Hallinto#

Tässä luvussa kuvataan hallintatehtäviä käyttäjille, joilla on Administrator -rooli. Lisätietoja roolista on luvussa Roolit.

Tärkeä

Varmista, että olet lukenut tämän asiakirjan alussa olevat tiedot ennen työn aloittamista.

Järjestelmän hallinta#

Laitteen tiedot#

NetHSM:n myyjä- ja tuotetiedot voidaan hakea seuraavasti.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST info
Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Käynnistystila#

NetHSM:ää voidaan käyttää Attended Boot -tilassa ja Unattended Boot -tilassa.

Käynnistystila

Kuvaus

Osallistui Boot

NetHSM käynnistyy _Locked_-tilaan. Jokaisen käynnistyksen yhteydessä on syötettävä Unlock Passphrase, jota käytetään käyttäjätietojen salauksen purkamiseen. Turvallisuussyistä tätä tilaa suositellaan, ja se on oletustila juuri käyttöönotetussa järjestelmässä.

Valvomaton käynnistys

Järjestelmä käynnistyy ilman valvontaa ilman, että tarvitsee syöttää Unlock Passphrase _Operational_ -tilaan. Käytä tätä tilaa, jos käytettävyysvaatimuksia ei voida täyttää Attended Boot -tilassa.

Varoitus

Käynnistystilasta riippumatta Unlock Passphrase säilyttää voimassaolonsa, ja sitä tarvitaan varmuuskopioiden palauttamiseen muilla laitteistoilla. Pidä Unlock Passphrase aina tallessa.

Nykyinen käynnistystila voidaan hakea seuraavasti.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
   Unattended boot: off

Käynnistystilaa voidaan muuttaa seuraavasti. Seuraavan käynnistyksen yhteydessä NetHSM käyttäytyy vastaavasti.

Argumentit

Argumentti

Kuvaus

Tila

Ota käyttöön tai poista käytöstä Vartioimaton käynnistys. Voi saada arvon on tai off.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443

Valtio#

NetHSM-ohjelmistossa on neljä tilaa: Toimimaton, Toimimaton, Lukittu ja Käytössä.

Valtio

Kuvaus

Varmistamaton

NetHSM ilman konfigurointia (tehdasasetukset)

Provisioned

NetHSM kokoonpanon kanssa. Provisioned-tila merkitsee joko Operational- tai Locked-tilaa.

Operational

NetHSM on konfiguroitu ja valmis suorittamaan komentoja. Operational-tila edellyttää Provisioned-tilaa.

Lukittu

NetHSM, jossa on konfiguraatio, mutta salatut ja saavuttamattomat tietovarastot. Seuraava vaihe on yleensä järjestelmän lukituksen avaaminen. * Locked* -tilassa on Provisioned -tilassa.

NetHSM:n tilat ja siirtymät

NetHSM:n tilat ja siirtymät#


NetHSM:n nykyinen tila voidaan hakea seuraavasti.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned

Uudella NetHSM:llä on tila Unprovisioned, ja käyttöönoton jälkeen se siirtyy tilaan Operational. NetHSM:n käyttöönotto on kuvattu luvussa Käyttöönotto.

Toimintatilassa oleva NetHSM voidaan lukita uudelleen sen suojaamiseksi seuraavasti.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked

NetHSM, joka on tilassa Locked, voidaan vapauttaa seuraavasti. Kun NetHSM on _Locked_-tilassa, muut toiminnot eivät ole mahdollisia. Sen jälkeen NetHSM on _Operational_-tilassa.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked

Salasanan avaaminen#

Lukituksen avauslauseketta käytetään Lukituksen avaimen muodostamiseen, jos NetHSM on Lukittu-tilassa. Tunnuslause asetetaan alun perin NetHSM:n käyttöönoton yhteydessä.

Varoitus

Salasanan avaamista ei voi nollata tietämättä sen nykyistä arvoa. Jos lukituksen avauslauseke katoaa, sitä ei voida palauttaa uuteen arvoon eikä NetHSM:n lukitusta voida avata.

Lukituksen avauslauseke voidaan asettaa seuraavasti.

Vaihtoehdot

Vaihtoehto

Kuvaus

-n, --new-passphrase TEXT

Uusi avaussalasana

-p, --current-passphrase TEXT

Nykyinen avaussalasana

-f, --force

Älä pyydä vahvistusta ennen salasanan muuttamista.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443

TLS-sertifikaatti#

TLS-varmentetta käytetään HTTPS-pohjaisessa REST API:ssa, joten myös nitropy käyttää sitä. Käyttöönoton yhteydessä luodaan itse allekirjoitettu varmenne. Varmenne voidaan korvata esimerkiksi varmentajan (CA) allekirjoitetulla varmenteella. Tällöin on luotava Certificate Signing Request (CSR). Allekirjoituksen jälkeen varmenne on tuotava NetHSM:ään.

Muutos on tarpeen vain silloin, kun todistus on tarkoitus korvata. Tällainen muutos voi olla sen korvaaminen varmentajan allekirjoittamalla varmenteella.

TLS-varmenne voidaan hakea seuraavasti.

Velvoittavat vaihtoehdot

Vaihtoehto

Kuvaus

-a, --api

Get the certificate for the NetHSM TLS interface

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----

TLS-varmenne voidaan luoda seuraavasti.

Velvoittavat vaihtoehdot

Vaihtoehto

Kuvaus

-t, --type [RSA|Curve25519|EC_P224|EC_P256|EC_P384|EC_P521]

Luodun avaimen tyyppi

-l, --length INTEGER

Luodun avaimen pituus

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443

Varmenteen allekirjoituspyyntö (CSR) voidaan luoda seuraavasti.

Velvoittavat vaihtoehdot

Vaihtoehto

Kuvaus

-a, --api

Luo CSR NetHSM TLS -sertifikaattia varten.

--country TEXT

Maan nimi

--state-or-province TEXT

Osavaltion tai maakunnan nimi

--locality TEXT

Paikkakunnan nimi

--organization TEXT

Organisaation nimi

--organizational-unit TEXT

Organisaatioyksikön nimi

--common-name TEXT

Yleinen nimi

--email-address TEXT

Sähköpostiosoite

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----

Varmenne voidaan korvata seuraavasti.

Velvoittavat vaihtoehdot

Vaihtoehto

Kuvaus

-a, --api

Aseta varmenne NetHSM TLS -liitännän varmenteen käyttöön.

Argumentit

Argumentti

Kuvaus

``FILENAME``FILENAMEFILENAME`

Todistustiedosto

Esimerkki

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Verkko#

Verkkokokoonpano määrittää Verkkoportin asetukset.

Muista

Näissä asetuksissa ei määritetä BMC-verkkoporttia.

Verkon kokoonpano voidaan hakea seuraavasti.

Velvoittavat vaihtoehdot

Vaihtoehto

Kuvaus

--network–network–network`

Verkon kokoonpanon kysely

Esimerkki

$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Määritä verkon kokoonpano seuraavasti.

Muista

NetHSM ei tue DHCP:tä (Dynamic Host Configuration Protocol).

Muista

NetHSM ei tue IPv6:ta (Internet Protocol version 6).

Velvoittavat vaihtoehdot

Vaihtoehto

Kuvaus

-a, --ip-address

Uusi IP-osoite

-n, --netmask

Uusi verkkomerkki

-n, --netmask

Uusi portti

Esimerkki

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443

Aika#

Aika-asetus määrittää NetHSM-ohjelmiston järjestelmäajan. Järjestelmäaikaa ei yleensä tarvitse asettaa, koska se asetetaan käyttöönoton yhteydessä.

Aikakonfiguraatio voidaan hakea seuraavasti.

Velvoittavat vaihtoehdot

Vaihtoehto

Kuvaus

--time`

Järjestelmän kellonajan kysely

Esimerkki

$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Aseta NetHSM:n aika.

Tärkeä

Varmista, että aika ilmoitetaan UTC-aikavyöhykkeessä.

Argumentit

Argumentti

Kuvaus

time`

Asetettava järjestelmäaika (Muoto: VVVV-KK-PKK-PKK:MM:SSZ).

Esimerkki

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443

Mittarit#

NetHSM kirjaa järjestelmän parametrien mittarit. Lisätietoja kustakin metriikasta on osoitteessa Metrics.

Mittarit voidaan hakea seuraavasti.

Tarvittava tehtävä

Tämä toiminto edellyttää todennusta Metrics -roolilla.

Esimerkki

$ nitropy nethsm -h $NETHSM_HOST metrics
Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Kirjaaminen#

NetHSM voi kirjata järjestelmätapahtumia sarjaporttiin tai verkon syslog-palvelimeen.

Tärkeä

Tuotantokäytössä NetHSM-lokia olisi seurattava jatkuvasti, jotta mahdollisista tietoturvaongelmista voidaan ilmoittaa välittömästi.

Syslog-palvelimen kokoonpano voidaan hakea seuraavasti.

Velvoittavat vaihtoehdot

Vaihtoehto

Kuvaus

--network–network–network`

Kysy kirjauskonfiguraatiota

Esimerkki

$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

Syslog-palvelimen asetukset voidaan määrittää seuraavasti.

Velvoittavat vaihtoehdot

Vaihtoehto

Kuvaus

-p, --passphrase TEXT

Uuden kirjauskohteen IP-osoite

-p, --port INTEGER

Uuden kirjauskohteen portti

-l, --log-level [debug|info|warning|error]

Uusi lokitaso

Esimerkki

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443

Sarjakonsoli toimii heti NetHSM-laitteiston alusta alkaen. Se sisältää NetHSM-laiteohjelmiston ja NetHSM-ohjelmiston tapahtumat.

Sarjakonsoliyhteyden asetukset ovat seuraavat.

Asetukset

Arvo

Baudinopeus

115200

Databitit

8

Stopbitit

1

Pariteetti

Ei ole

Virtauksen säätö

Ei ole

Varmuuskopiointi#

NetHSM:n Käyttäjätiedot voidaan tallentaa varmuuskopiotiedostoon. Tämä varmuuskopiotiedosto sisältää kaikki Käyttäjätiedot, eli Konfiguraatiovaraston, Authentication Store, Domain Key Store ja Key Store.

Tärkeä

NetHSM-järjestelmäohjelmisto, joka on valvomaton käynnistys -tilassa, vaatii Unlock Passphrase -salasanan, jos se palautetaan toiseen NetHSM-laitteistoon. Lisätietoja on luvussa Unlock Passphrase.

Tärkeä

Vartioimattomassa käynnistystilassa oleva NetHSM on samassa tilassa palautuksen jälkeen.

Ennen varmuuskopioinnin aloittamista Varmuuskopiointisalasana on asetettava. Backup Passphrase:a käytetään varmuuskopiotiedoston tietojen salaamiseen.

Varoitus

Varmuuskopiointisalasanaa ei voi nollata tietämättä sen nykyistä arvoa. Jos varmuuskopiointisalasana menetetään, sitä ei voida palauttaa uuteen arvoon eikä luotuja varmuuskopioita voida palauttaa.

Varmistussalasana voidaan asettaa seuraavasti.

Vaihtoehdot

Vaihtoehto

Kuvaus

-n, --new-passphrase TEXT

Uusi varmuuskopiointisalasana

-p, --current-passphrase TEXT

Nykyinen varmuuskopiointisalasana (tai tyhjä merkkijono, jos sitä ei ole asetettu)

-f, --force

Älä pyydä vahvistusta ennen salasanan muuttamista.

Esimerkki

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443

Varmuuskopiointi voidaan suorittaa seuraavasti.

Tarvittava tehtävä

Tämä toiminto edellyttää todennusta Backup -roolilla.

Argumentit

Argumentti

Kuvaus

``FILENAME``FILENAMEFILENAME`

Varmuuskopiotiedosto

Esimerkki

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup

Palauta#

NetHSM voidaan palauttaa varmuuskopiotiedostosta.

  • Jos NetHSM on Unprovisioned, se palauttaa kaikki Käyttäjätiedot mukaan lukien järjestelmän kokoonpanon ja uudelleenkäynnistyksen. Tämän vuoksi järjestelmä voi saada erilaiset verkkoasetukset, TLS-varmenteen ja Unlock Passphrase jälkeenpäin.

  • Jos NetHSM on Provisioned, se palauttaa käyttäjät ja käyttäjäavaimet mutta ei järjestelmän kokoonpanoa. Tällöin kaikki aiemmin olemassa olleet käyttäjät ja käyttäjäavaimet poistetaan. NetHSM päättyy Operational -tilaan.

Palautusta voidaan soveltaa seuraavasti.

Vaihtoehdot

Vaihtoehto

Kuvaus

-p, --backup-passphrase passphrase

Varmistussalasana

-t, --system-time

Asetettava järjestelmäaika (Muoto: YYYY-MM-DDTHH:MM:SSZ).

Tärkeä

Varmista, että paikallisen tietokoneen kellonaika on asetettu oikein. Jos haluat asettaa eri kellonajan, anna se manuaalisesti.

Argumentit

Argumentti

Kuvaus

FILENAMEFILENAME` | Tiedoston palauttaminen

Esimerkki

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443

Klusterointi#

NetHSM on tilaton, joten useita NetHSM-laitteita voidaan käyttää erittäin suuren läpimenon käsittelyyn ja korkean käytettävyyden tarjoamiseen. PKCS#11-moduuli tukee NetHSM-instanssien klusterin round-robin-aikataulua. NetHSM:n useita instansseja voidaan synkronoida salattujen varmuuskopioiden avulla. Tätä varten erillinen järjestelmä lataa ja lataa varmuuskopiotiedostot instanssien välillä. Tämä erillinen järjestelmä ei pääse käsiksi varmuuskopiointitietoihin selvänä tekstinä, koska varmuuskopiotiedostot on salattu. Synkronointi voidaan helposti skriptata käyttämällä pynitrokey, kuten tässä esimerkissä ` <https://github.com/Nitrokey/nitrokey-snippets/tree/main/nethsm/sync>` __.

Ohjelmiston päivitys#

Ohjelmistopäivitykset voidaan asentaa kaksivaiheisesti. Ensin päivityskuva on ladattava osoitteeseen Provisioned NetHSM. NetHSM tarkistaa kuvan aitouden, eheyden ja versionumeron. Valinnaisesti NetHSM näyttää mahdolliset julkaisutiedotteet.

Varoitus

Beta-päivityksen asentaminen voi aiheuttaa tietojen menetyksen! Vakaiden versioiden ei pitäisi aiheuttaa tietojen menetystä. On kuitenkin suositeltavaa luoda varmuuskopio ennen päivitystä.

Päivitystiedosto voidaan ladata seuraavasti.

Argumentit

Argumentti

Kuvaus

``FILENAME``FILENAMEFILENAME`

Päivitä tiedosto

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin
Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443

Tämän jälkeen päivitys voidaan ottaa käyttöön tai keskeyttää. Katso haluamasi vaihtoehto alla. Jos NetHSM:stä katkaistaan virta ennen ”commit”-toimintoa, päivitystiedosto on ladattava uudelleen.

Tärkeä

Jos päivityskuvan lataaminen epäonnistuu ja ilmoitus Error: NetHSM request failed: Bad request -- malformed image tulee, noudata seuraavia ohjeita.

  1. Varmista, että sinulla on voimassa oleva päivitystiedosto tarkistamalla se annetusta allekirjoituksesta.

  2. Varmista, ettei sinulla ole käytössäsi korkeaa lokitasoa, kuten DEBUG. Lisätietoja lokitason määrityksestä on luvussa Lokien kirjaaminen.

  3. Käynnistä laite uudelleen vapauttaaksesi käytetyn muistin.

Päivitystä voidaan soveltaa (sitoa) seuraavasti. Tietojen siirto suoritetaan vasta sen jälkeen, kun ** NetHSM on onnistuneesti käynnistänyt uuden järjestelmäohjelmistoversion.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443

Päivitys voidaan peruuttaa seuraavasti.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443

Järjestelmätiedot#

Järjestelmätiedot, kuten laiteohjelmiston versio, ohjelmistoversio ja laitteistoversio, voidaan hakea seuraavasti.

Esimerkki

$ nitropy nethsm -h $NETHSM_HOST system-info
Host:             192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1.0
Build tag:        v2.0-0-g17ad829

Uudelleenkäynnistys ja sammutus#

NetHSM voidaan käynnistää uudelleen ja sammuttaa joko etänä tai NetHSM-laitteiston etuosassa olevalla uudelleenkäynnistys- ja virrankatkaisupainikkeella.

Etäuuskäynnistys voidaan käynnistää seuraavasti.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

Etäpysäytys voidaan käynnistää seuraavasti.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Palauta tehdasasetuksiin#

Provisioned NetHSM voidaan palauttaa tehdasasetuksiin. Tällöin kaikki käyttäjätiedot poistetaan turvallisesti ja NetHSM käynnistyy Unprovisioned -tilaan. Tämän jälkeen voit halutessasi provisioida NetHSM:n.

Palautus tehdasasetuksiin voidaan suorittaa seuraavasti.

Esimerkki

$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Käyttäjien hallinta#

Roolit#

NetHSM mahdollistaa tehtävien erottamisen toisistaan käyttämällä eri rooleja. Jokaiselle NetHSM:ään määritetylle käyttäjätilille on määritetty jokin seuraavista Rooleista.

Rooli

Kuvaus

Hallinnoija

Käyttäjätilillä, jolla on tämä rooli, on pääsy kaikkiin NetHSM:n tarjoamiin toimintoihin, lukuun ottamatta avainten käyttöoperaatioita eli viestien allekirjoittamista ja purkamista.

Operator

Käyttäjätilillä, jolla on tämä rooli, on pääsy kaikkiin avainten käyttöoperaatioihin, vain lukemiseen tarkoitettuun osajoukkoon avainten hallintatoimintoja ja käyttäjähallintatoimintoihin, jotka mahdollistavat muutokset vain omalle tilille.

Metrics

Käyttäjätilillä, jolla on tämä rooli, on vain lukuoikeudet metriikkatoimintoihin.

Backup

Käyttäjätilillä, jolla on tämä rooli, on käyttöoikeus vain järjestelmän varmuuskopioinnin käynnistämiseen tarvittaviin toimintoihin.

Katso Namespaces ja Tags tarkemmista käyttöoikeusrajoituksista.

Muista

Tulevassa versiossa voidaan ottaa käyttöön lisää Rooleja.

Lisää käyttäjä#

Lisää käyttäjätili NetHSM:ään. Jokaisella käyttäjätilillä on Role, joka on määritettävä. Lisätietoja rooleista on luvussa Roolit .

Valinnaisesti käyttäjälle voidaan määrittää *Nimiavaruus*.

Muista

Käyttäjätunnuksen on oltava aakkosnumeerinen. NetHSM määrittää satunnaisen käyttäjätunnuksen, jos sellaista ei ole määritetty.

Käyttäjätili voidaan lisätä seuraavasti.

Velvoittavat vaihtoehdot

Vaihtoehto

Kuvaus

-n, --real-name TEXT

Uuden käyttäjän oikea nimi

-N, --namespace TEXT

Uuden käyttäjän nimiavaruus

-r, --role [Administrator|Operator|Metrics|Backup]

Uuden käyttäjän Rooli

-p, --passphrase TEXT

Uuden käyttäjän salasana

Vaihtoehdot

Vaihtoehto

Kuvaus

-u, --user-id TEXT

Uuden käyttäjän käyttäjätunnus

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Oletusarvoisesti nimiavaruus periytyy käyttäjältä, joka lisää uuden käyttäjän. Vain käyttäjät, joilla ei ole nimiavaruutta, voivat valita eri nimiavaruuden uusille käyttäjille. Namespacea käytetään käyttäjän nimen etuliitteenä, esimerkiksi namespace~user. Näin ollen samaa käyttäjänimeä voidaan käyttää useassa Namespacessa.

Poista käyttäjä#

Käyttäjätilin poistaminen NetHSM:stä.

Varoitus

Poistaminen on pysyvää, eikä sitä voida peruuttaa.

Käyttäjätili voidaan poistaa seuraavasti.

Argumentit

Argumentti

Kuvaus

``USER_ID``USER_IDUSER_ID`

Käyttäjän käyttäjätunnus.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443

Luettelo käyttäjistä#

Luettelo NetHSM:n käyttäjistä.

Luettelo voidaan hakea seuraavasti.

Vaihtoehdot

Vaihtoehto

Kuvaus

--details, --no-details

Käyttäjän oikean nimen ja roolin kysely.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Nimiavaruuden käyttäjät voivat nähdä vain saman nimiavaruuden käyttäjiä.

Käyttäjän salasana#

Käyttäjätilin salasana voidaan nollata. Tunnuslause asetetaan alun perin käyttäjätilin lisäämisen yhteydessä.

Muista

Salasanojen on oltava >= 10 ja <= 200 merkkiä.

Käyttäjän salasana voidaan asettaa seuraavasti.

Velvoittavat vaihtoehdot

Vaihtoehto

Kuvaus

-u, --user-id TEXT

Käyttäjän käyttäjätunnus

-p, --passphrase TEXT

Käyttäjän uusi salasana

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Nimiavaruudet#

Nimiavaruudet otettiin käyttöön ohjelmistoversiossa 2.0. Kun siirrytään aiemmasta ohjelmistoversiosta, kaikki nykyiset käyttäjät ja avaimet ovat ilman nimiavaruutta.

Vastaavasti kuin osioiden käsite, NetHSM tukee joustavampia Namespaces -nimialueita, joissa NetHSM:n avaimet, järjestelmänvalvojat ja käyttäjät ryhmitellään erillisiin osajoukkoihin. Käyttäjät voivat nähdä ja käyttää vain samassa nimiavaruudessa olevia avaimia ja nähdä vain samassa nimiavaruudessa olevia käyttäjiä. Käyttäjiä ei voi nähdä eikä muiden nimiavaruuksien avaimia voi nähdä ja käyttää. Kun uusi käyttäjä luodaan, se perii sen luoneen käyttäjän nimiavaruuden. Käytettävissä oleva tallennuskapasiteetti jaetaan kaikkien Namespacen kesken.

Käyttäjiä, joilla on Järjestelmänvalvoja -rooli kutsutaan myös nimellä R-Administrator, jos he eivät ole nimiavaruudessa, tai N-Administrator, jos he ovat nimiavaruudessa.

Erityissääntöjä sovelletaan R-Administrator -käyttäjiin: Hän voi asettaa nimiavaruuden uusille käyttäjille, luetella kaikki käyttäjät ja kysyä käyttäjän nimiavaruutta. Myös NetHSM-konfiguraatiota voivat käyttää vain R-Administrator -käyttäjät. R-ylläpitäjät eivät voi nähdä nimiavaruuden avaimia.

Jotta voit luoda avaimia ja käyttäjiä nimiavaruuteen, nimiavaruuden on oltava luotu R-Administrator -käyttäjän toimesta. Kun nimiavaruus on luotu, R-Administrator -käyttäjät eivät voi enää luoda, poistaa tai muokata käyttäjiä kyseisessä nimiavaruudessa. Näin voidaan suojata nimiavaruuksien avaimet, joihin R-Administrator pääsee käsiksi (myös epäsuorasti lisäämällä uusi käyttäjä tai palauttamalla olemassa olevan käyttäjän tai ylläpitäjän tunnukset). Tämän vuoksi on tarpeen luoda nimiavaruudelle N-Administrator -käyttäjä ennen nimiavaruuden luomista. R-Administrator -käyttäjät voivat myös poistaa nimiavaruuden ja kaikki sen sisältämät avaimet.

Luettelo nimiavaruuksista#

Luettele NetHSM:n nimiavaruudet.

Luettelo voidaan hakea seuraavasti.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST list-namespaces
Namespaces on NetHSM localhost:8843:
- ns1
- ns2

Lisää nimiavaruus#

Lisää nimiavaruus NetHSM:ään.

R-Administrator -käyttäjät voivat luoda uusia tilejä nimiavaruuteen jo ennen sen luomista. Luomisen jälkeen vain N-Administrator -käyttäjät voivat hallinnoida Namespace-käyttäjiä. Avainten luominen ja käyttö Namespaceen on mahdollista vasta sen lisäämisen jälkeen.

Muista

Nimiavaruuden tunnuksen on oltava aakkosnumeerinen. NetHSM määrittää satunnaisen käyttäjätunnuksen, jos sellaista ei ole määritetty.

Nimiavaruus voidaan lisätä seuraavasti.

Argumentit

Argumentti

Kuvaus

NAMESPACE | Uusi nimiavaruus.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1
Namespace ns1 added to NetHSM localhost:8443

Poista nimiavaruus#

Nimiavaruuden poistaminen NetHSM:stä.

Nimiavaruuden poistaminen poistaa myös kaikki kyseisen nimiavaruuden avaimet. Nimiavaruuden jäljellä olevat käyttäjät eivät voi lisätä avaimia ennen kuin nimiavaruus on lisätty uudelleen.

Nimiavaruuden voi poistaa seuraavasti.

Argumentit

Argumentti

Kuvaus

”NAMESPACE

Poistettava nimiavaruus.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1
Namespace ns1 deleted on NetHSM localhost:8443

Käyttäjien tunnisteet#

Tunnisteilla voidaan asettaa hienojakoisia käyttöoikeusrajoituksia avaimille, ja ne ovat valinnainen ominaisuus. Yksi tai useampi Tunnisteet voidaan määrittää käyttäjätileille, joilla on vain Operaattori -rooli. * Operaattorit* näkevät kaikki avaimet, mutta voivat käyttää vain niitä, joilla on vähintään yksi vastaava Tag. Avainta ei voi muuttaa Operator -käyttäjä.

Jos haluat lisätietoja siitä, miten Tunnisteita käytetään avaimissa, katso Tunnisteet avaimille.

Tag voidaan lisätä seuraavasti.

Argumentit

Argumentti

Kuvaus

``USER_ID``USER_IDUSER_ID`

Käyttäjätunnus, jolle tunniste asetetaan.

TAG`

Käyttäjätunnukselle asetettava tunniste.

Esimerkki

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin
Added tag berlin for user operator1 on the NetHSM localhost:8443

Tag voidaan poistaa seuraavasti.

Argumentit

Argumentti

Kuvaus

``USER_ID``USER_IDUSER_ID`

Käyttäjätunnus, jolle tunniste asetetaan.

TAG`

Käyttäjätunnukselle asetettava tunniste.

Esimerkki

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin
Deleted tag berlin for user operator1 on the NetHSM localhost:8443