Administración#

Este capítulo describe las tareas administrativas para los usuarios con el rol Administrador. Consulte el capítulo Roles para obtener más información sobre el rol.

Importante

Por favor, asegúrese de leer la información del principio de este documento antes de empezar a trabajar.

Gestión del sistema#

Información sobre el dispositivo#

La información sobre el proveedor y el producto de un NetHSM puede recuperarse como sigue.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST info
Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Modo de arranque#

NetHSM puede utilizarse en modo Attended Boot y en modo Unattended Boot.

Modo de arranque

Descripción

Attended Boot

Es necesario introducir la Frase de acceso de desbloqueo durante cada inicio, que se utiliza para descifrar los Datos del usuario. Por razones de seguridad, se recomienda este modo.

Botón desatendido

No se requiere una Frase de paso de desbloqueo, por lo que el NetHSM puede arrancar sin supervisión. Utilice este modo si sus requisitos de disponibilidad no pueden cumplirse con el modo Attended Boot.

El modo de arranque actual se puede recuperar de la siguiente manera.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
   Unattended boot: off

El modo de arranque se puede cambiar de la siguiente manera.

Argumentos

Argumento

Descripción

Estatus

Habilitar o deshabilitar el Arranque desatendido. Puede tener el valor on o off.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443

Estado#

El software NetHSM tiene cuatro estados: Desaprovisionado, Aprovisionado, Bloqueado y Operativo.

Estado

Descripción

Sin aprovisionamiento

NetHSM sin configuración (por defecto)

Preparado

NetHSM con configuración. El estado Provisioned implica el estado Operational o Locked.

Operativo

NetHSM con configuración y listo para ejecutar comandos. El estado Operativo implica el estado Aprovisionado.

Bloqueado

NetHSM con configuración pero protegido (requiere desbloqueo). El estado Operativo implica el estado Provisionado.

Estados y transiciones de la NetHSM

Estados y transiciones de la NetHSM#


El estado actual del NetHSM se puede recuperar de la siguiente manera.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned

Un nuevo NetHSM tiene un estado Desaprovisionado y tras el aprovisionamiento entra en el estado Operativo. El aprovisionamiento de una NetHSM se describe en el capítulo Provisionamiento.

Un NetHSM en estado Operativo puede bloquearse de nuevo para protegerlo de la siguiente manera.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked

Un NetHSM en estado Bloqueado puede ser desbloqueado de la siguiente manera.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked

Desbloquear frase de acceso#

La Frase de contraseña de desbloqueo se utiliza para obtener una Clave de desbloqueo si el NetHSM está en estado Bloqueado. La frase de contraseña se establece inicialmente durante el aprovisionamiento del NetHSM.

La Frase de acceso de desbloqueo se puede configurar de la siguiente manera.

Opciones

Opción

Descripción

-p, --passphrase TEXT.

La nueva frase de desbloqueo

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
Passphrase:
Repeat for confirmation:
Updated the unlock passphrase for localhost:8443

Certificado TLS#

El certificado TLS se utiliza para la API REST basada en HTTPS, y por lo tanto también es utilizado por nitropy. Durante el aprovisionamiento se crea un certificado autofirmado. El certificado puede ser sustituido, por ejemplo, por un certificado firmado de una autoridad de certificación (CA). En este caso debe generarse una solicitud de firma de certificado (CSR). Una vez firmado, el certificado debe importarse al NetHSM.

Un cambio sólo es necesario cuando se va a sustituir el certificado. Dicho cambio puede consistir en sustituirlo por un certificado firmado por una autoridad de certificación (CA).

El certificado TLS se puede recuperar de la siguiente manera.

Opciones requeridas

Opción

Descripción

-a, --api

Establecer el certificado para la interfaz TLS de NetHSM

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----

El certificado TLS se puede generar de la siguiente manera.

Opciones requeridas

Opción

Descripción

-t, --type [RSA|Curve25519|EC_P224|EC_P256|EC_P384|EC_P521]

El tipo de la clave generada

-l, --length INTEGER

La longitud de la clave generada

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443

La solicitud de firma de certificado (CSR) para el certificado se puede generar de la siguiente manera.

Opciones requeridas

Opción

Descripción

-a, --api

Generar una CSR para el certificado TLS de NetHSM

--country TEXT

El nombre del país

--state-or-province TEXT

El nombre del estado o de la provincia

--locality TEXT

El nombre de la localidad

--organization TEXT

El nombre de la organización

--organizational-unit TEXT

El nombre de la unidad de organización

--common-name TEXT

El nombre común

--email-address TEXT

La dirección de correo electrónico

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----

El certificado puede ser sustituido de la siguiente manera.

Opciones requeridas

Opción

Descripción

-a, --api

Establecer el certificado para la interfaz TLS de NetHSM

Argumentos

Argumento

Descripción

FILENAME

Archivo de certificados

Ejemplo

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Red#

La configuración de red define los ajustes utilizados para el Puerto de red.

Nota

Estos ajustes no configuran el Puerto de red BMC.

La configuración de la red se puede recuperar de la siguiente manera.

Opciones requeridas

Opción

Descripción

--network

Consultar la configuración de la red

Ejemplo

$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Establezca la configuración de la red como sigue.

Nota

El NetHSM no soporta DHCP (Dynamic Host Configuration Protocol).

Nota

El NetHSM no soporta IPv6 (Protocolo de Internet versión 6).

Opciones requeridas

Opción

Descripción

-a, --ip-address

La nueva dirección IP

-n, --netmask

La nueva máscara de red

-n, --netmask

La nueva pasarela

Ejemplo

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443

Tiempo#

La configuración de la hora establece la hora del sistema del software NetHSM. Normalmente no es necesario configurar la hora del sistema, ya que se establece durante el aprovisionamiento.

La configuración de la hora se puede recuperar de la siguiente manera.

Opciones requeridas

Opción

Descripción

--time

Consultar la hora del sistema

Ejemplo

$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Ajuste la hora del NetHSM.

Importante

Asegúrese de pasar la hora en la zona horaria UTC.

Argumentos

Argumento

Descripción

time

La hora del sistema que se va a establecer (Formato: AAAA-MM-DDTHH:MM:SSZ)

Ejemplo

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443

Métrica#

El NetHSM registra las métricas de los parámetros del sistema.

Nota

Este comando requiere la autenticación de un usuario con el rol Metrics. Consulte el capítulo Roles para obtener más información sobre el rol.

Las métricas se pueden recuperar de la siguiente manera.

Ejemplo

$ nitropy nethsm -h $NETHSM_HOST metrics
Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Registro#

El NetHSM puede registrar los eventos del sistema en el puerto serie o en un servidor syslog de la red.

La consola en serie funciona desde el inicio del hardware NetHSM. Incluye eventos del firmware de NetHSM y del software de NetHSM.

La configuración de la conexión de la consola serie es la siguiente.

Configurar

Valor

Velocidad en baudios

115200

Bits de datos

8

Bits de parada

1

Paridad

Ninguno

Control de flujo

Ninguno

La configuración del servidor syslog se puede recuperar de la siguiente manera.

Opciones requeridas

Opción

Descripción

--network

Consultar la configuración del registro

Ejemplo

$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

La configuración del servidor syslog puede establecerse de la siguiente manera.

Opciones requeridas

Opción

Descripción

-p, --passphrase TEXT.

La dirección IP del nuevo destino de registro

-p, --port INTEGER

El puerto del nuevo destino de registro

-l, --log-level [debug|info|warning|error].

El nuevo nivel de registro

Ejemplo

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443

Copia de seguridad#

Los Datos de Usuario de NetHSM pueden guardarse en un archivo de copia de seguridad. Este archivo de copia de seguridad contiene todos los Datos de usuario, a saber, Almacén de configuración, Almacén de autenticación, Almacén de claves de dominio y Almacén de claves.

Importante

Un software de sistema NetHSM en el modo Unattended Boot requerirá la Unlock Passphrase si se restaura en un hardware NetHSM diferente. Consulte el capítulo Desbloquear frase de contraseña para obtener más información.

Importante

Un NetHSM en el modo de Botón Desatendido estará en el mismo modo después de una restauración.

Antes de iniciar una copia de seguridad, debe establecerse la Frase de acceso a la copia de seguridad. La Frase de acceso a la copia de seguridad se utiliza para cifrar los datos del archivo de copia de seguridad.

La frase de contraseña de respaldo se puede establecer de la siguiente manera.

Opciones

Opción

Descripción

-p, --passphrase TEXT.

La nueva frase de paso de la copia de seguridad

Ejemplo

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
Passphrase:
Repeat for confirmation:
Updated the backup passphrase for NetHSM localhost:8443

Nota

Este comando requiere la autenticación de un usuario con el rol Backup. Consulte el capítulo Roles para obtener más información.

La copia de seguridad se puede ejecutar de la siguiente manera.

Argumentos

Argumento

Descripción

FILENAME

Archivo de copia de seguridad

Ejemplo

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup

Nota

Este archivo de copia de seguridad puede restaurarse en una instancia de NetHSM no aprovisionada:

Restaurar#

El NetHSM puede restaurarse a partir de un archivo de copia de seguridad.

Nota

El NetHSM debe estar en un Estado sin aprovisionar.

La restauración puede aplicarse de la siguiente manera.

Opciones opcionales

Opción

Descripción

-p, --backup-passphrase passphrase.

La frase de acceso a la copia de seguridad.

-t, --system-time

La hora del sistema a establecer (Formato: YYYY-MM-DDTHH:MM:SSZ)

Importante

Asegúrese de que la hora de su ordenador local está correctamente ajustada. Para establecer una hora diferente, proporciónela manualmente.

Argumentos

Argumento

Descripción

FILENAME | Restaurar archivo

Ejemplo

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443

Actualización#

Las actualizaciones para el NetHSM pueden instalarse en un proceso de dos pasos. En primer lugar, hay que cargar la imagen de actualización en el NetHSM. La imagen se comprueba y valida automáticamente.

Advertencia

Se puede producir una pérdida de datos debido a la instalación de una actualización beta.

El archivo de actualización se puede cargar de la siguiente manera.

Argumentos

Argumento

Descripción

FILENAME

Actualizar el archivo

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.cpio
Image /tmp/nethsm-update.img.cpio uploaded to NetHSM localhost:8443

Después se puede aplicar o abortar la actualización. Consulte la opción deseada a continuación.

La actualización puede aplicarse (confirmarse) de la siguiente manera.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443

La actualización se puede cancelar de la siguiente manera.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443

Reinicio y apagado#

El NetHSM puede reiniciarse y apagarse, ya sea de forma remota o con el botón de reinicio y apagado situado en la parte frontal del hardware del NetHSM.

El reinicio remoto puede iniciarse de la siguiente manera.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

La desconexión remota puede iniciarse de la siguiente manera.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Restablecer los valores de fábrica#

El NetHSM puede restablecer los valores de fábrica. Durante este proceso se borran todos los datos del usuario.

El restablecimiento de los valores de fábrica se puede realizar de la siguiente manera.

Ejemplo

$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Gestión de usuarios#

Roles#

El NetHSM permite la separación de funciones mediante el uso de diferentes roles. Cada cuenta de usuario configurada en el NetHSM tiene uno de los siguientes Roles asignados.

Papel

Descripción

Administrador

Una cuenta de usuario con este rol tiene acceso a todas las operaciones proporcionadas por el NetHSM, excepto a las operaciones de uso de claves, es decir, la firma y descifrado de mensajes.

Operador

R-Operador: Una cuenta de usuario con este rol tiene acceso a todas las operaciones de uso de claves, a un subconjunto de operaciones de gestión de claves de sólo lectura y a operaciones de gestión de usuarios que sólo permiten cambios en su propia cuenta.

Métrica

Una cuenta de usuario con este rol tiene acceso sólo a operaciones de lectura de métricas.

Backup

Una cuenta de usuario con este rol sólo tiene acceso a las operaciones necesarias para iniciar una copia de seguridad del sistema.

Nota

En una futura versión, es posible que se introduzcan Roles adicionales.

Añadir usuario#

Añada una cuenta de usuario al NetHSM. Cada cuenta de usuario tiene un Role, que debe ser especificado. Consulte el capítulo Roles para obtener más información sobre los Roles.

Nota

El NetHSM asigna un ID de usuario aleatorio si no se especifica ninguno.

Se puede añadir una cuenta de usuario de la siguiente manera.

Opciones requeridas

Opción

Descripción

-n, --real-name TEXT.

El nombre real del usuario

-r, --role [Administrator|Operator|Metrics|Backup].

El Role del nuevo usuario

-p, --passphrase TEXT.

La frase de contraseña del nuevo usuario

Opciones

Opción

Descripción

-u, --user-id TEXT.

El ID de usuario del nuevo usuario

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Borrar usuario#

Eliminar una cuenta de usuario del NetHSM.

Advertencia

El borrado es permanente y no se puede revertir.

Una cuenta de usuario puede ser eliminada de la siguiente manera.

Argumentos

Argumento

Descripción

USER_ID

La identificación del usuario.

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443

Lista de usuarios#

Enumerar los usuarios en el NetHSM.

La lista se puede recuperar de la siguiente manera.

Opciones

Opción

Descripción

--details, --no-details

Consultar el nombre real y el rol del usuario

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Frase de acceso del usuario#

La frase de contraseña de una cuenta de usuario puede restablecerse. La frase de contraseña se establece inicialmente durante la adición de una cuenta de usuario.

Nota

Las frases de paso deben tener >= 10 y <= 200 caracteres.

La frase de contraseña del usuario se puede establecer de la siguiente manera.

Opciones requeridas

Opción

Descripción

-u, --user-id TEXT.

El ID del usuario

-p, --passphrase TEXT.

La nueva frase de acceso del usuario

Ejemplo

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Etiquetas para los usuarios#

Las Etiquetas pueden utilizarse para establecer restricciones de acceso a las claves, y son una característica opcional. Sólo pueden asignarse a cuentas de usuario con el rol de Operador. Los Operadores pueden ver todas las claves, pero sólo utilizan las que tienen al menos una Etiqueta correspondiente. Una clave no puede ser modificada por un usuario Operador.

Para saber cómo utilizar las Etiquetas en las llaves, consulte Etiquetas para las llaves.

La Etiqueta se puede añadir de la siguiente manera.

Argumentos

Argumento

Descripción

USER_ID

El ID de usuario en el que se va a fijar la etiqueta.

TAG

La etiqueta a establecer en el ID de usuario.

Ejemplo

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin
Added tag berlin for user operator1 on the NetHSM localhost:8443

La Etiqueta se puede eliminar de la siguiente manera.

Argumentos

Argumento

Descripción

USER_ID

El ID de usuario en el que se va a fijar la etiqueta.

TAG

La etiqueta a establecer en el ID de usuario.

Ejemplo

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin
Deleted tag berlin for user operator1 on the NetHSM localhost:8443