Administratsioon#

Selles peatükis kirjeldatakse haldusülesandeid kasutajatele, kellel on Administraatori roll. Palun vaadake peatükki Rollid, et saada rohkem teavet selle rolli kohta.

Tähtis

Palun lugege kindlasti enne töö alustamist dokumendi alguses olevat teavet.

Süsteemi haldamine#

Seadme teave#

NetHSMi müüja ja toote andmeid saab otsida järgmiselt.

näide

$ nitropy nethsm --host $NETHSM_HOST info

Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Käivitusrežiim#

NetHSMi saab kasutada Attended Boot režiimis ja Unattended Boot režiimis.

Käivitusrežiim	Kirjeldus
Osales Boot	NetHSM käivitub olekusse _Locked_. Iga käivitamise ajal tuleb sisestada Unlock Passphrase, mida kasutatakse kasutajaandmete dekrüpteerimiseks. Turvalisuse huvides on see režiim soovitatav ja see on värskelt seadistatud süsteemi vaikimisi režiim.
Valveta boot	Süsteem käivitub järelevalveta, ilma et oleks vaja sisestada Unlock Passphrase olekusse _Operational_. Kasutage seda režiimi, kui teie kasutatavusnõudeid ei saa täita Attended Boot režiimiga.

Hoiatus

Sõltumata alglaadimisrežiimist, säilitab Unlock Passphrase oma kehtivuse ja on vajalik varukoopiate taastamiseks muul riistvaral. Hoidke Unlock Passphrase igal ajal turvaliselt.

Praegust alglaadimisrežiimi saab välja otsida järgmiselt.

näide

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot

Configuration for NetHSM localhost:8443:
   Unattended boot: off

Käivitusrežiimi saab muuta järgmiselt. Järgmisel käivitamisel käitub NetHSM vastavalt sellele.

Argumendid

Argument	Kirjeldus
Staatus	Võimaldab või keelab Vaheldatud käivitamise. Võib omada väärtust `on` või `off`.

näide

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on

Updated the unattended boot configuration for NetHSM localhost:8443

Riik#

NetHSMi tarkvaral on neli olekut: Varustamata, Varustatud, Lukustatud ja Kasutatav.

Riik	Kirjeldus
Provisjonitu	NetHSM ilma konfiguratsioonita (tehase vaikimisi)
Provisioned	NetHSM koos konfiguratsiooniga. Seisund Provisioned tähendab kas Operational või Locked seisundit.
Operatiivne	NetHSM koos konfiguratsiooniga ja valmis käskude täitmiseks. Seisund Operational eeldab seisundit Provisioned.
Lukustatud	NetHSM koos konfiguratsiooniga, kuid krüpteeritud ja ligipääsmatute andmekogudega. Tavaliselt on järgmine samm süsteemi avamine. Seisund Locked eeldab seisundit Provisioned.

NetHSMi hetkeseisu saab välja selgitada järgmiselt.

näide

$ nitropy nethsm --host $NETHSM_HOST state

NetHSM localhost:8443 is Unprovisioned

Uus NetHSM on olekus Unprovisioned ja pärast varustamist läheb olekusse Operational. NetHSMi kasutuselevõtmist kirjeldatakse peatükis Provisioning.

NetHSMi saab Operational olekus uuesti lukustada, et seda kaitsta järgmiselt.

näide

$ nitropy nethsm --host $NETHSM_HOST lock

NetHSM localhost:8443 locked

NetHSM-i, mis on olekus Locked, saab avada järgmiselt. Kui NetHSM on olekus _Locked_, ei ole muud toimingud võimalikud. Pärast seda on NetHSM olekus _Operational_.

näide

$ nitropy nethsm --host $NETHSM_HOST unlock

NetHSM localhost:8443 unlocked

Ava salasõna#

Kui NetHSM on olekus Locked, kasutatakse Unlock Passphrase, et tuletada Unlock Key, kui NetHSM on olekus Locked. Salasõna määratakse algselt NetHSMi kasutuselevõtu ajal.

Unlock Passphrase saab määrata järgmiselt.

Võimalikud valikud

Valik	Kirjeldus
`-p`, `--passphrase` `TEXT`	Uus avamisfraas

näide

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase

Passphrase:
Repeat for confirmation:
Updated the unlock passphrase for localhost:8443

TLS sertifikaat#

TLS-sertifikaati kasutatakse HTTPS-põhise REST API jaoks ja seega kasutab seda ka nitroopia. Provisioning’i käigus luuakse isesigneeritud sertifikaat. Sertifikaadi saab asendada näiteks sertifitseerimisasutuse (CA) allkirjastatud sertifikaadiga. Sellisel juhul tuleb luua sertifikaadi allkirjastamise taotlus (CSR). Pärast allkirjastamist tuleb sertifikaat importida NetHSMi.

Muudatus on vajalik ainult siis, kui sertifikaat tuleb asendada. Selline muudatus võib olla selle asendamine sertifitseerimisasutuse (CA) allkirjastatud sertifikaadiga.

TLS-sertifikaadi saab kätte järgmiselt.

Vajalikud valikud

Valik	Kirjeldus
`-a`, `--api`	Määrake sertifikaat NetHSM TLS-liidese jaoks

näide

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api

TLS-sertifikaadi saab genereerida järgmiselt.

Vajalikud valikud

Valik	Kirjeldus
`-t`, `--type` `[RSA\|Curve25519\|EC_P224\|EC_P256\|EC_P384\|EC_P521]`	Genereeritud võtme tüüp
`-l`, `--length` `INTEGER`	genereeritud võtme pikkus

näide

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519

Key for TLS interface generated on NetHSM localhost:8443

Sertifikaadi allkirjastamistaotluse (CSR) saab genereerida järgmiselt.

Vajalikud valikud

Valik	Kirjeldus
`-a`, `--api`	Luua CSR NetHSM TLS sertifikaadi jaoks
`--country` `TEXT`	Riigi nimi
`--state-or-province` `TEXT`	Riigi või provintsi nimi
`--locality` `TEXT`	Kohanimi
`--organization` `TEXT`	Organisatsiooni nimi
`--organizational-unit` `TEXT`	Organisatsiooniüksuse nimi
`--common-name` `TEXT`	Üldine nimi
`--email-address` `TEXT`	E-posti aadress

näide

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"

Sertifikaadi saab asendada järgmiselt.

Vajalikud valikud

Valik	Kirjeldus
`-a`, `--api`	Määrake sertifikaat NetHSM TLS-liidese jaoks

Argumendid

Argument	Kirjeldus
`FILENAME<x>`	Sertifikaadi fail

näide

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Võrk#

Võrgukonfiguratsioon määrab Võrgupordi jaoks kasutatavad seaded.

Märkus

See seade ei konfigureeri BMC võrguporti.

Võrgukonfiguratsiooni saab välja otsida järgmiselt.

Vajalikud valikud

Valik	Kirjeldus
`--network<x>`	Võrgukonfiguratsiooni päring

näide

$ nitropy nethsm -h $NETHSM_HOST get-config --network

Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Seadistage võrgu konfiguratsioon järgmiselt.

Märkus

NetHSM ei toeta DHCP (Dynamic Host Configuration Protocol).

Märkus

NetHSM ei toeta IPv6 (Interneti-protokolli versioon 6).

Vajalikud valikud

Valik	Kirjeldus
`-a`, `--ip-address`	Uus IP-aadress
`-n`, `--netmask`	Uus võrgumask
`-n`, `--netmask`	Uus värav

näide

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0

Updated the network configuration for NetHSM localhost:8443

Aeg#

Ajakonfiguratsiooniga määratakse NetHSM tarkvara süsteemiaeg. Tavaliselt ei ole vaja süsteemiaega määrata, sest see määratakse seadistamise ajal.

Ajakonfiguratsiooni saab kätte järgmiselt.

Vajalikud valikud

Valik	Kirjeldus
`--time<x>`	Süsteemi aja päring

näide

$ nitropy nethsm -host $NETHSM_HOST get-config --time

Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Määrake NetHSMi kellaaeg.

Tähtis

Veenduge, et kellaaeg on UTC-ajavööndis.

Argumendid

Argument	Kirjeldus
`time<x>`	Seadistatav süsteemiaeg (vorming: AAA-MM-MM-TKT:MM:SSZ)

näide

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z

Updated the system time for NetHSM localhost:8443

Mõõdikud#

NetHSM logib süsteemi parameetrid.

Märkus

See käsk nõuab Metrics rolliga kasutaja autentimist. Rollide kohta saate lisateavet peatükis Rollid.

Palun vaadake mõõdikud, et saada rohkem teavet iga mõõdiku kohta.

Mõõdikud saab kätte järgmiselt.

näide

$ nitropy nethsm -h $NETHSM_HOST metrics

Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Logimine#

NetHSM võib süsteemi sündmusi logida jadapordi või võrku syslogi serverisse.

Tähtis

Mis tahes tootearenduse puhul tuleks NetHSMi logi pidevalt jälgida, et anda koheselt teada võimalikest turvaprobleemidest.

Seeria konsool töötab kohe alguses NetHSM riistvara. See hõlmab NetHSMi püsivara ja NetHSMi tarkvara sündmusi.

Seeria konsooliühenduse seaded on järgmised.

Seadistamine	Väärtus
Baudikiirus	115200
Andmebitid	8
Stoppbitid	1
Pariteet	Puudub
Voolukontroll	Puudub

Syslogi serveri konfiguratsiooni saab kätte järgmiselt.

Vajalikud valikud

Valik	Kirjeldus
`--network<x>`	Logimise konfiguratsiooni päring

näide

$ nitropy nethsm -h $NETHSM_HOST get-config --logging

Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

Syslogi serveri konfiguratsiooni saab seadistada järgmiselt.

Vajalikud valikud

Valik	Kirjeldus
`-p`, `--passphrase` `TEXT`	Uue logimise sihtkoha IP-aadress
`-p`, `--port` `INTEGER`	Uue logimise sihtkoha port
`-l`, `--log-level` `[debug\|info\|warning\|error]`	Uus logi tase

näide

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info

Updated the logging configuration for NetHSM localhost:8443

Varukoopia#

NetHSMi Kasutajate andmed saab salvestada varundusfaili. See varukoopiafail sisaldab kõiki Kasutajate andmeid, nimelt Konfigureerimissalvestust, Autentimissalvestust, Domain Key Store ja Key Store.

Tähtis

NetHSM-i süsteemitarkvara Väljasõitmise režiimis nõuab Unlock Passphrase, kui see taastatakse teisel NetHSM-i riistvaral. Lisateavet leiate peatükist Unlock Passphrase.

Tähtis

NetHSM, mis on režiimis Unattended Boot, on pärast taastamist samas režiimis.

Enne varundamise alustamist tuleb määrata Backup Passphrase. Backup Passphrase kasutatakse andmete krüpteerimiseks varundusfailis.

Varukoopia paroollauset saab määrata järgmiselt.

Võimalikud valikud

Valik	Kirjeldus
`-p`, `--passphrase` `TEXT`	Uus varundussalasõna

näide

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase

Passphrase:
Repeat for confirmation:
Updated the backup passphrase for NetHSM localhost:8443

Märkus

See käsk nõuab Backup rolliga kasutaja autentimist. Lisateavet leiate peatükist Rollid.

Varundamist saab teostada järgmiselt.

Argumendid

Argument	Kirjeldus
`FILENAME<x>`	Varukoopia faili

näide

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup

Backup for localhost:8443 written to /tmp/backup

Märkus

Seda varukoopiafaili saab taastada ainult NetHSMi mitteproviseeritud instantsil.

Taasta#

NetHSMi saab taastada varukoopiafailist.

Kui NetHSM on Unprovisioned, taastab see kõik kasutajaandmed, sealhulgas süsteemi konfiguratsiooni ja taaskäivituse. Seetõttu võib süsteem saada pärast seda teistsugused võrguseaded, TLS-sertifikaadi ja Unlock Passphrase.
Kui NetHSM on Provisioned, taastab see kasutajad ja kasutajaklahvid, kuid mitte süsteemi konfiguratsiooni. Sellisel juhul kustutatakse kõik varem olemasolevad kasutajad ja kasutajaklahvid. NetHSM lõpeb olekus Operational.

Taastamist saab rakendada järgmiselt.

Võimalikud valikud

Valik	Kirjeldus
`-p`, `--backup-passphrase` `passphrase`	Tagavarapassfraas
`-t`, `--system-time`	Seadistatav süsteemiaeg (Formaat: `YYYY-MM-DDTHH:MM:SSZ`)

Tähtis

Veenduge, et teie kohaliku arvuti kellaaeg on õigesti seadistatud. Teistsuguse aja seadmiseks andke see käsitsi.

Argumendid

Argument		Kirjeldus
`FILENAME` \| Faili taastamine

näide

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup

Backup passphrase:
Backup restored on NetHSM localhost:8443

Tarkvara uuendamine#

Tarkvarauuendusi saab paigaldada kaheastmelise protsessina. Kõigepealt tuleb uuenduse kujutis laadida üles Provisioned NetHSM-i. NetHSM kontrollib kujutise autentsust, terviklikkust ja versiooni numbrit. Valikuliselt kuvab NetHSM ka võimalikud versioonimärkused.

Hoiatus

Beeta-uuenduse paigaldamise tõttu võib tekkida andmekadu! Stabiilsed versioonid ei tohiks põhjustada andmekaotust. Enne uuendamist on siiski soovitatav luua varukoopia.

Uuendusfaili saab üles laadida järgmiselt.

Argumendid

Argument	Kirjeldus
`FILENAME<x>`	Faili uuendamine

näide

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.cpio

Image /tmp/nethsm-update.img.cpio uploaded to NetHSM localhost:8443

Pärast seda saab uuendust rakendada või selle katkestada. Palun vaadake allpool soovitud valikut. Kui NetHSM lülitatakse enne „commit“-operatsiooni välja, tuleb värskendusfail uuesti üles laadida.

Uuendust saab rakendada (kinnitada) järgmiselt. Andmete migreerimine toimub alles _pärast_ seda, et NetHSM on edukalt käivitanud uue süsteemi tarkvaraversiooni.

näide

$ nitropy nethsm --host $NETHSM_HOST commit-update

Update successfully committed on NetHSM localhost:8443

Uuendust saab tühistada järgmiselt.

näide

$ nitropy nethsm --host $NETHSM_HOST cancel-update

Update successfully cancelled on NetHSM localhost:8443

Taaskäivitus ja väljalülitamine#

NetHSM-i saab taaskäivitada ja välja lülitada kas kaugjuhtimise teel või NetHSM-i riistvara esiküljel oleva taaskäivitamise ja väljalülitamise nupu abil.

Kaugkäivituse saab algatada järgmiselt.

näide

$ nitropy nethsm --host $NETHSM_HOST reboot

NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

Kaugväljalülitamist saab algatada järgmiselt.

näide

$ nitropy nethsm --host $NETHSM_HOST shutdown

NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Tehase vaikimisi seadistuste lähtestamine#

Provisioned NetHSM-i saab lähtestada tehaseseadetele. Sel juhul kustutatakse kõik kasutajaandmed turvaliselt ja NetHSM käivitub Unprovisioned olekusse. Pärast seda võite soovida proviisoriks NetHSMi.

Tehase algseadistuste lähtestamist saab teostada järgmiselt.

näide

$ nitropy nethsm -h $NETHSM_HOST factory-reset

NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Kasutajate haldamine#

Rollid#

NetHSM võimaldab ülesannete eraldamist erinevate rollide abil. Igale NetHSM-i konfigureeritud kasutajakontole on määratud üks järgmistest Rollidest.

Roll	Kirjeldus
Administraator	Selle rolliga kasutajakontol on juurdepääs kõikidele NetHSMi pakutavatele toimingutele, välja arvatud võtmekasutuse toimingud, st sõnumite allkirjastamine ja dekrüpteerimine.
Operaator	Selle rolliga kasutajakontol on juurdepääs kõikidele võtmekasutuse toimingutele, võtmehalduse toimingute ainult lugemisõigusega alamhulgale ja kasutajahalduse toimingutele, mis võimaldavad muudatusi ainult nende enda kontole.
Meetria	Selle rolliga kasutajakontol on juurdepääs ainult lugemisõigusega meetrikaoperatsioonidele.
Backup	Selle rolliga kasutajakontol on juurdepääs ainult süsteemi varundamise algatamiseks vajalikele toimingutele.

Täpsemate juurdepääsupiirangute kohta vt Sildid.

Märkus

Tulevases versioonis võidakse kasutusele võtta täiendavaid Rollid.

Kasutaja lisamine#

Lisage NetHSM-i kasutajakonto. Igal kasutajakontol on Role, mis tuleb määrata. Lugege peatükki Rollid, et rohkem teada saada Rollidest.

Märkus

NetHSM määrab juhusliku kasutajatunnuse, kui seda ei ole määratud.

Kasutajakonto saab lisada järgmiselt.

Vajalikud valikud

Valik	Kirjeldus
`-n`, `--real-name` `TEXT`	Kasutaja tegelik nimi
`-r`, `--role` `[Administrator\|Operator\|Metrics\|Backup]`	Uue kasutaja Roll
`-p`, `--passphrase` `TEXT`	Uue kasutaja salasõna

Võimalikud valikud

Valik	Kirjeldus
`-u`, `--user-id` `TEXT`	Uue kasutaja ID

näide

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1

Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Kustuta kasutaja#

NetHSM-i kasutajakonto kustutamine.

Hoiatus

Kustutamine on püsiv ja seda ei saa tagasi võtta.

Kasutajakonto saab kustutada järgmiselt.

Argumendid

Argument	Kirjeldus
`USER_ID<x>`	Kasutaja kasutajatunnus.

näide

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1

User operator1 deleted on NetHSM localhost:8443

Kasutajate nimekiri#

Loetlege NetHSMi kasutajad.

Nimekirja saab kätte järgmiselt.

Võimalikud valikud

Valik	Kirjeldus
`--details`, `--no-details`	Päring kasutaja tegeliku nime ja rolli kohta

näide

$ nitropy nethsm --host $NETHSM_HOST list-users

Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Kasutaja salasõna#

Kasutajakonto salasõna saab lähtestada. Salasõna määratakse algselt kasutajakonto lisamisel.

Märkus

Salasõnad peavad olema >= 10 ja <= 200 tähemärki.

Kasutaja salasõna saab määrata järgmiselt.

Vajalikud valikud

Valik	Kirjeldus
`-u`, `--user-id` `TEXT`	Kasutaja kasutajatunnus
`-p`, `--passphrase` `TEXT`	Kasutaja uus salasõna

näide

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1

Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Sildid kasutajatele#

Sildid on valikuline funktsioon, mida saab kasutada võtmetele peeneid juurdepääsupiiranguid kehtestades. Üks või mitu Sildid saab määrata ainult kasutajakontodele, millel on Operaator roll. Operaatorid ** näevad kõiki võtmeid, kuid kasutavad ainult neid, millel on vähemalt üks vastav silt. Võtmeid ei saa muuta Operaator kasutaja.

Võtmete Tagide kasutamise kohta saate teavet peatükis Tagid võtmete jaoks.

Tag saab lisada järgmiselt.

Argumendid

Argument	Kirjeldus
`USER_ID<x>`	Kasutaja ID, millele silt määratakse.
`TAG<x>`	Kasutajatunnusele seatav silt.

näide

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin

Added tag berlin for user operator1 on the NetHSM localhost:8443

Tag saab kustutada järgmiselt.

Argumendid

Argument	Kirjeldus
`USER_ID<x>`	Kasutaja ID, millele silt määratakse.
`TAG<x>`	Kasutajatunnusele seatav silt.

näide

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin

Deleted tag berlin for user operator1 on the NetHSM localhost:8443