Hallinto#
Tässä luvussa kuvataan hallintatehtäviä käyttäjille, joilla on Administrator -rooli. Lisätietoja roolista on luvussa Roolit.
Tärkeä
Varmista, että olet lukenut tämän asiakirjan alussa olevat tiedot ennen työn aloittamista.
Järjestelmän hallinta#
Laitteen tiedot#
NetHSM:n myyjä- ja tuotetiedot voidaan hakea seuraavasti.
Esimerkki
$ nitropy nethsm --host $NETHSM_HOST info
Host: localhost:8443
Vendor: Nitrokey GmbH
Product: NetHSM
Tietoa /info-päätepisteestä löytyy API-dokumentaatiosta.
Käynnistystila#
NetHSM:ää voidaan käyttää Attended Boot -tilassa ja Unattended Boot -tilassa.
Käynnistystila |
Kuvaus |
---|---|
Osallistui Boot |
NetHSM käynnistyy _Locked_-tilaan. Jokaisen käynnistyksen yhteydessä on syötettävä Unlock Passphrase, jota käytetään käyttäjätietojen salauksen purkamiseen. Turvallisuussyistä tätä tilaa suositellaan, ja se on oletustila juuri käyttöönotetussa järjestelmässä. |
Valvomaton käynnistys |
Järjestelmä käynnistyy ilman valvontaa ilman, että tarvitsee syöttää Unlock Passphrase _Operational_ -tilaan. Käytä tätä tilaa, jos käytettävyysvaatimuksia ei voida täyttää Attended Boot -tilassa. |
Varoitus
Käynnistystilasta riippumatta Unlock Passphrase säilyttää voimassaolonsa, ja sitä tarvitaan varmuuskopioiden palauttamiseen muilla laitteistoilla. Pidä Unlock Passphrase aina tallessa.
Nykyinen käynnistystila voidaan hakea seuraavasti.
Esimerkki
$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
Unattended boot: off
Tietoa /config/unattended-boot-päätepisteestä löytyy API-dokumentaatiosta.
Käynnistystilaa voidaan muuttaa seuraavasti. Seuraavan käynnistyksen yhteydessä NetHSM käyttäytyy vastaavasti.
Argumentit
Argumentti |
Kuvaus |
---|---|
Tila |
Ota käyttöön tai poista käytöstä Vartioimaton käynnistys. Voi saada arvon |
Esimerkki
$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443
Tietoa /config/unattended-boot-päätepisteestä löytyy API-dokumentaatiosta.
Valtio#
NetHSM-ohjelmistossa on neljä tilaa: Toimimaton, Toimimaton, Lukittu ja Käytössä.
Valtio |
Kuvaus |
---|---|
Varmistamaton |
NetHSM ilman konfigurointia (tehdasasetukset) |
Provisioned |
NetHSM kokoonpanon kanssa. Provisioned-tila merkitsee joko Operational- tai Locked-tilaa. |
Operational |
NetHSM on konfiguroitu ja valmis suorittamaan komentoja. Operational-tila edellyttää Provisioned-tilaa. |
Lukittu |
NetHSM, jossa on konfiguraatio, mutta salatut ja saavuttamattomat tietovarastot. Seuraava vaihe on yleensä järjestelmän lukituksen avaaminen. * Locked* -tilassa on Provisioned -tilassa. |
NetHSM:n nykyinen tila voidaan hakea seuraavasti.
Esimerkki
$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned
Tietoa /health/state-päätepisteestä löytyy API-dokumentaatiosta.
Uudella NetHSM:llä on tila Unprovisioned, ja käyttöönoton jälkeen se siirtyy tilaan Operational. NetHSM:n käyttöönotto on kuvattu luvussa Käyttöönotto.
Toimintatilassa oleva NetHSM voidaan lukita uudelleen sen suojaamiseksi seuraavasti.
Esimerkki
$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked
Tietoa /lock-päätepisteestä löytyy API-dokumentaatiosta.
NetHSM, joka on tilassa Locked, voidaan vapauttaa seuraavasti. Kun NetHSM on _Locked_-tilassa, muut toiminnot eivät ole mahdollisia. Sen jälkeen NetHSM on _Operational_-tilassa.
Esimerkki
$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked
Tietoa /unlock-päätepisteestä löytyy API-dokumentaatiosta.
Salasanan avaaminen#
Lukituksen avauslauseketta käytetään Lukituksen avaimen muodostamiseen, jos NetHSM on Lukittu-tilassa. Tunnuslause asetetaan alun perin NetHSM:n käyttöönoton yhteydessä.
Varoitus
Salasanan avaamista ei voi nollata tietämättä sen nykyistä arvoa. Jos lukituksen avauslauseke katoaa, sitä ei voida palauttaa uuteen arvoon eikä NetHSM:n lukitusta voida avata.
Lukituksen avauslauseke voidaan asettaa seuraavasti.
Vaihtoehdot
Vaihtoehto |
Kuvaus |
---|---|
|
Uusi avaussalasana |
|
Nykyinen avaussalasana |
|
Älä pyydä vahvistusta ennen salasanan muuttamista. |
Esimerkki
$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443
Tietoa /config/unlock-passphrase-päätepisteestä löytyy API-dokumentaatiosta.
TLS-sertifikaatti#
TLS-varmentetta käytetään HTTPS-pohjaisessa REST API:ssa, joten myös nitropy käyttää sitä. Käyttöönoton yhteydessä luodaan itse allekirjoitettu varmenne. Varmenne voidaan korvata esimerkiksi varmentajan (CA) allekirjoitetulla varmenteella. Tällöin on luotava Certificate Signing Request (CSR). Allekirjoituksen jälkeen varmenne on tuotava NetHSM:ään.
Muutos on tarpeen vain silloin, kun todistus on tarkoitus korvata. Tällainen muutos voi olla sen korvaaminen varmentajan allekirjoittamalla varmenteella.
TLS-varmenne voidaan hakea seuraavasti.
Velvoittavat vaihtoehdot
Vaihtoehto |
Kuvaus |
---|---|
|
Get the certificate for the NetHSM TLS interface |
Esimerkki
$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----
Tietoa /config/tls/cert.pem-päätepisteestä löytyy API-dokumentaatiosta.
TLS-varmenne voidaan luoda seuraavasti.
Velvoittavat vaihtoehdot
Vaihtoehto |
Kuvaus |
---|---|
|
Luodun avaimen tyyppi |
|
Luodun avaimen pituus |
Esimerkki
$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443
Tietoa /config/tls/generate-päätepisteestä löytyy API-dokumentaatiosta.
Varmenteen allekirjoituspyyntö (CSR) voidaan luoda seuraavasti.
Velvoittavat vaihtoehdot
Vaihtoehto |
Kuvaus |
---|---|
|
Luo CSR NetHSM TLS -sertifikaattia varten. |
|
Maan nimi |
|
Osavaltion tai maakunnan nimi |
|
Paikkakunnan nimi |
|
Organisaation nimi |
|
Organisaatioyksikön nimi |
|
Yleinen nimi |
|
Sähköpostiosoite |
Esimerkki
$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----
Tietoa /config/tls/csr.pem-päätepisteestä löytyy API-dokumentaatiosta.
Varmenne voidaan korvata seuraavasti.
Velvoittavat vaihtoehdot
Vaihtoehto |
Kuvaus |
---|---|
|
Aseta varmenne NetHSM TLS -liitännän varmenteen käyttöön. |
Argumentit
Argumentti |
Kuvaus |
---|---|
``FILENAME``FILENAMEFILENAME` |
Todistustiedosto |
Esimerkki
nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate
Tietoa /config/tls/csr.pem-päätepisteestä löytyy API-dokumentaatiosta.
Verkko#
Verkkokokoonpano määrittää Verkkoportin asetukset.
Muista
Näissä asetuksissa ei määritetä BMC-verkkoporttia.
Verkon kokoonpano voidaan hakea seuraavasti.
Velvoittavat vaihtoehdot
Vaihtoehto |
Kuvaus |
---|---|
|
Verkon kokoonpanon kysely |
Esimerkki
$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
IP address: 192.168.1.1
Netmask: 255.255.255.0
Gateway: 0.0.0.0
Tietoa /config/network-päätepisteestä löytyy API-dokumentaatiosta.
Määritä verkon kokoonpano seuraavasti.
Muista
NetHSM ei tue DHCP:tä (Dynamic Host Configuration Protocol).
Muista
NetHSM ei tue IPv6:ta (Internet Protocol version 6).
Velvoittavat vaihtoehdot
Vaihtoehto |
Kuvaus |
---|---|
|
Uusi IP-osoite |
|
Uusi verkkomerkki |
|
Uusi portti |
Esimerkki
$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443
Tietoa /config/network-päätepisteestä löytyy API-dokumentaatiosta.
Aika#
Aika-asetus määrittää NetHSM-ohjelmiston järjestelmäajan. Järjestelmäaikaa ei yleensä tarvitse asettaa, koska se asetetaan käyttöönoton yhteydessä.
Aikakonfiguraatio voidaan hakea seuraavasti.
Velvoittavat vaihtoehdot
Vaihtoehto |
Kuvaus |
---|---|
|
Järjestelmän kellonajan kysely |
Esimerkki
$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time: 2022-08-17 11:40:00+00:00
Tietoa /config/time-päätepisteestä löytyy API-dokumentaatiosta.
Aseta NetHSM:n aika.
Tärkeä
Varmista, että aika ilmoitetaan UTC-aikavyöhykkeessä.
Argumentit
Argumentti |
Kuvaus |
---|---|
|
Asetettava järjestelmäaika (Muoto: VVVV-KK-PKK-PKK:MM:SSZ). |
Esimerkki
$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443
Tietoa /config/time-päätepisteestä löytyy API-dokumentaatiosta.
Mittarit#
NetHSM kirjaa järjestelmän parametrien mittarit. Lisätietoja kustakin metriikasta on osoitteessa Metrics.
Mittarit voidaan hakea seuraavasti.
Tarvittava tehtävä
Tämä toiminto edellyttää todennusta Metrics -roolilla.
Esimerkki
$ nitropy nethsm -h $NETHSM_HOST metrics
Metric Value
---------------------------- --------
client connections 0
established state 6
external.received bytes 989931
external.received packets 13239
external.transmitted bytes 25908953
external.transmitted packets 22037
free chunk count 322
gc compactions 0
gc major bytes 21348352
gc major collections 35
gc minor collections 2652
http response 200 28
http response 201 1
http response 204 1
http response 400 1
http response 403 1
http response 404 145
http response 412 1
http response time 0.084998
http response total 178
internal.received bytes 66541
internal.received packets 1130
internal.transmitted bytes 63802
internal.transmitted packets 1133
kv write 2
log errors 3
log warnings 3
maximum allocated space 64528384
maximum releasable bytes 1216
mmapped region count 0
new sleeper size 1
non-mmapped allocated bytes 64528384
sleep queue size 11
syn-rcvd state 0
timers 2
total allocated space 43940832
total client 1
total established 515
total free space 20587552
total sleeper size 12
total syn-rcvd 514
total timers 526
uptime 17626
Tietoa /metrics-päätepisteestä löytyy API-dokumentaatiosta.
Kirjaaminen#
NetHSM voi kirjata järjestelmätapahtumia sarjaporttiin tai verkon syslog-palvelimeen.
Tärkeä
Tuotantokäytössä NetHSM-lokia olisi seurattava jatkuvasti, jotta mahdollisista tietoturvaongelmista voidaan ilmoittaa välittömästi.
Syslog-palvelimen kokoonpano voidaan hakea seuraavasti.
Velvoittavat vaihtoehdot
Vaihtoehto |
Kuvaus |
---|---|
|
Kysy kirjauskonfiguraatiota |
Esimerkki
$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
IP address: 0.0.0.0
Port: 514
Log level: info
Tietoa /config/logging-päätepisteestä löytyy API-dokumentaatiosta.
Syslog-palvelimen asetukset voidaan määrittää seuraavasti.
Velvoittavat vaihtoehdot
Vaihtoehto |
Kuvaus |
---|---|
|
Uuden kirjauskohteen IP-osoite |
|
Uuden kirjauskohteen portti |
|
Uusi lokitaso |
Esimerkki
$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443
Tietoa /config/logging-päätepisteestä löytyy API-dokumentaatiosta.
Sarjakonsoli toimii heti NetHSM-laitteiston alusta alkaen. Se sisältää NetHSM-laiteohjelmiston ja NetHSM-ohjelmiston tapahtumat.
Sarjakonsoliyhteyden asetukset ovat seuraavat.
Asetukset |
Arvo |
---|---|
Baudinopeus |
115200 |
Databitit |
8 |
Stopbitit |
1 |
Pariteetti |
Ei ole |
Virtauksen säätö |
Ei ole |
Varmuuskopiointi#
NetHSM:n Käyttäjätiedot voidaan tallentaa varmuuskopiotiedostoon. Tämä varmuuskopiotiedosto sisältää kaikki Käyttäjätiedot, eli Konfiguraatiovaraston, Authentication Store, Domain Key Store ja Key Store.
Tärkeä
NetHSM-järjestelmäohjelmisto, joka on valvomaton käynnistys -tilassa, vaatii Unlock Passphrase -salasanan, jos se palautetaan toiseen NetHSM-laitteistoon. Lisätietoja on luvussa Unlock Passphrase.
Tärkeä
Vartioimattomassa käynnistystilassa oleva NetHSM on samassa tilassa palautuksen jälkeen.
Ennen varmuuskopioinnin aloittamista Varmuuskopiointisalasana on asetettava. Backup Passphrase:a käytetään varmuuskopiotiedoston tietojen salaamiseen.
Varoitus
Varmuuskopiointisalasanaa ei voi nollata tietämättä sen nykyistä arvoa. Jos varmuuskopiointisalasana menetetään, sitä ei voida palauttaa uuteen arvoon eikä luotuja varmuuskopioita voida palauttaa.
Varmistussalasana voidaan asettaa seuraavasti.
Vaihtoehdot
Vaihtoehto |
Kuvaus |
---|---|
|
Uusi varmuuskopiointisalasana |
|
Nykyinen varmuuskopiointisalasana (tai tyhjä merkkijono, jos sitä ei ole asetettu) |
|
Älä pyydä vahvistusta ennen salasanan muuttamista. |
Esimerkki
$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443
Tietoa /config/backup-passphrase-päätepisteestä löytyy API-dokumentaatiosta.
Varmuuskopiointi voidaan suorittaa seuraavasti.
Tarvittava tehtävä
Tämä toiminto edellyttää todennusta Backup -roolilla.
Argumentit
Argumentti |
Kuvaus |
---|---|
``FILENAME``FILENAMEFILENAME` |
Varmuuskopiotiedosto |
Esimerkki
$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup
Palauta#
NetHSM voidaan palauttaa varmuuskopiotiedostosta.
Jos NetHSM on Unprovisioned, se palauttaa kaikki Käyttäjätiedot mukaan lukien järjestelmän kokoonpanon ja uudelleenkäynnistyksen. Tämän vuoksi järjestelmä voi saada erilaiset verkkoasetukset, TLS-varmenteen ja Unlock Passphrase jälkeenpäin.
Jos NetHSM on Provisioned, se palauttaa käyttäjät ja käyttäjäavaimet mutta ei järjestelmän kokoonpanoa. Tällöin kaikki aiemmin olemassa olleet käyttäjät ja käyttäjäavaimet poistetaan. NetHSM päättyy Operational -tilaan.
Palautusta voidaan soveltaa seuraavasti.
Vaihtoehdot
Vaihtoehto |
Kuvaus |
---|---|
|
Varmistussalasana |
|
Asetettava järjestelmäaika (Muoto: |
Tärkeä
Varmista, että paikallisen tietokoneen kellonaika on asetettu oikein. Jos haluat asettaa eri kellonajan, anna se manuaalisesti.
Argumentit
Argumentti |
Kuvaus |
|
---|---|---|
|
Esimerkki
$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443
Tietoa /system/restore-päätepisteestä löytyy API-dokumentaatiosta.
Klusterointi#
NetHSM on tilaton, joten useita NetHSM-laitteita voidaan käyttää erittäin suuren läpimenon käsittelyyn ja korkean käytettävyyden tarjoamiseen. PKCS#11-moduuli tukee NetHSM-instanssien klusterin round-robin-aikataulua. NetHSM:n useita instansseja voidaan synkronoida salattujen varmuuskopioiden avulla. Tätä varten erillinen järjestelmä lataa ja lataa varmuuskopiotiedostot instanssien välillä. Tämä erillinen järjestelmä ei pääse käsiksi varmuuskopiointitietoihin selvänä tekstinä, koska varmuuskopiotiedostot on salattu. Synkronointi voidaan helposti skriptata käyttämällä pynitrokey, kuten tässä esimerkissä ` <https://github.com/Nitrokey/nitrokey-snippets/tree/main/nethsm/sync>` __.
Ohjelmiston päivitys#
Ohjelmistopäivitykset voidaan asentaa kaksivaiheisesti. Ensin päivityskuva on ladattava osoitteeseen Provisioned NetHSM. NetHSM tarkistaa kuvan aitouden, eheyden ja versionumeron. Valinnaisesti NetHSM näyttää mahdolliset julkaisutiedotteet.
Varoitus
Beta-päivityksen asentaminen voi aiheuttaa tietojen menetyksen! Vakaiden versioiden ei pitäisi aiheuttaa tietojen menetystä. On kuitenkin suositeltavaa luoda varmuuskopio ennen päivitystä.
Päivitystiedosto voidaan ladata seuraavasti.
Argumentit
Argumentti |
Kuvaus |
---|---|
``FILENAME``FILENAMEFILENAME` |
Päivitä tiedosto |
Esimerkki
$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin
Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443
Tämän jälkeen päivitys voidaan ottaa käyttöön tai keskeyttää. Katso haluamasi vaihtoehto alla. Jos NetHSM:stä katkaistaan virta ennen ”commit”-toimintoa, päivitystiedosto on ladattava uudelleen.
Tärkeä
Jos päivityskuvan lataaminen epäonnistuu ja ilmoitus Error: NetHSM request failed: Bad request -- malformed image
tulee, noudata seuraavia ohjeita.
Varmista, että sinulla on voimassa oleva päivitystiedosto tarkistamalla se annetusta allekirjoituksesta.
Varmista, ettei sinulla ole käytössäsi korkeaa lokitasoa, kuten
DEBUG
. Lisätietoja lokitason määrityksestä on luvussa Lokien kirjaaminen.Käynnistä laite uudelleen vapauttaaksesi käytetyn muistin.
Päivitystä voidaan soveltaa (sitoa) seuraavasti. Tietojen siirto suoritetaan vasta sen jälkeen, kun ** NetHSM on onnistuneesti käynnistänyt uuden järjestelmäohjelmistoversion.
Esimerkki
$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443
Tietoa /system/commit-update-päätepisteestä löytyy API-dokumentaatiosta.
Päivitys voidaan peruuttaa seuraavasti.
Esimerkki
$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443
Tietoa /system/cancel-update-päätepisteestä löytyy API-dokumentaatiosta.
Järjestelmätiedot#
Järjestelmätiedot, kuten laiteohjelmiston versio, ohjelmistoversio ja laitteistoversio, voidaan hakea seuraavasti.
Esimerkki
$ nitropy nethsm -h $NETHSM_HOST system-info
Host: 192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1.0
Build tag: v2.0-0-g17ad829
Tietoa /system/info-päätepisteestä löytyy API-dokumentaatiosta.
Uudelleenkäynnistys ja sammutus#
NetHSM voidaan käynnistää uudelleen ja sammuttaa joko etänä tai NetHSM-laitteiston etuosassa olevalla uudelleenkäynnistys- ja virrankatkaisupainikkeella.
Etäuuskäynnistys voidaan käynnistää seuraavasti.
Esimerkki
$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot
Etäpysäytys voidaan käynnistää seuraavasti.
Esimerkki
$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown
Tietoa /system/shutdown-päätepisteestä löytyy API-dokumentaatiosta.
Palauta tehdasasetuksiin#
Provisioned NetHSM voidaan palauttaa tehdasasetuksiin. Tällöin kaikki käyttäjätiedot poistetaan turvallisesti ja NetHSM käynnistyy Unprovisioned -tilaan. Tämän jälkeen voit halutessasi provisioida NetHSM:n.
Palautus tehdasasetuksiin voidaan suorittaa seuraavasti.
Esimerkki
$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset
Tietoa /system/factory-reset-päätepisteestä löytyy API-dokumentaatiosta.
Käyttäjien hallinta#
Roolit#
NetHSM mahdollistaa tehtävien erottamisen toisistaan käyttämällä eri rooleja. Jokaiselle NetHSM:ään määritetylle käyttäjätilille on määritetty jokin seuraavista Rooleista.
Rooli |
Kuvaus |
---|---|
Hallinnoija |
Käyttäjätilillä, jolla on tämä rooli, on pääsy kaikkiin NetHSM:n tarjoamiin toimintoihin, lukuun ottamatta avainten käyttöoperaatioita eli viestien allekirjoittamista ja purkamista. |
Operator |
Käyttäjätilillä, jolla on tämä rooli, on pääsy kaikkiin avainten käyttöoperaatioihin, vain lukemiseen tarkoitettuun osajoukkoon avainten hallintatoimintoja ja käyttäjähallintatoimintoihin, jotka mahdollistavat muutokset vain omalle tilille. |
Metrics |
Käyttäjätilillä, jolla on tämä rooli, on vain lukuoikeudet metriikkatoimintoihin. |
Backup |
Käyttäjätilillä, jolla on tämä rooli, on käyttöoikeus vain järjestelmän varmuuskopioinnin käynnistämiseen tarvittaviin toimintoihin. |
Katso Namespaces ja Tags tarkemmista käyttöoikeusrajoituksista.
Muista
Tulevassa versiossa voidaan ottaa käyttöön lisää Rooleja.
Lisää käyttäjä#
Lisää käyttäjätili NetHSM:ään. Jokaisella käyttäjätilillä on Role, joka on määritettävä. Lisätietoja rooleista on luvussa Roolit .
Valinnaisesti käyttäjälle voidaan määrittää *Nimiavaruus*.
Muista
Käyttäjätunnuksen on oltava aakkosnumeerinen. NetHSM määrittää satunnaisen käyttäjätunnuksen, jos sellaista ei ole määritetty.
Käyttäjätili voidaan lisätä seuraavasti.
Velvoittavat vaihtoehdot
Vaihtoehto |
Kuvaus |
---|---|
|
Uuden käyttäjän oikea nimi |
|
Uuden käyttäjän nimiavaruus |
|
Uuden käyttäjän Rooli |
|
Uuden käyttäjän salasana |
Vaihtoehdot
Vaihtoehto |
Kuvaus |
---|---|
|
Uuden käyttäjän käyttäjätunnus |
Esimerkki
$ nitropy nethsm --host $NETHSM_HOST add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443
Tietoa /users-päätepisteestä, jolla luodaan käyttäjä ilman käyttäjätunnuksen määrittämistä, löytyy API-dokumentaatiosta.
Tietoa /users/{UserID}-päätepisteestä, jolla luodaan käyttäjä käyttäjätunnuksen avulla, löytyy `API-dokumentaatiosta <https://nethsmdemo.nitrokey.com/api_docs/index.html#/default/PUT_users-UserID><https://nethsmdemo.nitrokey.com/api_docs/index.html#/default/PUT_users-UserID>`__.
Oletusarvoisesti nimiavaruus periytyy käyttäjältä, joka lisää uuden käyttäjän. Vain käyttäjät, joilla ei ole nimiavaruutta, voivat valita eri nimiavaruuden uusille käyttäjille. Namespacea käytetään käyttäjän nimen etuliitteenä, esimerkiksi namespace~user. Näin ollen samaa käyttäjänimeä voidaan käyttää useassa Namespacessa.
Poista käyttäjä#
Käyttäjätilin poistaminen NetHSM:stä.
Varoitus
Poistaminen on pysyvää, eikä sitä voida peruuttaa.
Käyttäjätili voidaan poistaa seuraavasti.
Argumentit
Argumentti |
Kuvaus |
---|---|
``USER_ID``USER_IDUSER_ID` |
Käyttäjän käyttäjätunnus. |
Esimerkki
$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443
Tietoa /users/{UserID}-päätepisteestä löytyy API-dokumentaatiosta.
Luettelo käyttäjistä#
Luettelo NetHSM:n käyttäjistä.
Luettelo voidaan hakea seuraavasti.
Vaihtoehdot
Vaihtoehto |
Kuvaus |
---|---|
|
Käyttäjän oikean nimen ja roolin kysely. |
Esimerkki
$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:
User ID Real name Role
--------- ----------------- -------------
operator1 Nitrokey Operator Operator
admin admin Administrator
Tietoa /users-päätepisteestä löytyy API-dokumentaatiosta.
Tietoa /users/{UserID}-päätepisteestä löytyy API-dokumentaatiosta.
Nimiavaruuden käyttäjät voivat nähdä vain saman nimiavaruuden käyttäjiä.
Käyttäjän salasana#
Käyttäjätilin salasana voidaan nollata. Tunnuslause asetetaan alun perin käyttäjätilin lisäämisen yhteydessä.
Muista
Salasanojen on oltava >= 10 ja <= 200 merkkiä.
Käyttäjän salasana voidaan asettaa seuraavasti.
Velvoittavat vaihtoehdot
Vaihtoehto |
Kuvaus |
---|---|
|
Käyttäjän käyttäjätunnus |
|
Käyttäjän uusi salasana |
Esimerkki
$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443
Tietoa /users/{UserID}/passphrase-päätepisteestä löytyy API-dokumentaatiosta.
Nimiavaruudet#
Nimiavaruudet otettiin käyttöön ohjelmistoversiossa 2.0. Kun siirrytään aiemmasta ohjelmistoversiosta, kaikki nykyiset käyttäjät ja avaimet ovat ilman nimiavaruutta.
Vastaavasti kuin osioiden käsite, NetHSM tukee joustavampia Namespaces -nimialueita, joissa NetHSM:n avaimet, järjestelmänvalvojat ja käyttäjät ryhmitellään erillisiin osajoukkoihin. Käyttäjät voivat nähdä ja käyttää vain samassa nimiavaruudessa olevia avaimia ja nähdä vain samassa nimiavaruudessa olevia käyttäjiä. Käyttäjiä ei voi nähdä eikä muiden nimiavaruuksien avaimia voi nähdä ja käyttää. Kun uusi käyttäjä luodaan, se perii sen luoneen käyttäjän nimiavaruuden. Käytettävissä oleva tallennuskapasiteetti jaetaan kaikkien Namespacen kesken.
Käyttäjiä, joilla on Järjestelmänvalvoja -rooli kutsutaan myös nimellä R-Administrator, jos he eivät ole nimiavaruudessa, tai N-Administrator, jos he ovat nimiavaruudessa.
Erityissääntöjä sovelletaan R-Administrator -käyttäjiin: Hän voi asettaa nimiavaruuden uusille käyttäjille, luetella kaikki käyttäjät ja kysyä käyttäjän nimiavaruutta. Myös NetHSM-konfiguraatiota voivat käyttää vain R-Administrator -käyttäjät. R-ylläpitäjät eivät voi nähdä nimiavaruuden avaimia.
Jotta voit luoda avaimia ja käyttäjiä nimiavaruuteen, nimiavaruuden on oltava luotu R-Administrator -käyttäjän toimesta. Kun nimiavaruus on luotu, R-Administrator -käyttäjät eivät voi enää luoda, poistaa tai muokata käyttäjiä kyseisessä nimiavaruudessa. Näin voidaan suojata nimiavaruuksien avaimet, joihin R-Administrator pääsee käsiksi (myös epäsuorasti lisäämällä uusi käyttäjä tai palauttamalla olemassa olevan käyttäjän tai ylläpitäjän tunnukset). Tämän vuoksi on tarpeen luoda nimiavaruudelle N-Administrator -käyttäjä ennen nimiavaruuden luomista. R-Administrator -käyttäjät voivat myös poistaa nimiavaruuden ja kaikki sen sisältämät avaimet.
Luettelo nimiavaruuksista#
Luettele NetHSM:n nimiavaruudet.
Luettelo voidaan hakea seuraavasti.
Esimerkki
$ nitropy nethsm --host $NETHSM_HOST list-namespaces
Namespaces on NetHSM localhost:8843:
- ns1
- ns2
Tietoa /namespaces-päätepisteestä löytyy API-dokumentaatiosta.
Lisää nimiavaruus#
Lisää nimiavaruus NetHSM:ään.
R-Administrator -käyttäjät voivat luoda uusia tilejä nimiavaruuteen jo ennen sen luomista. Luomisen jälkeen vain N-Administrator -käyttäjät voivat hallinnoida Namespace-käyttäjiä. Avainten luominen ja käyttö Namespaceen on mahdollista vasta sen lisäämisen jälkeen.
Muista
Nimiavaruuden tunnuksen on oltava aakkosnumeerinen. NetHSM määrittää satunnaisen käyttäjätunnuksen, jos sellaista ei ole määritetty.
Nimiavaruus voidaan lisätä seuraavasti.
Argumentit
Argumentti |
Kuvaus |
|
---|---|---|
|
Esimerkki
$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1
Namespace ns1 added to NetHSM localhost:8443
Tietoa /namespaces/{NamespaceID}-päätepisteestä löytyy API-dokumentaatiosta.
Poista nimiavaruus#
Nimiavaruuden poistaminen NetHSM:stä.
Nimiavaruuden poistaminen poistaa myös kaikki kyseisen nimiavaruuden avaimet. Nimiavaruuden jäljellä olevat käyttäjät eivät voi lisätä avaimia ennen kuin nimiavaruus on lisätty uudelleen.
Nimiavaruuden voi poistaa seuraavasti.
Argumentit
Argumentti |
Kuvaus |
---|---|
”NAMESPACE |
Poistettava nimiavaruus. |
Esimerkki
$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1
Namespace ns1 deleted on NetHSM localhost:8443
Tietoa /namespaces/{NamespaceID}-päätepisteestä löytyy API-dokumentaatiosta.