Hallinto#

Tässä luvussa kuvataan hallintatehtäviä käyttäjille, joilla on Administrator-rooli. Lisätietoja roolista on luvussa Roolit.

Tärkeä

Varmista, että olet lukenut tämän asiakirjan alussa olevat tiedot ennen työn aloittamista.

Järjestelmän hallinta#

Laitteen tiedot#

NetHSM:n myyjä- ja tuotetiedot voidaan hakea seuraavasti.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST info

Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Käynnistystila#

NetHSM:ää voidaan käyttää Attended Boot -tilassa ja Unattended Boot -tilassa.

Käynnistystila	Kuvaus
Attended Boot	Jokaisen käynnistyksen yhteydessä on syötettävä Lukituksen avauslauseke, jota käytetään Käyttäjätietojen salauksen purkamiseen. Turvallisuussyistä tätä tilaa suositellaan.
Vartioimaton käynnistys	Lukituksen avauslauseketta ei tarvita, joten NetHSM voi käynnistyä ilman valvontaa. Käytä tätä tilaa, jos käytettävyysvaatimuksia ei voida täyttää Vartioitu käynnistys -tilassa.

Nykyinen käynnistystila voidaan hakea seuraavasti.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot

Configuration for NetHSM localhost:8443:
   Unattended boot: off

Käynnistystilaa voidaan muuttaa seuraavasti.

Argumentit

Argumentti	Kuvaus
Tila	Ota käyttöön tai poista käytöstä Vartioimaton käynnistys. Voi saada arvon `on` tai `off`.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on

Updated the unattended boot configuration for NetHSM localhost:8443

Valtio#

NetHSM-ohjelmistossa on neljä tilaa: Toimimaton, Toimimaton, Lukittu ja Käytössä.

Valtio	Kuvaus
Varmistamaton	NetHSM ilman konfigurointia (tehdasasetukset)
Provisioned	NetHSM kokoonpanon kanssa. Provisioned-tila merkitsee joko Operational- tai Locked-tilaa.
Operational	NetHSM on konfiguroitu ja valmis suorittamaan komentoja. Operational-tila edellyttää Provisioned-tilaa.
Lukittu	NetHSM konfiguroituna, mutta suojattuna (vaatii lukituksen avaamisen). Käytössä oleva tila edellyttää Varattu tilaa.

NetHSM:n nykyinen tila voidaan hakea seuraavasti.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST state

NetHSM localhost:8443 is Unprovisioned

Uuden NetHSM:n tila on Unprovisioned, ja provisioinnin jälkeen se siirtyy Operational-tilaan. NetHSM:n käyttöönotto on kuvattu luvussa Provisioning.

Toimintatilassa oleva NetHSM voidaan lukita uudelleen sen suojaamiseksi seuraavasti.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST lock

NetHSM localhost:8443 locked

Lukitussa tilassa oleva NetHSM voidaan vapauttaa seuraavasti.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST unlock

NetHSM localhost:8443 unlocked

Salasanan avaaminen#

Lukituksen avauslauseketta käytetään Lukituksen avaimen muodostamiseen, jos NetHSM on Lukittu-tilassa. Tunnuslause asetetaan alun perin NetHSM:n käyttöönoton yhteydessä.

Lukituksen avauslauseke voidaan asettaa seuraavasti.

Vaihtoehdot

Vaihtoehto	Kuvaus
`-p`, `--passphrase` `TEXT`	Uusi avaussalasana

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase

Passphrase:
Repeat for confirmation:
Updated the unlock passphrase for localhost:8443

TLS-sertifikaatti#

TLS-varmentetta käytetään HTTPS-pohjaisessa REST API:ssa, joten myös nitropy käyttää sitä. Käyttöönoton yhteydessä luodaan itse allekirjoitettu varmenne. Varmenne voidaan korvata esimerkiksi varmentajan (CA) allekirjoitetulla varmenteella. Tällöin on luotava Certificate Signing Request (CSR). Allekirjoituksen jälkeen varmenne on tuotava NetHSM:ään.

Muutos on tarpeen vain silloin, kun todistus on tarkoitus korvata. Tällainen muutos voi olla sen korvaaminen varmentajan allekirjoittamalla varmenteella.

TLS-varmenne voidaan hakea seuraavasti.

Velvoittavat vaihtoehdot

Vaihtoehto	Kuvaus
`-a`, `--api`	Aseta varmenne NetHSM TLS -liitännän varmenteen käyttöön.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api

TLS-varmenne voidaan luoda seuraavasti.

Velvoittavat vaihtoehdot

Vaihtoehto	Kuvaus
`-t`, `--type` `[RSA\|Curve25519\|EC_P224\|EC_P256\|EC_P384\|EC_P521]`	Luodun avaimen tyyppi
`-l`, `--length` `INTEGER`	Luodun avaimen pituus

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519

Key for TLS interface generated on NetHSM localhost:8443

Varmenteen allekirjoituspyyntö (CSR) voidaan luoda seuraavasti.

Velvoittavat vaihtoehdot

Vaihtoehto	Kuvaus
`-a`, `--api`	Luo CSR NetHSM TLS -sertifikaattia varten.
`--country` `TEXT`	Maan nimi
`--state-or-province` `TEXT`	Osavaltion tai maakunnan nimi
`--locality` `TEXT`	Paikkakunnan nimi
`--organization` `TEXT`	Organisaation nimi
`--organizational-unit` `TEXT`	Organisaatioyksikön nimi
`--common-name` `TEXT`	Yleinen nimi
`--email-address` `TEXT`	Sähköpostiosoite

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"

Varmenne voidaan korvata seuraavasti.

Velvoittavat vaihtoehdot

Vaihtoehto	Kuvaus
`-a`, `--api`	Aseta varmenne NetHSM TLS -liitännän varmenteen käyttöön.

Argumentit

Argumentti	Kuvaus
``FILENAME``FILENAMEFILENAME`	Todistustiedosto

Esimerkki

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Verkko#

Verkkokokoonpano määrittää Verkkoportin asetukset.

Muista

Näissä asetuksissa ei määritetä BMC-verkkoporttia.

Verkon kokoonpano voidaan hakea seuraavasti.

Velvoittavat vaihtoehdot

Vaihtoehto	Kuvaus
`--network`–network–network`	Verkon kokoonpanon kysely

Esimerkki

$ nitropy nethsm -h $NETHSM_HOST get-config --network

Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Määritä verkon kokoonpano seuraavasti.

Muista

NetHSM ei tue DHCP:tä (Dynamic Host Configuration Protocol).

Muista

NetHSM ei tue IPv6:ta (Internet Protocol version 6).

Velvoittavat vaihtoehdot

Vaihtoehto	Kuvaus
`-a`, `--ip-address`	Uusi IP-osoite
`-n`, `--netmask`	Uusi verkkomerkki
`-n`, `--netmask`	Uusi portti

Esimerkki

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0

Updated the network configuration for NetHSM localhost:8443

Aika#

Aika-asetus määrittää NetHSM-ohjelmiston järjestelmäajan. Järjestelmäaikaa ei yleensä tarvitse asettaa, koska se asetetaan käyttöönoton yhteydessä.

Aikakonfiguraatio voidaan hakea seuraavasti.

Velvoittavat vaihtoehdot

Vaihtoehto	Kuvaus
--time`	Järjestelmän kellonajan kysely

Esimerkki

$ nitropy nethsm -host $NETHSM_HOST get-config --time

Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Aseta NetHSM:n aika.

Tärkeä

Varmista, että aika ilmoitetaan UTC-aikavyöhykkeessä.

Argumentit

Argumentti	Kuvaus
time`	Asetettava järjestelmäaika (Muoto: VVVV-KK-PKK-PKK:MM:SSZ).

Esimerkki

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z

Updated the system time for NetHSM localhost:8443

Mittarit#

NetHSM kirjaa järjestelmän parametrien mittarit.

Muista

Tämä komento edellyttää Metrics-roolin omaavan käyttäjän todennusta. Lisätietoja roolista on luvussa Roolit.

Mittarit voidaan hakea seuraavasti.

Esimerkki

$ nitropy nethsm -h $NETHSM_HOST metrics

Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Kirjaaminen#

NetHSM voi kirjata järjestelmätapahtumia sarjaporttiin tai verkon syslog-palvelimeen.

Sarjakonsoli toimii heti NetHSM-laitteiston alusta alkaen. Se sisältää NetHSM-laiteohjelmiston ja NetHSM-ohjelmiston tapahtumat.

Sarjakonsoliyhteyden asetukset ovat seuraavat.

Asetukset	Arvo
Baudinopeus	115200
Databitit	8
Stopbitit	1
Pariteetti	Ei ole
Virtauksen säätö	Ei ole

Syslog-palvelimen kokoonpano voidaan hakea seuraavasti.

Velvoittavat vaihtoehdot

Vaihtoehto	Kuvaus
`--network`–network–network`	Kysy kirjauskonfiguraatiota

Esimerkki

$ nitropy nethsm -h $NETHSM_HOST get-config --logging

Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

Syslog-palvelimen asetukset voidaan määrittää seuraavasti.

Velvoittavat vaihtoehdot

Vaihtoehto	Kuvaus
`-p`, `--passphrase` `TEXT`	Uuden kirjauskohteen IP-osoite
`-p`, `--port` `INTEGER`	Uuden kirjauskohteen portti
`-l`, `--log-level` `[debug\|info\|warning\|error]`	Uusi lokitaso

Esimerkki

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info

Updated the logging configuration for NetHSM localhost:8443

Varmuuskopiointi#

NetHSM:n Käyttäjätiedot voidaan tallentaa varmuuskopiotiedostoon. Tämä varmuuskopiotiedosto sisältää kaikki Käyttäjätiedot, eli Konfiguraatiovaraston, Authentication Store, Domain Key Store ja Key Store.

Tärkeä

NetHSM-järjestelmäohjelmisto, joka on Unattended Boot -tilassa, vaatii Unlock Passphrase -salasanan, jos se palautetaan eri NetHSM-laitteistoon. Lisätietoja on luvussa Unlock Passphrase.

Tärkeä

Vartioimattomassa käynnistystilassa oleva NetHSM on samassa tilassa palautuksen jälkeen.

Ennen varmuuskopioinnin aloittamista Varmuuskopiointisalasana on asetettava. Backup Passphrase:a käytetään varmuuskopiotiedoston tietojen salaamiseen.

Varmistussalasana voidaan asettaa seuraavasti.

Vaihtoehdot

Vaihtoehto	Kuvaus
`-p`, `--passphrase` `TEXT`	Uusi varmuuskopiointisalasana

Esimerkki

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase

Passphrase:
Repeat for confirmation:
Updated the backup passphrase for NetHSM localhost:8443

Muista

Tämä komento edellyttää Backup-roolin omaavan käyttäjän todennusta. Lisätietoja on luvussa Roolit.

Varmuuskopiointi voidaan suorittaa seuraavasti.

Argumentit

Argumentti	Kuvaus
``FILENAME``FILENAMEFILENAME`	Varmuuskopiotiedosto

Esimerkki

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup

Backup for localhost:8443 written to /tmp/backup

Muista

Tämä varmuuskopiotiedosto voidaan palauttaa vain käyttämättömään NetHSM-instanssiin.

Palauta#

NetHSM voidaan palauttaa varmuuskopiotiedostosta.

Muista

NetHSM:n on oltava Toimittamaton tila.

Palautusta voidaan soveltaa seuraavasti.

Vaihtoehdot

Vaihtoehto	Kuvaus
`-p`, `--backup-passphrase` `passphrase`	Varmistussalasana
`-t`, `--system-time`	Asetettava järjestelmäaika (Muoto: `YYYY-MM-DDTHH:MM:SSZ`).

Tärkeä

Varmista, että paikallisen tietokoneen kellonaika on asetettu oikein. Jos haluat asettaa eri kellonajan, anna se manuaalisesti.

Argumentit

Argumentti		Kuvaus
FILENAMEFILENAME` \| Tiedoston palauttaminen

Esimerkki

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup

Backup passphrase:
Backup restored on NetHSM localhost:8443

Päivitys#

NetHSM:n päivitykset voidaan asentaa kaksivaiheisesti. Ensin päivityskuva on ladattava NetHSM:ään. Kuva tarkistetaan ja validoidaan automaattisesti.

Varoitus

Beta-päivityksen asentaminen voi aiheuttaa tietojen menetyksen!

Päivitystiedosto voidaan ladata seuraavasti.

Argumentit

Argumentti	Kuvaus
``FILENAME``FILENAMEFILENAME`	Päivitä tiedosto

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.cpio

Image /tmp/nethsm-update.img.cpio uploaded to NetHSM localhost:8443

Tämän jälkeen päivitys voidaan ottaa käyttöön tai keskeyttää. Katso haluamasi vaihtoehto alla.

Päivitystä voidaan soveltaa (sitoa) seuraavasti.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST commit-update

Update successfully committed on NetHSM localhost:8443

Päivitys voidaan peruuttaa seuraavasti.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST cancel-update

Update successfully cancelled on NetHSM localhost:8443

Uudelleenkäynnistys ja sammutus#

NetHSM voidaan käynnistää uudelleen ja sammuttaa joko etänä tai NetHSM-laitteiston etuosassa olevalla uudelleenkäynnistys- ja virrankatkaisupainikkeella.

Etäuuskäynnistys voidaan käynnistää seuraavasti.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST reboot

NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

Etäpysäytys voidaan käynnistää seuraavasti.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST shutdown

NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Palauta tehdasasetuksiin#

NetHSM voidaan palauttaa tehdasasetuksiin. Tämän prosessin aikana kaikki käyttäjätiedot poistetaan.

Palautus tehdasasetuksiin voidaan suorittaa seuraavasti.

Esimerkki

$ nitropy nethsm -h $NETHSM_HOST factory-reset

NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Käyttäjien hallinta#

Roolit#

NetHSM mahdollistaa tehtävien erottamisen toisistaan käyttämällä eri rooleja. Jokaiselle NetHSM:ään määritetylle käyttäjätilille on määritetty jokin seuraavista Rooleista.

Rooli	Kuvaus
Hallinnoija	Käyttäjätilillä, jolla on tämä rooli, on pääsy kaikkiin NetHSM:n tarjoamiin toimintoihin, lukuun ottamatta avainten käyttöoperaatioita eli viestien allekirjoittamista ja purkamista.
Operator	Käyttäjätilillä, jolla on tämä rooli, on pääsy kaikkiin avainten käyttöoperaatioihin, vain lukemiseen tarkoitettuun osajoukkoon avainten hallintatoimintoja ja käyttäjähallintatoimintoihin, jotka mahdollistavat muutokset vain omalle tilille.
Metrics	Käyttäjätilillä, jolla on tämä rooli, on vain lukuoikeudet metriikkatoimintoihin.
Backup	Käyttäjätilillä, jolla on tämä rooli, on käyttöoikeus vain järjestelmän varmuuskopioinnin käynnistämiseen tarvittaviin toimintoihin.

Muista

Tulevassa versiossa voidaan ottaa käyttöön lisää Rooleja.

Lisää käyttäjä#

Lisää käyttäjätili NetHSM:ään. Jokaisella käyttäjätilillä on Role, joka on määritettävä. Lue lisää Rooleista luvusta Roolit.

Muista

NetHSM määrittää satunnaisen käyttäjätunnuksen, jos sellaista ei ole määritetty.

Käyttäjätili voidaan lisätä seuraavasti.

Velvoittavat vaihtoehdot

Vaihtoehto	Kuvaus
`-n`, `--real-name` `TEXT`	Käyttäjän oikea nimi
`-r`, `--role` `[Administrator\|Operator\|Metrics\|Backup]`	Uuden käyttäjän Rooli
`-p`, `--passphrase` `TEXT`	Uuden käyttäjän salasana

Vaihtoehdot

Vaihtoehto	Kuvaus
`-u`, `--user-id` `TEXT`	Uuden käyttäjän käyttäjätunnus

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1

Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Poista käyttäjä#

Käyttäjätilin poistaminen NetHSM:stä.

Varoitus

Poistaminen on pysyvää, eikä sitä voida peruuttaa.

Käyttäjätili voidaan poistaa seuraavasti.

Argumentit

Argumentti	Kuvaus
``USER_ID``USER_IDUSER_ID`	Käyttäjän käyttäjätunnus.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1

User operator1 deleted on NetHSM localhost:8443

Luettelo käyttäjistä#

Luettelo NetHSM:n käyttäjistä.

Luettelo voidaan hakea seuraavasti.

Vaihtoehdot

Vaihtoehto	Kuvaus
`--details`, `--no-details`	Käyttäjän oikean nimen ja roolin kysely.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST list-users

Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Käyttäjän salasana#

Käyttäjätilin salasana voidaan nollata. Tunnuslause asetetaan alun perin käyttäjätilin lisäämisen yhteydessä.

Muista

Salasanojen on oltava >= 10 ja <= 200 merkkiä.

Käyttäjän salasana voidaan asettaa seuraavasti.

Velvoittavat vaihtoehdot

Vaihtoehto	Kuvaus
`-u`, `--user-id` `TEXT`	Käyttäjän käyttäjätunnus
`-p`, `--passphrase` `TEXT`	Käyttäjän uusi salasana

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1

Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Käyttäjien tunnisteet#

Tageja voidaan käyttää avainten käyttörajoitusten asettamiseen, ja ne ovat valinnainen ominaisuus. Niitä voidaan määrittää vain käyttäjätileille, joilla on Operator-rooli. Operatorit näkevät kaikki avaimet, mutta käyttävät vain niitä, joilla on vähintään yksi vastaava Tag. Operator-käyttäjä ei voi muokata avainta.

Jos haluat lisätietoja Tagien käytöstä näppäimissä, katso Tagit näppäimille.

Tag voidaan lisätä seuraavasti.

Argumentit

Argumentti	Kuvaus
``USER_ID``USER_IDUSER_ID`	Käyttäjätunnus, jolle tunniste asetetaan.
TAG`	Käyttäjätunnukselle asetettava tunniste.

Esimerkki

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin

Added tag berlin for user operator1 on the NetHSM localhost:8443

Tag voidaan poistaa seuraavasti.

Argumentit

Argumentti	Kuvaus
``USER_ID``USER_IDUSER_ID`	Käyttäjätunnus, jolle tunniste asetetaan.
TAG`	Käyttäjätunnukselle asetettava tunniste.

Esimerkki

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin

Deleted tag berlin for user operator1 on the NetHSM localhost:8443