Administración¶
Este capítulo describe las tareas administrativas para usuarios con el rol Administrador. Consulte el capítulo Roles para obtener más información sobre el rol.
Importante
Por favor, asegúrese de leer la información del principio de este documento antes de empezar a trabajar.
Gestión del sistema¶
Información sobre el dispositivo¶
La información sobre el proveedor y el producto de un NetHSM puede recuperarse como sigue.
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST info
Host: localhost:8443
Vendor: Nitrokey GmbH
Product: NetHSM
Se puede encontrar información sobre el punto final /info en la documentación de la API.
Modo de arranque¶
NetHSM puede utilizarse en modo Attended Boot y en modo Unattended Boot.
Modo de arranque |
Descripción |
|---|---|
Bota asistida |
El NetHSM arranca en estado _Bloqueado_. Es necesario introducir la frase de contraseña de desbloqueo ** durante cada arranque, que se utiliza para descifrar los datos de usuario ** . Por razones de seguridad, se recomienda este modo y es el modo por defecto para un sistema recién aprovisionado. |
Arranque desatendido |
El sistema arranca desatendido sin necesidad de introducir la Frase de contraseña de desbloqueo ** en estado _Operativo_. Utilice este modo si sus requisitos de disponibilidad no pueden cumplirse con el modo Arranque asistido. |
Advertencia
Independientemente del modo de arranque, la Unlock Passphrase conserva su validez y es necesaria para restaurar copias de seguridad en otro hardware. Mantenga la Unlock Passphrase segura en todo momento.
El modo de arranque actual se puede recuperar de la siguiente manera.
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
Unattended boot: off
La información sobre el punto final /config/unattended-boot se puede encontrar en la documentación de la API.
El modo de arranque se puede cambiar de la siguiente manera. En el siguiente arranque, el NetHSM se comportará en consecuencia.
Argumentos
Argumento |
Descripción |
|---|---|
Estatus |
Habilitar o deshabilitar el Arranque desatendido. Puede tener el valor |
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443
La información sobre el punto final /config/unattended-boot se puede encontrar en la documentación de la API.
Estado¶
El software NetHSM tiene cuatro estados: Desaprovisionado, Aprovisionado, Bloqueado y Operativo.
Estado |
Descripción |
|---|---|
Sin aprovisionamiento |
NetHSM sin configuración (por defecto) |
Preparado |
NetHSM con configuración. El estado Provisioned implica el estado Operational o Locked. |
Operativo |
NetHSM con configuración y listo para ejecutar comandos. El estado Operativo implica el estado Aprovisionado. |
Bloqueado |
NetHSM con configuración pero almacenes de datos encriptados e inaccesibles. Normalmente, el siguiente paso es desbloquear el sistema. El estado Locked implica el estado Provisioned. |
Estados y transiciones de la NetHSM¶
El estado actual del NetHSM se puede recuperar de la siguiente manera.
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned
La información sobre el punto final /health/state se puede encontrar en la documentación de la API.
Un NetHSM nuevo tiene un estado No aprovisionado y después del aprovisionamiento entra en el estado Operativo. El aprovisionamiento de un NetHSM se describe en el capítulo Aprovisionamiento.
Un NetHSM en estado Operativo puede bloquearse de nuevo para protegerlo de la siguiente manera.
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked
Se puede encontrar información sobre el punto final /lock en la documentación de la API.
Una NetHSM en estado Bloqueado puede desbloquearse del siguiente modo. Mientras el NetHSM está en estado _Bloqueado_ no es posible realizar ninguna otra operación. Después, el NetHSM se encuentra en estado _Operativo_.
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked
Se puede encontrar información sobre el punto final /unlock en la documentación de la API.
Desbloquear frase de acceso¶
La Frase de contraseña de desbloqueo se utiliza para obtener una Clave de desbloqueo si el NetHSM está en estado Bloqueado. La frase de contraseña se establece inicialmente durante el aprovisionamiento del NetHSM.
Advertencia
La frase de contraseña de desbloqueo no puede restablecerse sin conocer el valor actual. Si se pierde la frase de contraseña de desbloqueo, no se puede restablecer a un nuevo valor ni se puede desbloquear el NetHSM.
La Frase de acceso de desbloqueo se puede configurar de la siguiente manera.
Opciones
Opción |
Descripción |
|---|---|
|
La nueva frase de desbloqueo |
|
La frase de desbloqueo actual |
|
No pida confirmación antes de cambiar la frase de contraseña |
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443
Puede encontrar información sobre el punto final /config/unlock-passphrase en la documentación de la API.
Certificado TLS¶
El certificado TLS se utiliza para la API REST basada en HTTPS, y por lo tanto también es utilizado por nitropy. Durante el aprovisionamiento se crea un certificado autofirmado. El certificado puede ser sustituido, por ejemplo, por un certificado firmado de una autoridad de certificación (CA). En este caso debe generarse una solicitud de firma de certificado (CSR). Una vez firmado, el certificado debe importarse al NetHSM.
Un cambio sólo es necesario cuando se va a sustituir el certificado. Dicho cambio puede consistir en sustituirlo por un certificado firmado por una autoridad de certificación (CA).
El certificado TLS se puede recuperar de la siguiente manera.
Opciones requeridas
Opción |
Descripción |
|---|---|
|
Get the certificate for the NetHSM TLS interface |
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----
La información sobre el punto final /config/tls/cert.pem se puede encontrar en la documentación de la API.
El certificado TLS se puede generar de la siguiente manera.
Opciones requeridas
Opción |
Descripción |
|---|---|
|
El tipo de la clave generada |
|
La longitud de la clave generada |
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443
La información sobre el punto final /config/tls/generate se puede encontrar en la documentación de la API.
La solicitud de firma de certificado (CSR) para el certificado se puede generar de la siguiente manera.
Opciones requeridas
Opción |
Descripción |
|---|---|
|
Generar una CSR para el certificado TLS de NetHSM |
|
El nombre del país |
|
El nombre del estado o de la provincia |
|
El nombre de la localidad |
|
El nombre de la organización |
|
El nombre de la unidad de organización |
|
El nombre común |
|
La dirección de correo electrónico |
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----
La información sobre el punto final /config/tls/csr.pem se puede encontrar en la documentación de la API.
El certificado puede ser sustituido de la siguiente manera.
Opciones requeridas
Opción |
Descripción |
|---|---|
|
Establecer el certificado para la interfaz TLS de NetHSM |
Argumentos
Argumento |
Descripción |
|---|---|
|
Archivo de certificados |
Ejemplo
nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate
La información sobre el punto final /config/tls/csr.pem se puede encontrar en la documentación de la API.
Red¶
La configuración de red define los ajustes utilizados para el Puerto de red.
Nota
This settings do not configure the BMC Network Port on the NetHSM 1.
La configuración de la red se puede recuperar de la siguiente manera.
Opciones requeridas
Opción |
Descripción |
|---|---|
|
Consultar la configuración de la red |
Ejemplo
$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
IP address: 192.168.1.1
Netmask: 255.255.255.0
Gateway: 0.0.0.0
La información sobre el punto final /config/network se puede encontrar en la documentación de la API.
Establezca la configuración de la red como sigue.
Nota
El NetHSM no soporta DHCP (Dynamic Host Configuration Protocol).
Nota
El NetHSM no soporta IPv6 (Protocolo de Internet versión 6).
Opciones requeridas
Opción |
Descripción |
|---|---|
|
La nueva dirección IP |
|
La nueva máscara de red |
|
La nueva pasarela |
Ejemplo
$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443
La información sobre el punto final /config/network se puede encontrar en la documentación de la API.
Tiempo¶
La configuración de la hora establece la hora del sistema del software NetHSM. Normalmente no es necesario configurar la hora del sistema, ya que se establece durante el aprovisionamiento.
La configuración de la hora se puede recuperar de la siguiente manera.
Opciones requeridas
Opción |
Descripción |
|---|---|
|
Consultar la hora del sistema |
Ejemplo
$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time: 2022-08-17 11:40:00+00:00
Se puede encontrar información sobre el punto final /config/time en la documentación de la API.
Ajuste la hora del NetHSM.
Importante
Asegúrese de pasar la hora en la zona horaria UTC.
Argumentos
Argumento |
Descripción |
|---|---|
|
La hora del sistema que se va a establecer (Formato: AAAA-MM-DDTHH:MM:SSZ) |
Ejemplo
$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443
Se puede encontrar información sobre el punto final /config/time en la documentación de la API.
Métrica¶
El NetHSM registra las métricas de los parámetros del sistema. Consulte Metrics para obtener más información sobre cada métrica.
Las métricas se pueden recuperar de la siguiente manera.
Relación requerida
Esta operación requiere una autenticación con el rol Metrics.
Ejemplo
$ nitropy nethsm -h $NETHSM_HOST metrics
Metric Value
---------------------------- --------
client connections 0
established state 6
external.received bytes 989931
external.received packets 13239
external.transmitted bytes 25908953
external.transmitted packets 22037
free chunk count 322
gc compactions 0
gc major bytes 21348352
gc major collections 35
gc minor collections 2652
http response 200 28
http response 201 1
http response 204 1
http response 400 1
http response 403 1
http response 404 145
http response 412 1
http response time 0.084998
http response total 178
internal.received bytes 66541
internal.received packets 1130
internal.transmitted bytes 63802
internal.transmitted packets 1133
kv write 2
log errors 3
log warnings 3
maximum allocated space 64528384
maximum releasable bytes 1216
mmapped region count 0
new sleeper size 1
non-mmapped allocated bytes 64528384
sleep queue size 11
syn-rcvd state 0
timers 2
total allocated space 43940832
total client 1
total established 515
total free space 20587552
total sleeper size 12
total syn-rcvd 514
total timers 526
uptime 17626
La información sobre el punto final /metrics se puede encontrar en la documentación de la API.
Registro¶
El NetHSM puede registrar los eventos del sistema en el puerto serie o en un servidor syslog de la red.
Importante
Para cualquier despliegue de producción, el registro de NetHSM debe supervisarse continuamente para proporcionar una notificación inmediata de cualquier problema de seguridad potencial.
La configuración del servidor syslog se puede recuperar de la siguiente manera.
Opciones requeridas
Opción |
Descripción |
|---|---|
|
Consultar la configuración del registro |
Ejemplo
$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
IP address: 0.0.0.0
Port: 514
Log level: info
Se puede encontrar información sobre el punto final /config/logging en la documentación de la API.
La configuración del servidor syslog puede establecerse de la siguiente manera.
Opciones requeridas
Opción |
Descripción |
|---|---|
|
La dirección IP del nuevo destino de registro |
|
El puerto del nuevo destino de registro |
|
El nuevo nivel de registro |
Ejemplo
$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443
Se puede encontrar información sobre el punto final /config/logging en la documentación de la API.
La consola en serie funciona desde el inicio del hardware NetHSM. Incluye eventos del firmware de NetHSM y del software de NetHSM.
La configuración de la conexión de la consola serie es la siguiente.
Configurar |
Valor |
|---|---|
Velocidad en baudios |
115200 |
Bits de datos |
8 |
Bits de parada |
1 |
Paridad |
Ninguno |
Control de flujo |
Ninguno |
Copia de seguridad¶
Los Datos de Usuario de NetHSM pueden guardarse en un archivo de copia de seguridad. Este archivo de copia de seguridad contiene todos los Datos de usuario, a saber, Almacén de configuración, Almacén de autenticación, Almacén de claves de dominio y Almacén de claves.
Importante
Un software de sistema NetHSM en modo Arranque desatendido requerirá la frase de contraseña de desbloqueo ** si se restaura en un hardware NetHSM diferente. Consulte el capítulo Desbloquear frase de contraseña para obtener más información.
Importante
Un NetHSM en el modo de Botón Desatendido estará en el mismo modo después de una restauración.
Antes de iniciar una copia de seguridad, debe establecerse la Frase de acceso a la copia de seguridad. La Frase de acceso a la copia de seguridad se utiliza para cifrar los datos del archivo de copia de seguridad.
Advertencia
La frase de contraseña de copia de seguridad no puede restablecerse sin conocer el valor actual. Si se pierde la frase de contraseña de copia de seguridad, no se puede restablecer a un nuevo valor ni se pueden restaurar las copias de seguridad creadas.
La frase de contraseña de respaldo se puede establecer de la siguiente manera.
Opciones
Opción |
Descripción |
|---|---|
|
La nueva frase de paso de la copia de seguridad |
|
La frase de contraseña de la copia de seguridad actual (o una cadena vacía si no está definida) |
|
No pida confirmación antes de cambiar la frase de contraseña |
Ejemplo
$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443
Puede encontrar información sobre el punto final /config/backup-passphrase en la documentación de la API.
La copia de seguridad se puede ejecutar de la siguiente manera.
Relación requerida
Esta operación requiere una autenticación con el rol Backup.
Argumentos
Argumento |
Descripción |
|---|---|
|
Archivo de copia de seguridad |
Ejemplo
$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup
La información sobre el punto final /system/backup se puede encontrar en la documentación de la API.
Restaurar¶
El NetHSM puede restaurarse a partir de un archivo de copia de seguridad.
If the NetHSM is Unprovisioned it will restore all User Data including system configuration and reboot. Therefore the system may get different network settings, TLS certificate and Unlock Passphrase afterwards. The NetHSM ends in a Locked state.
Si el NetHSM es Provisioned restaurará los usuarios y las claves de usuario pero no la configuración del sistema. En este caso, se eliminarán todos los usuarios y claves de usuario existentes anteriormente. El NetHSM finaliza en un estado Operativo.
La restauración puede aplicarse de la siguiente manera.
Opciones opcionales
Opción |
Descripción |
|---|---|
|
La frase de acceso a la copia de seguridad. |
|
La hora del sistema a establecer (Formato: |
Importante
Asegúrese de que la hora de su ordenador local está correctamente ajustada. Para establecer una hora diferente, proporciónela manualmente.
Argumentos
Argumento |
Descripción |
|
|---|---|---|
|
||
Ejemplo
$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443
Se puede encontrar información sobre el punto final /system/restore en la documentación de la API.
Replication¶
NetHSM is stateless, so that several NetHSM devices can be used to process extremely high throughput and provide high availability. The PKCS#11 module supports round-robin schedule for a cluster of NetHSM instances. Multiple instances of NetHSM can be synchronized via encrypted backups. For this a separate system downloads and uploads backup files between the instances. The synchronization can be easily scripted by using pynitrokey as shown in this example. This separate system doesn’t have access to the backed up data in clear text because the backup files are encrypted twice. The separate system is in possession of the backup passphrase only but not of the Domain Key resp. Unlock Passphrase which is the second layer of encryption. See the system design for further details.
Actualización de software¶
Las actualizaciones de software pueden instalarse en un proceso de dos pasos. En primer lugar, la imagen de actualización debe cargarse en un NetHSM aprovisionado en ** . El NetHSM verifica la autenticidad, integridad y número de versión de la imagen. Opcionalmente, el NetHSM muestra las notas de la versión, si las hay.
Advertencia
Pueden producirse pérdidas de datos debido a la instalación de una actualización beta. Las versiones estables no deberían causar pérdida de datos. Sin embargo, se recomienda crear una copia de seguridad antes de actualizar.
El archivo de actualización se puede cargar de la siguiente manera.
Argumentos
Argumento |
Descripción |
|---|---|
|
Actualizar el archivo |
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin
Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443
Se puede encontrar información sobre el punto final /system/update en la documentación de la API.
A continuación, la actualización puede aplicarse o cancelarse. Consulte la opción deseada a continuación. Si el NetHSM se apaga antes de la operación «confirmar», el archivo de actualización tiene que cargarse de nuevo.
Importante
Si la carga de la imagen de actualización falla con Error: NetHSM request failed: Bad request -- malformed image, siga los pasos que se indican a continuación.
Asegúrese de que dispone de un archivo de actualización válido comprobándolo con la firma proporcionada.
Asegúrese de que no tiene activado un nivel de registro alto, como
DEBUG. Consulte el capítulo Logging para obtener más información sobre la configuración del nivel de registro.Reinicie el aparato para liberar la memoria utilizada.
La actualización puede aplicarse (confirmarse) del siguiente modo. Cualquier migración de datos sólo se realiza después de que el NetHSM haya arrancado correctamente la nueva versión de software del sistema.
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443
Se puede encontrar información sobre el punto final /system/commit-update en la documentación de la API.
La actualización se puede cancelar de la siguiente manera.
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443
La información sobre el punto final /system/cancel-update se puede encontrar en la documentación de la API.
Información del sistema¶
La información del sistema, como la versión del firmware, la versión del software y la versión del hardware, se puede recuperar del siguiente modo.
Ejemplo
$ nitropy nethsm -h $NETHSM_HOST system-info
Host: 192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1.0
Build tag: v2.0-0-g17ad829
Attestation keys
P256: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEup7z8QYvkzkBuLryG1SgVQjlPhSFW3PzYn1l3uLNd+pSBxX0OBpslcbnmPFr5wSs/iP46+H8MFlEAYUkYv6uuQ==
P384: MHYwEAYHKoZIzj0CAQYFK4EEACIDYgAEfQiurLvEmjsAmumRtIqu70HKehRo8A/nVrqQGiR8Rcr+SUujwgtQByORX5BoRtv4sZNJW4FyLGqvXCIF9IV1puob2+9Qq5oEjz4x4malLbFdyXDmQK8o2NpvcbgOr215
Platform Configuration Registers
0: 0f6064779fba55b102a6ecc20498c2020deaf2aebef23716ec293b25873647f8
2: 2b0d25a4a92b4df5205742954243db9d306a4c3277a6b6958bcbaf3d47def26f
Encontrará información sobre el punto final /system/info en la documentación de la API.
Reinicio y apagado¶
El NetHSM puede reiniciarse y apagarse, ya sea de forma remota o con el botón de reinicio y apagado situado en la parte frontal del hardware del NetHSM.
El reinicio remoto puede iniciarse de la siguiente manera.
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot
Se puede encontrar información sobre el punto final /system/reboot en la documentación de la API.
La desconexión remota puede iniciarse de la siguiente manera.
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown
Se puede encontrar información sobre el punto final /system/shutdown en la documentación de la API.
Restablecer los valores de fábrica¶
Un NetHSM aprovisionado puede restablecerse a los valores predeterminados de fábrica. En este caso, todos los datos de usuario se borran de forma segura y el NetHSM arranca en un estado Sin aprovisionar. Después, es posible que desee aprovisionar el NetHSM.
El restablecimiento de los valores de fábrica se puede realizar de la siguiente manera.
Ejemplo
$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset
Se puede encontrar información sobre el punto final /system/factory-reset en la documentación de la API.
Gestión de usuarios¶
Roles¶
El NetHSM permite la separación de funciones mediante el uso de diferentes roles. Cada cuenta de usuario configurada en el NetHSM tiene uno de los siguientes Roles asignados.
Papel |
Descripción |
|---|---|
Administrador |
Una cuenta de usuario con este rol tiene acceso a todas las operaciones proporcionadas por el NetHSM, excepto a las operaciones de uso de claves, es decir, la firma y descifrado de mensajes. |
Operador |
R-Operador: Una cuenta de usuario con este rol tiene acceso a todas las operaciones de uso de claves, a un subconjunto de operaciones de gestión de claves de sólo lectura y a operaciones de gestión de usuarios que sólo permiten cambios en su propia cuenta. |
Métrica |
Una cuenta de usuario con este rol tiene acceso sólo a operaciones de lectura de métricas. |
Backup |
Una cuenta de usuario con este rol sólo tiene acceso a las operaciones necesarias para iniciar una copia de seguridad del sistema. |
Véase Namespaces y Tags para restricciones de acceso más precisas.
Nota
En una futura versión, es posible que se introduzcan Roles adicionales.
Añadir usuario¶
Añada una cuenta de usuario al NetHSM. Cada cuenta de usuario tiene un Rol, que debe especificarse. Consulte el capítulo Roles para obtener más información sobre Roles.
Opcionalmente, un usuario puede ser asignado a un *Namespace*.
Nota
El ID de usuario debe ser alfanumérico. El NetHSM asigna un ID de usuario aleatorio si no se especifica ninguno.
Se puede añadir una cuenta de usuario de la siguiente manera.
Opciones requeridas
Opción |
Descripción |
|---|---|
|
El nombre real del nuevo usuario |
|
El espacio de nombres del nuevo usuario |
|
El Role del nuevo usuario |
|
La frase de contraseña del nuevo usuario |
Opciones
Opción |
Descripción |
|---|---|
|
El ID de usuario del nuevo usuario |
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443
La información sobre el endpoint /users, para crear un usuario sin especificar el ID de usuario, se puede encontrar en la documentación de la API.
La información sobre el punto final /users/{UserID}, para crear un usuario especificando el ID de usuario, se puede encontrar en la documentación de la API.
Por defecto, el espacio de nombres se hereda del usuario que añade el nuevo usuario. Sólo los usuarios sin Namespace pueden elegir un Namespace diferente para los nuevos usuarios. El Namespace se utiliza como prefijo para el nombre de usuario, por ejemplo namespace~user. Por lo tanto, el mismo nombre de usuario puede ser utilizado en varios Namespaces.
Borrar usuario¶
Eliminar una cuenta de usuario del NetHSM.
Advertencia
El borrado es permanente y no se puede revertir.
Una cuenta de usuario puede ser eliminada de la siguiente manera.
Argumentos
Argumento |
Descripción |
|---|---|
|
La identificación del usuario. |
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443
Se puede encontrar información sobre el punto final /users/{UserID} en la documentación de la API.
Lista de usuarios¶
Enumerar los usuarios en el NetHSM.
La lista se puede recuperar de la siguiente manera.
Opciones
Opción |
Descripción |
|---|---|
|
Consultar el nombre real y el rol del usuario |
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:
User ID Real name Role
--------- ----------------- -------------
operator1 Nitrokey Operator Operator
admin admin Administrator
Se puede encontrar información sobre el punto final /users en la documentación de la API.
Se puede encontrar información sobre el punto final /users/{UserID} en la documentación de la API.
Los usuarios de un espacio de nombres sólo pueden ver a los usuarios del mismo espacio de nombres.
Frase de acceso del usuario¶
La frase de contraseña de una cuenta de usuario puede restablecerse. La frase de contraseña se establece inicialmente durante la adición de una cuenta de usuario.
Nota
Las frases de paso deben tener >= 10 y <= 200 caracteres.
La frase de contraseña del usuario se puede establecer de la siguiente manera.
Opciones requeridas
Opción |
Descripción |
|---|---|
|
El ID del usuario |
|
La nueva frase de acceso del usuario |
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443
La información sobre el punto final /users/{UserID}/passphrase se puede encontrar en la documentación de la API.
Espacios de nombres¶
Los espacios de nombres se introdujeron en la versión 2.0 del software. Al migrar desde una versión anterior del software, todos los usuarios y claves existentes estarán sin Namespace.
De forma similar al concepto de particiones, NetHSM soporta el más flexible Namespaces que agrupa claves, administradores y usuarios en un NetHSM en subconjuntos separados. Los usuarios sólo pueden ver y utilizar claves en el mismo Namespace y sólo pueden ver usuarios en el mismo Namespace. No es posible ver usuarios y ver y utilizar claves de otros Namespaces. Cuando se crea un nuevo usuario, éste hereda el Namespace del usuario que lo creó. La capacidad de almacenamiento disponible se comparte entre todos los Namespaces.
Los usuarios con la función *Administrador* también se denominan R-Administrador si no están en un espacio de nombres, o N-Administrador si están en un espacio de nombres.
Se aplican normas especiales a los usuarios de R-Administrator: Pueden establecer el Namespace para nuevos usuarios, listar todos los usuarios y consultar el Namespace de un usuario. Además, sólo los usuarios de R-Administrator pueden acceder a la configuración de NetHSM. Los R-Administradores no pueden ver las claves de un Namespace.
Para poder generar claves y usuarios en un espacio de nombres, éste debe ser creado por un usuario R-Administrator. Una vez creado el espacio de nombres, los usuarios R-Administrator ya no pueden crear, eliminar ni modificar usuarios en ese espacio de nombres. Esto permite proteger las claves de los Namespaces a las que accede R-Administrator (también indirectamente añadiendo un nuevo usuario en su nombre o restableciendo las credenciales del usuario o administrador existente). Por lo tanto, es necesario crear un usuario N-Administrator para el espacio de nombres antes de crear el espacio de nombres. Los usuarios R-Administrador también pueden eliminar un Espacio de nombres con todas las claves que contenga.
Lista de espacios de nombres¶
Enumerar los espacios de nombres en el NetHSM.
La lista se puede recuperar de la siguiente manera.
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST list-namespaces
Namespaces on NetHSM localhost:8843:
- ns1
- ns2
Encontrará información sobre el punto final /namespaces en la documentación de la API.
Añadir espacio de nombres¶
Añadir un espacio de nombres al NetHSM.
Los usuarios R-Administrador ya pueden crear nuevas cuentas en el Espacio de Nombres antes de su creación. Después de la creación, sólo los usuarios N-Administrador pueden gestionar los usuarios del espacio de nombres. La creación y el uso de claves en el espacio de nombres sólo es posible después de que se haya añadido.
Nota
El ID del espacio de nombres debe ser alfanumérico. El NetHSM asigna un ID de usuario aleatorio si no se especifica ninguno.
Se puede añadir un espacio de nombres de la siguiente manera.
Argumentos
Argumento |
Descripción |
|
|---|---|---|
|
||
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1
Namespace ns1 added to NetHSM localhost:8443
Encontrará información sobre el punto final /namespaces/{NamespaceID} en la documentación de la API.
Eliminar espacio de nombres¶
Eliminar un espacio de nombres del NetHSM.
Al eliminar un espacio de nombres también se eliminan todas las claves de ese espacio de nombres. Los usuarios restantes del Namespace no podrán añadir claves hasta que el Namespace haya sido añadido de nuevo.
Un espacio de nombres puede eliminarse del siguiente modo.
Argumentos
Argumento |
Descripción |
|---|---|
|
El espacio de nombres que se va a eliminar. |
Ejemplo
$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1
Namespace ns1 deleted on NetHSM localhost:8443
Encontrará información sobre el punto final /namespaces/{NamespaceID} en la documentación de la API.