---|---|
|
||
Ejemplo
$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443
Se puede encontrar información sobre el punto final /system/restore en la documentación de la API.
Actualización#
Las actualizaciones para el NetHSM pueden instalarse en un proceso de dos pasos. En primer lugar, hay que cargar la imagen de actualización en el NetHSM. La imagen se comprueba y valida automáticamente.
Advertencia
Se puede producir una pérdida de datos debido a la instalación de una actualización beta.
El archivo de actualización se puede cargar de la siguiente manera.
Argumentos
Argumento |
Descripción |
|---|---|
|
Actualizar el archivo |
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.cpio
Image /tmp/nethsm-update.img.cpio uploaded to NetHSM localhost:8443
Se puede encontrar información sobre el punto final /system/update en la documentación de la API.
Después se puede aplicar o abortar la actualización. Consulte la opción deseada a continuación.
La actualización puede aplicarse (confirmarse) de la siguiente manera.
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443
Se puede encontrar información sobre el punto final /system/commit-update en la documentación de la API.
La actualización se puede cancelar de la siguiente manera.
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443
La información sobre el punto final /system/cancel-update se puede encontrar en la documentación de la API.
Reinicio y apagado#
El NetHSM puede reiniciarse y apagarse, ya sea de forma remota o con el botón de reinicio y apagado situado en la parte frontal del hardware del NetHSM.
El reinicio remoto puede iniciarse de la siguiente manera.
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot
Se puede encontrar información sobre el punto final /system/reboot en la documentación de la API.
La desconexión remota puede iniciarse de la siguiente manera.
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown
Se puede encontrar información sobre el punto final /system/shutdown en la documentación de la API.
Restablecer los valores de fábrica#
El NetHSM puede restablecer los valores de fábrica. Durante este proceso se borran todos los datos del usuario.
El restablecimiento de los valores de fábrica se puede realizar de la siguiente manera.
Ejemplo
$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset
Se puede encontrar información sobre el punto final /system/factory-reset en la documentación de la API.
Gestión de usuarios#
Roles#
El NetHSM permite la separación de funciones mediante el uso de diferentes roles. Cada cuenta de usuario configurada en el NetHSM tiene uno de los siguientes Roles asignados.
Papel |
Descripción |
|---|---|
Administrador |
Una cuenta de usuario con este rol tiene acceso a todas las operaciones proporcionadas por el NetHSM, excepto a las operaciones de uso de claves, es decir, la firma y descifrado de mensajes. |
Operador |
R-Operador: Una cuenta de usuario con este rol tiene acceso a todas las operaciones de uso de claves, a un subconjunto de operaciones de gestión de claves de sólo lectura y a operaciones de gestión de usuarios que sólo permiten cambios en su propia cuenta. |
Métrica |
Una cuenta de usuario con este rol tiene acceso sólo a operaciones de lectura de métricas. |
Backup |
Una cuenta de usuario con este rol sólo tiene acceso a las operaciones necesarias para iniciar una copia de seguridad del sistema. |
Nota
En una futura versión, es posible que se introduzcan Roles adicionales.
Añadir usuario#
Añada una cuenta de usuario al NetHSM. Cada cuenta de usuario tiene un Role, que debe ser especificado. Consulte el capítulo Roles para obtener más información sobre los Roles.
Nota
El NetHSM asigna un ID de usuario aleatorio si no se especifica ninguno.
Se puede añadir una cuenta de usuario de la siguiente manera.
Opciones requeridas
Opción |
Descripción |
|---|---|
|
El nombre real del usuario |
|
El Role del nuevo usuario |
|
La frase de contraseña del nuevo usuario |
Opciones
Opción |
Descripción |
|---|---|
|
El ID de usuario del nuevo usuario |
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443
La información sobre el endpoint /users, para crear un usuario sin especificar el ID de usuario, se puede encontrar en la documentación de la API.
La información sobre el punto final /users/{UserID}, para crear un usuario especificando el ID de usuario, se puede encontrar en la documentación de la API.
Borrar usuario#
Eliminar una cuenta de usuario del NetHSM.
Advertencia
El borrado es permanente y no se puede revertir.
Una cuenta de usuario puede ser eliminada de la siguiente manera.
Argumentos
Argumento |
Descripción |
|---|---|
|
La identificación del usuario. |
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443
Se puede encontrar información sobre el punto final /users/{UserID} en la documentación de la API.
Lista de usuarios#
Enumerar los usuarios en el NetHSM.
La lista se puede recuperar de la siguiente manera.
Opciones
Opción |
Descripción |
|---|---|
|
Consultar el nombre real y el rol del usuario |
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:
User ID Real name Role
--------- ----------------- -------------
operator1 Nitrokey Operator Operator
admin admin Administrator
Se puede encontrar información sobre el punto final /users en la documentación de la API.
Se puede encontrar información sobre el punto final /users/{UserID} en la documentación de la API.
Frase de acceso del usuario#
La frase de contraseña de una cuenta de usuario puede restablecerse. La frase de contraseña se establece inicialmente durante la adición de una cuenta de usuario.
Nota
Las frases de paso deben tener >= 10 y <= 200 caracteres.
La frase de contraseña del usuario se puede establecer de la siguiente manera.
Opciones requeridas
Opción |
Descripción |
|---|---|
|
El ID del usuario |
|
La nueva frase de acceso del usuario |
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443
La información sobre el punto final /users/{UserID}/passphrase se puede encontrar en la documentación de la API.