Hallinto¶

Tässä luvussa kuvataan hallintatehtäviä käyttäjille, joilla on Administrator -rooli. Lisätietoja roolista on luvussa Roolit.

Tärkeä

Varmista, että olet lukenut tämän asiakirjan alussa olevat tiedot ennen työn aloittamista.

Järjestelmän hallinta¶

Laitteen tiedot¶

NetHSM:n myyjä- ja tuotetiedot voidaan hakea seuraavasti.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST info

Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Käynnistystila¶

NetHSM:ää voidaan käyttää Attended Boot -tilassa ja Unattended Boot -tilassa.

Käynnistystila	Kuvaus
Osallistui Boot	NetHSM käynnistyy _Locked_-tilaan. Jokaisen käynnistyksen yhteydessä on syötettävä Unlock Passphrase, jota käytetään käyttäjätietojen salauksen purkamiseen. Turvallisuussyistä tätä tilaa suositellaan, ja se on oletustila juuri käyttöönotetussa järjestelmässä.
Valvomaton käynnistys	Järjestelmä käynnistyy ilman valvontaa ilman, että tarvitsee syöttää Unlock Passphrase _Operational_ -tilaan. Käytä tätä tilaa, jos käytettävyysvaatimuksia ei voida täyttää Attended Boot -tilassa.

Varoitus

Käynnistystilasta riippumatta Unlock Passphrase säilyttää voimassaolonsa, ja sitä tarvitaan varmuuskopioiden palauttamiseen muilla laitteistoilla. Pidä Unlock Passphrase aina tallessa.

Nykyinen käynnistystila voidaan hakea seuraavasti.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot

Configuration for NetHSM localhost:8443:
   Unattended boot: off

Käynnistystilaa voidaan muuttaa seuraavasti. Seuraavan käynnistyksen yhteydessä NetHSM käyttäytyy vastaavasti.

Argumentit

Argumentti	Kuvaus
Tila	Ota käyttöön tai poista käytöstä Vartioimaton käynnistys. Voi saada arvon `on` tai `off`.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on

Updated the unattended boot configuration for NetHSM localhost:8443

Valtio¶

NetHSM-ohjelmistossa on neljä tilaa: Toimimaton, Toimimaton, Lukittu ja Käytössä.

Valtio	Kuvaus
Varmistamaton	NetHSM ilman konfigurointia (tehdasasetukset)
Provisioned	NetHSM kokoonpanon kanssa. Provisioned-tila merkitsee joko Operational- tai Locked-tilaa.
Operational	NetHSM on konfiguroitu ja valmis suorittamaan komentoja. Operational-tila edellyttää Provisioned-tilaa.
Lukittu	NetHSM, jossa on konfiguraatio, mutta salatut ja saavuttamattomat tietovarastot. Seuraava vaihe on yleensä järjestelmän lukituksen avaaminen. * Locked* -tilassa on Provisioned -tilassa.

NetHSM:n nykyinen tila voidaan hakea seuraavasti.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST state

NetHSM localhost:8443 is Unprovisioned

Uudella NetHSM:llä on tila Unprovisioned, ja käyttöönoton jälkeen se siirtyy tilaan Operational. NetHSM:n käyttöönotto on kuvattu luvussa Käyttöönotto.

Toimintatilassa oleva NetHSM voidaan lukita uudelleen sen suojaamiseksi seuraavasti.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST lock

NetHSM localhost:8443 locked

NetHSM, joka on tilassa Locked, voidaan vapauttaa seuraavasti. Kun NetHSM on _Locked_-tilassa, muut toiminnot eivät ole mahdollisia. Sen jälkeen NetHSM on _Operational_-tilassa.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST unlock

NetHSM localhost:8443 unlocked

Salasanan avaaminen¶

Lukituksen avauslauseketta käytetään Lukituksen avaimen muodostamiseen, jos NetHSM on Lukittu-tilassa. Tunnuslause asetetaan alun perin NetHSM:n käyttöönoton yhteydessä.

Varoitus

Salasanan avaamista ei voi nollata tietämättä sen nykyistä arvoa. Jos lukituksen avauslauseke katoaa, sitä ei voida palauttaa uuteen arvoon eikä NetHSM:n lukitusta voida avata.

Lukituksen avauslauseke voidaan asettaa seuraavasti.

Vaihtoehdot

Vaihtoehto	Kuvaus
`-n`, `--new-passphrase` `TEXT`	Uusi avaussalasana
`-p`, `--current-passphrase` `TEXT`	Nykyinen avaussalasana
`-f`, `--force`	Älä pyydä vahvistusta ennen salasanan muuttamista.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase

New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443

TLS-sertifikaatti¶

TLS-varmentetta käytetään HTTPS-pohjaisessa REST API:ssa, joten myös nitropy käyttää sitä. Käyttöönoton yhteydessä luodaan itse allekirjoitettu varmenne. Varmenne voidaan korvata esimerkiksi varmentajan (CA) allekirjoitetulla varmenteella. Tällöin on luotava Certificate Signing Request (CSR). Allekirjoituksen jälkeen varmenne on tuotava NetHSM:ään.

Muutos on tarpeen vain silloin, kun todistus on tarkoitus korvata. Tällainen muutos voi olla sen korvaaminen varmentajan allekirjoittamalla varmenteella.

TLS-varmenne voidaan hakea seuraavasti.

Velvoittavat vaihtoehdot

Vaihtoehto	Kuvaus
`-a`, `--api`	Get the certificate for the NetHSM TLS interface

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api

TLS-varmenne voidaan luoda seuraavasti.

Velvoittavat vaihtoehdot

Vaihtoehto	Kuvaus
`-t`, `--type` `[RSA\|Curve25519\|EC_P224\|EC_P256\|EC_P384\|EC_P521]`	Luodun avaimen tyyppi
`-l`, `--length` `INTEGER`	Luodun avaimen pituus

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519

Key for TLS interface generated on NetHSM localhost:8443

Varmenteen allekirjoituspyyntö (CSR) voidaan luoda seuraavasti.

Velvoittavat vaihtoehdot

Vaihtoehto	Kuvaus
`-a`, `--api`	Luo CSR NetHSM TLS -sertifikaattia varten.
`--country` `TEXT`	Maan nimi
`--state-or-province` `TEXT`	Osavaltion tai maakunnan nimi
`--locality` `TEXT`	Paikkakunnan nimi
`--organization` `TEXT`	Organisaation nimi
`--organizational-unit` `TEXT`	Organisaatioyksikön nimi
`--common-name` `TEXT`	Yleinen nimi
`--email-address` `TEXT`	Sähköpostiosoite

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"

Varmenne voidaan korvata seuraavasti.

Velvoittavat vaihtoehdot

Vaihtoehto	Kuvaus
`-a`, `--api`	Aseta varmenne NetHSM TLS -liitännän varmenteen käyttöön.

Argumentit

Argumentti	Kuvaus
``FILENAME``FILENAMEFILENAME`	Todistustiedosto

Esimerkki

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Verkko¶

Verkkokokoonpano määrittää Verkkoportin asetukset.

Muista

This settings do not configure the BMC Network Port on the NetHSM 1.

Verkon kokoonpano voidaan hakea seuraavasti.

Velvoittavat vaihtoehdot

Vaihtoehto	Kuvaus
`--network`–network–network`	Verkon kokoonpanon kysely

Esimerkki

$ nitropy nethsm -h $NETHSM_HOST get-config --network

Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Määritä verkon kokoonpano seuraavasti.

Muista

NetHSM ei tue DHCP:tä (Dynamic Host Configuration Protocol).

Muista

NetHSM ei tue IPv6:ta (Internet Protocol version 6).

Velvoittavat vaihtoehdot

Vaihtoehto	Kuvaus
`-a`, `--ip-address`	Uusi IP-osoite
`-n`, `--netmask`	Uusi verkkomerkki
`-n`, `--netmask`	Uusi portti

Esimerkki

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0

Updated the network configuration for NetHSM localhost:8443

Aika¶

Aika-asetus määrittää NetHSM-ohjelmiston järjestelmäajan. Järjestelmäaikaa ei yleensä tarvitse asettaa, koska se asetetaan käyttöönoton yhteydessä.

Aikakonfiguraatio voidaan hakea seuraavasti.

Velvoittavat vaihtoehdot

Vaihtoehto	Kuvaus
--time`	Järjestelmän kellonajan kysely

Esimerkki

$ nitropy nethsm -host $NETHSM_HOST get-config --time

Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Aseta NetHSM:n aika.

Tärkeä

Varmista, että aika ilmoitetaan UTC-aikavyöhykkeessä.

Argumentit

Argumentti	Kuvaus
time`	Asetettava järjestelmäaika (Muoto: VVVV-KK-PKK-PKK:MM:SSZ).

Esimerkki

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z

Updated the system time for NetHSM localhost:8443

Mittarit¶

NetHSM kirjaa järjestelmän parametrien mittarit. Lisätietoja kustakin metriikasta on osoitteessa Metrics.

Mittarit voidaan hakea seuraavasti.

Tarvittava tehtävä

Tämä toiminto edellyttää todennusta Metrics -roolilla.

Esimerkki

$ nitropy nethsm -h $NETHSM_HOST metrics

Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Kirjaaminen¶

NetHSM voi kirjata järjestelmätapahtumia sarjaporttiin tai verkon syslog-palvelimeen.

Tärkeä

Tuotantokäytössä NetHSM-lokia olisi seurattava jatkuvasti, jotta mahdollisista tietoturvaongelmista voidaan ilmoittaa välittömästi.

Syslog-palvelimen kokoonpano voidaan hakea seuraavasti.

Velvoittavat vaihtoehdot

Vaihtoehto	Kuvaus
`--network`–network–network`	Kysy kirjauskonfiguraatiota

Esimerkki

$ nitropy nethsm -h $NETHSM_HOST get-config --logging

Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

Syslog-palvelimen asetukset voidaan määrittää seuraavasti.

Velvoittavat vaihtoehdot

Vaihtoehto	Kuvaus
`-p`, `--passphrase` `TEXT`	Uuden kirjauskohteen IP-osoite
`-p`, `--port` `INTEGER`	Uuden kirjauskohteen portti
`-l`, `--log-level` `[debug\|info\|warning\|error]`	Uusi lokitaso

Esimerkki

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info

Updated the logging configuration for NetHSM localhost:8443

Sarjakonsoli toimii heti NetHSM-laitteiston alusta alkaen. Se sisältää NetHSM-laiteohjelmiston ja NetHSM-ohjelmiston tapahtumat.

Sarjakonsoliyhteyden asetukset ovat seuraavat.

Asetukset	Arvo
Baudinopeus	115200
Databitit	8
Stopbitit	1
Pariteetti	Ei ole
Virtauksen säätö	Ei ole

Varmuuskopiointi¶

NetHSM:n Käyttäjätiedot voidaan tallentaa varmuuskopiotiedostoon. Tämä varmuuskopiotiedosto sisältää kaikki Käyttäjätiedot, eli Konfiguraatiovaraston, Authentication Store, Domain Key Store ja Key Store.

Tärkeä

NetHSM-järjestelmäohjelmisto, joka on valvomaton käynnistys -tilassa, vaatii Unlock Passphrase -salasanan, jos se palautetaan toiseen NetHSM-laitteistoon. Lisätietoja on luvussa Unlock Passphrase.

Tärkeä

Vartioimattomassa käynnistystilassa oleva NetHSM on samassa tilassa palautuksen jälkeen.

Ennen varmuuskopioinnin aloittamista Varmuuskopiointisalasana on asetettava. Backup Passphrase:a käytetään varmuuskopiotiedoston tietojen salaamiseen.

Varoitus

Varmuuskopiointisalasanaa ei voi nollata tietämättä sen nykyistä arvoa. Jos varmuuskopiointisalasana menetetään, sitä ei voida palauttaa uuteen arvoon eikä luotuja varmuuskopioita voida palauttaa.

Varmistussalasana voidaan asettaa seuraavasti.

Vaihtoehdot

Vaihtoehto	Kuvaus
`-n`, `--new-passphrase` `TEXT`	Uusi varmuuskopiointisalasana
`-p`, `--current-passphrase` `TEXT`	Nykyinen varmuuskopiointisalasana (tai tyhjä merkkijono, jos sitä ei ole asetettu)
`-f`, `--force`	Älä pyydä vahvistusta ennen salasanan muuttamista.

Esimerkki

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase

New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443

Varmuuskopiointi voidaan suorittaa seuraavasti.

Tarvittava tehtävä

Tämä toiminto edellyttää todennusta Backup -roolilla.

Argumentit

Argumentti	Kuvaus
``FILENAME``FILENAMEFILENAME`	Varmuuskopiotiedosto

Esimerkki

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup

Backup for localhost:8443 written to /tmp/backup

Palauta¶

NetHSM voidaan palauttaa varmuuskopiotiedostosta.

If the NetHSM is Unprovisioned it will restore all User Data including system configuration and reboot. Therefore the system may get different network settings, TLS certificate and Unlock Passphrase afterwards. The NetHSM ends in a Locked state.
Jos NetHSM on Provisioned, se palauttaa käyttäjät ja käyttäjäavaimet mutta ei järjestelmän kokoonpanoa. Tällöin kaikki aiemmin olemassa olleet käyttäjät ja käyttäjäavaimet poistetaan. NetHSM päättyy Operational -tilaan.

Palautusta voidaan soveltaa seuraavasti.

Vaihtoehdot

Vaihtoehto	Kuvaus
`-p`, `--backup-passphrase` `passphrase`	Varmistussalasana
`-t`, `--system-time`	Asetettava järjestelmäaika (Muoto: `YYYY-MM-DDTHH:MM:SSZ`).

Tärkeä

Varmista, että paikallisen tietokoneen kellonaika on asetettu oikein. Jos haluat asettaa eri kellonajan, anna se manuaalisesti.

Argumentit

Argumentti		Kuvaus
FILENAMEFILENAME` \| Tiedoston palauttaminen

Esimerkki

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup

Backup passphrase:
Backup restored on NetHSM localhost:8443

Replication¶

NetHSM is stateless, so that several NetHSM devices can be used to process extremely high throughput and provide high availability. The PKCS#11 module supports round-robin schedule for a cluster of NetHSM instances. Multiple instances of NetHSM can be synchronized via encrypted backups. For this a separate system downloads and uploads backup files between the instances. The synchronization can be easily scripted by using pynitrokey as shown in this example. This separate system doesn’t have access to the backed up data in clear text because the backup files are encrypted twice. The separate system is in possession of the backup passphrase only but not of the Domain Key resp. Unlock Passphrase which is the second layer of encryption. See the system design for further details.

Ohjelmiston päivitys¶

Ohjelmistopäivitykset voidaan asentaa kaksivaiheisesti. Ensin päivityskuva on ladattava osoitteeseen Provisioned NetHSM. NetHSM tarkistaa kuvan aitouden, eheyden ja versionumeron. Valinnaisesti NetHSM näyttää mahdolliset julkaisutiedotteet.

Varoitus

Beta-päivityksen asentaminen voi aiheuttaa tietojen menetyksen! Vakaiden versioiden ei pitäisi aiheuttaa tietojen menetystä. On kuitenkin suositeltavaa luoda varmuuskopio ennen päivitystä.

Varoitus

Varmista, että asennat oikean päivitystiedoston laitteistomallillesi NetHSM 1 tai NetHSM 2. Voit tarkistaa mallisi järjestelmätiedoista.

Päivitystiedosto voidaan ladata seuraavasti.

Argumentit

Argumentti	Kuvaus
``FILENAME``FILENAMEFILENAME`	Päivitä tiedosto

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin

Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443

Tämän jälkeen päivitys voidaan ottaa käyttöön tai keskeyttää. Katso haluamasi vaihtoehto alla. Jos NetHSM:stä katkaistaan virta ennen ”commit”-toimintoa, päivitystiedosto on ladattava uudelleen.

Tärkeä

Jos päivityskuvan lataaminen epäonnistuu ja ilmoitus Error: NetHSM request failed: Bad request -- malformed image tulee, noudata seuraavia ohjeita.

Varmista, että sinulla on voimassa oleva päivitystiedosto tarkistamalla se annetusta allekirjoituksesta.
Varmista, ettei sinulla ole käytössäsi korkeaa lokitasoa, kuten DEBUG. Lisätietoja lokitason määrityksestä on luvussa Lokien kirjaaminen.
Käynnistä laite uudelleen vapauttaaksesi käytetyn muistin.

Päivitystä voidaan soveltaa (sitoa) seuraavasti. Tietojen siirto suoritetaan vasta sen jälkeen, kun ** NetHSM on onnistuneesti käynnistänyt uuden järjestelmäohjelmistoversion.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST commit-update

Update successfully committed on NetHSM localhost:8443

Päivitys voidaan peruuttaa seuraavasti.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST cancel-update

Update successfully cancelled on NetHSM localhost:8443

Järjestelmätiedot¶

Järjestelmätiedot, kuten laiteohjelmiston versio, ohjelmistoversio ja laitteistoversio, voidaan hakea seuraavasti.

Esimerkki

$ nitropy nethsm -h $NETHSM_HOST system-info

Host:             192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1
Build tag:        v2.0-0-g17ad829
Attestation keys
  P256:           MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEup7z8QYvkzkBuLryG1SgVQjlPhSFW3PzYn1l3uLNd+pSBxX0OBpslcbnmPFr5wSs/iP46+H8MFlEAYUkYv6uuQ==
  P384:           MHYwEAYHKoZIzj0CAQYFK4EEACIDYgAEfQiurLvEmjsAmumRtIqu70HKehRo8A/nVrqQGiR8Rcr+SUujwgtQByORX5BoRtv4sZNJW4FyLGqvXCIF9IV1puob2+9Qq5oEjz4x4malLbFdyXDmQK8o2NpvcbgOr215
Platform Configuration Registers
  0:              0f6064779fba55b102a6ecc20498c2020deaf2aebef23716ec293b25873647f8
  2:              2b0d25a4a92b4df5205742954243db9d306a4c3277a6b6958bcbaf3d47def26f

NetHSM 1:n laitteistoversio on prodrive-hermes-1 ja NetHSM 2:n msi-z790-1.

Uudelleenkäynnistys ja sammutus¶

NetHSM voidaan käynnistää uudelleen ja sammuttaa joko etänä tai NetHSM-laitteiston etuosassa olevalla uudelleenkäynnistys- ja virrankatkaisupainikkeella.

Etäuuskäynnistys voidaan käynnistää seuraavasti.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST reboot

NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

Etäpysäytys voidaan käynnistää seuraavasti.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST shutdown

NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Palauta tehdasasetuksiin¶

Provisioned NetHSM voidaan palauttaa tehdasasetuksiin. Tällöin kaikki käyttäjätiedot poistetaan turvallisesti ja NetHSM käynnistyy Unprovisioned -tilaan. Tämän jälkeen voit halutessasi provisioida NetHSM:n.

Palautus tehdasasetuksiin voidaan suorittaa seuraavasti.

Esimerkki

$ nitropy nethsm -h $NETHSM_HOST factory-reset

NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Käyttäjien hallinta¶

Roolit¶

NetHSM mahdollistaa tehtävien erottamisen toisistaan käyttämällä eri rooleja. Jokaiselle NetHSM:ään määritetylle käyttäjätilille on määritetty jokin seuraavista Rooleista.

Rooli	Kuvaus
Hallinnoija	Käyttäjätilillä, jolla on tämä rooli, on pääsy kaikkiin NetHSM:n tarjoamiin toimintoihin, lukuun ottamatta avainten käyttöoperaatioita eli viestien allekirjoittamista ja purkamista.
Operator	Käyttäjätilillä, jolla on tämä rooli, on pääsy kaikkiin avainten käyttöoperaatioihin, vain lukemiseen tarkoitettuun osajoukkoon avainten hallintatoimintoja ja käyttäjähallintatoimintoihin, jotka mahdollistavat muutokset vain omalle tilille.
Metrics	Käyttäjätilillä, jolla on tämä rooli, on vain lukuoikeudet metriikkatoimintoihin.
Backup	Käyttäjätilillä, jolla on tämä rooli, on käyttöoikeus vain järjestelmän varmuuskopioinnin käynnistämiseen tarvittaviin toimintoihin.

Katso Namespaces ja Tags tarkemmista käyttöoikeusrajoituksista.

Muista

Tulevassa versiossa voidaan ottaa käyttöön lisää Rooleja.

Lisää käyttäjä¶

Lisää käyttäjätili NetHSM:ään. Jokaisella käyttäjätilillä on Role, joka on määritettävä. Lisätietoja rooleista on luvussa Roolit .

Optionally, a user can be assigned to a Namespace.

Muista

Käyttäjätunnuksen on oltava aakkosnumeerinen. NetHSM määrittää satunnaisen käyttäjätunnuksen, jos sellaista ei ole määritetty.

Käyttäjätili voidaan lisätä seuraavasti.

Velvoittavat vaihtoehdot

Vaihtoehto	Kuvaus
`-n`, `--real-name` `TEXT`	Uuden käyttäjän oikea nimi
`-N`, `--namespace` `TEXT`	Uuden käyttäjän nimiavaruus
`-r`, `--role` `[Administrator\|Operator\|Metrics\|Backup]`	Uuden käyttäjän Rooli
`-p`, `--passphrase` `TEXT`	Uuden käyttäjän salasana

Vaihtoehdot

Vaihtoehto	Kuvaus
`-u`, `--user-id` `TEXT`	Uuden käyttäjän käyttäjätunnus

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1

Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Oletusarvoisesti nimiavaruus periytyy käyttäjältä, joka lisää uuden käyttäjän. Vain käyttäjät, joilla ei ole nimiavaruutta, voivat valita eri nimiavaruuden uusille käyttäjille. Namespacea käytetään käyttäjän nimen etuliitteenä, esimerkiksi namespace~user. Näin ollen samaa käyttäjänimeä voidaan käyttää useassa Namespacessa.

Poista käyttäjä¶

Käyttäjätilin poistaminen NetHSM:stä.

Varoitus

Poistaminen on pysyvää, eikä sitä voida peruuttaa.

Käyttäjätili voidaan poistaa seuraavasti.

Argumentit

Argumentti	Kuvaus
``USER_ID``USER_IDUSER_ID`	Käyttäjän käyttäjätunnus.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1

User operator1 deleted on NetHSM localhost:8443

Luettelo käyttäjistä¶

Luettelo NetHSM:n käyttäjistä.

Luettelo voidaan hakea seuraavasti.

Vaihtoehdot

Vaihtoehto	Kuvaus
`--details`, `--no-details`	Käyttäjän oikean nimen ja roolin kysely.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST list-users

Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Nimiavaruuden käyttäjät voivat nähdä vain saman nimiavaruuden käyttäjiä.

Käyttäjän salasana¶

Käyttäjätilin salasana voidaan nollata. Tunnuslause asetetaan alun perin käyttäjätilin lisäämisen yhteydessä.

Muista

Salasanojen on oltava >= 10 ja <= 200 merkkiä.

Käyttäjän salasana voidaan asettaa seuraavasti.

Velvoittavat vaihtoehdot

Vaihtoehto	Kuvaus
`-u`, `--user-id` `TEXT`	Käyttäjän käyttäjätunnus
`-p`, `--passphrase` `TEXT`	Käyttäjän uusi salasana

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1

Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Nimiavaruudet¶

Similarly to the concept of partitions, NetHSM supports the more flexible Namespaces which group keys, administrators, and users on a NetHSM into separate subsets. Users can only see and use keys in the same Namespace and can only see users in the same Namespace. It is not possible to see users and to see and use keys of other Namespaces. When a new user is created, it inherits the Namespace of the user that created it. The available storage capacity is shared between all Namespaces. An practically unlimited amount of Namespaces can be used without requiring additional licenses.

Nimiavaruudet otettiin käyttöön ohjelmistoversiossa 2.0. Kun siirrytään aiemmasta ohjelmistoversiosta, kaikki nykyiset käyttäjät ja avaimet ovat ilman nimiavaruutta.

Käyttäjiä, joilla on Järjestelmänvalvoja -rooli kutsutaan myös nimellä R-Administrator, jos he eivät ole nimiavaruudessa, tai N-Administrator, jos he ovat nimiavaruudessa.

Erityissääntöjä sovelletaan R-Administrator -käyttäjiin: Hän voi asettaa nimiavaruuden uusille käyttäjille, luetella kaikki käyttäjät ja kysyä käyttäjän nimiavaruutta. Myös NetHSM-konfiguraatiota voivat käyttää vain R-Administrator -käyttäjät. R-ylläpitäjät eivät voi nähdä nimiavaruuden avaimia.

Jotta voit luoda avaimia ja käyttäjiä nimiavaruuteen, nimiavaruuden on oltava luotu R-Administrator -käyttäjän toimesta. Kun nimiavaruus on luotu, R-Administrator -käyttäjät eivät voi enää luoda, poistaa tai muokata käyttäjiä kyseisessä nimiavaruudessa. Näin voidaan suojata nimiavaruuksien avaimet, joihin R-Administrator pääsee käsiksi (myös epäsuorasti lisäämällä uusi käyttäjä tai palauttamalla olemassa olevan käyttäjän tai ylläpitäjän tunnukset). Tämän vuoksi on tarpeen luoda nimiavaruudelle N-Administrator -käyttäjä ennen nimiavaruuden luomista. R-Administrator -käyttäjät voivat myös poistaa nimiavaruuden ja kaikki sen sisältämät avaimet.

Luettelo nimiavaruuksista¶

Luettele NetHSM:n nimiavaruudet.

Luettelo voidaan hakea seuraavasti.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST list-namespaces

Namespaces on NetHSM localhost:8843:
- ns1
- ns2

Lisää nimiavaruus¶

Lisää nimiavaruus NetHSM:ään.

R-Administrator -käyttäjät voivat luoda uusia tilejä nimiavaruuteen jo ennen sen luomista. Luomisen jälkeen vain N-Administrator -käyttäjät voivat hallinnoida Namespace-käyttäjiä. Avainten luominen ja käyttö Namespaceen on mahdollista vasta sen lisäämisen jälkeen.

Muista

Nimiavaruuden tunnuksen on oltava aakkosnumeerinen. NetHSM määrittää satunnaisen käyttäjätunnuksen, jos sellaista ei ole määritetty.

Nimiavaruus voidaan lisätä seuraavasti.

Argumentit

Argumentti		Kuvaus
`NAMESPACE` \| Uusi nimiavaruus.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1

Namespace ns1 added to NetHSM localhost:8443

Poista nimiavaruus¶

Nimiavaruuden poistaminen NetHSM:stä.

Nimiavaruuden poistaminen poistaa myös kaikki kyseisen nimiavaruuden avaimet. Nimiavaruuden jäljellä olevat käyttäjät eivät voi lisätä avaimia ennen kuin nimiavaruus on lisätty uudelleen.

Nimiavaruuden voi poistaa seuraavasti.

Argumentit

Argumentti	Kuvaus
”NAMESPACE	Poistettava nimiavaruus.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1

Namespace ns1 deleted on NetHSM localhost:8443

Käyttäjien tunnisteet¶

Tunnisteilla voidaan asettaa hienojakoisia käyttöoikeusrajoituksia avaimille, ja ne ovat valinnainen ominaisuus. Yksi tai useampi Tunnisteet voidaan määrittää käyttäjätileille, joilla on vain Operaattori -rooli. * Operaattorit* näkevät kaikki avaimet, mutta voivat käyttää vain niitä, joilla on vähintään yksi vastaava Tag. Avainta ei voi muuttaa Operator -käyttäjä.

Jos haluat lisätietoja siitä, miten Tunnisteita käytetään avaimissa, katso Tunnisteet avaimille.

Tag voidaan lisätä seuraavasti.

Argumentit

Argumentti	Kuvaus
``USER_ID``USER_IDUSER_ID`	Käyttäjätunnus, jolle tunniste asetetaan.
TAG`	Käyttäjätunnukselle asetettava tunniste.

Esimerkki

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin

Added tag berlin for user operator1 on the NetHSM localhost:8443

Tag voidaan poistaa seuraavasti.

Argumentit

Argumentti	Kuvaus
``USER_ID``USER_IDUSER_ID`	Käyttäjätunnus, jolle tunniste asetetaan.
TAG`	Käyttäjätunnukselle asetettava tunniste.

Esimerkki

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin

Deleted tag berlin for user operator1 on the NetHSM localhost:8443