Operaatio#

Tässä luvussa kuvataan käyttötehtäviä käyttäjille, joilla on Administrator- ja Operator-rooli. Lisätietoja roolista on luvussa Roolit.

Tärkeä

Varmista, että olet lukenut tämän asiakirjan alussa olevat tiedot ennen työn aloittamista.

Avainten hallinta#

Luo avain#

NetHSM voi luoda avainpareja. On suositeltavaa määrittää avaimen ID-vaihtoehto, jotta sille voidaan antaa ilmeikäs nimi.

Tuetut avaintyypit ja niitä vastaavat mekanismit ovat seuraavat.

Avaintyyppi

Mekanismit

TAG`

RSA_Decryption_RAW RSA_Decryption_PKCS1 RSA_Decryption_OAEP_MD5 RSA_Decryption_OAEP_SHA1 RSA_Decryption_OAEP_SHA224 RSA_Decryption_OAEP_SHA256 RSA_Decryption_OAEP_SHA384 RSA_Decryption_OAEP_SHA512 RSA_Signature_PKCS1 RSA_Signature_PSS_MD5 RSA_Signature_PSS_SHA1 RSA_Signature_PSS_SHA224 RSA_Signature_PSS_SHA256 RSA_Signature_PSS_SHA384 RSA_Signature_PSS_SHA512

``Curve25519``Curve25519Curve25519`

``EdDSA_Signature``EdDSA_SignatureEdDSA_Signature`

``USER_ID``USER_IDUSER_ID`

``EdDSA_Signature``EdDSA_SignatureEdDSA_Signature`

``USER_ID``USER_IDUSER_ID`

``EdDSA_Signature``EdDSA_SignatureEdDSA_Signature`

``USER_ID``USER_IDUSER_ID`

``EdDSA_Signature``EdDSA_SignatureEdDSA_Signature`

``USER_ID``USER_IDUSER_ID`

``EdDSA_Signature``EdDSA_SignatureEdDSA_Signature`

``USER_ID``USER_IDUSER_ID`

AES_Encryption_CBC AES_Decryption_CBC``AES_Decryption_CBC

Avain voidaan luoda seuraavasti.

Tarvittava tehtävä

Tämä toiminto edellyttää todennusta Administrator-roolilla.

Velvoittavat vaihtoehdot

Vaihtoehto

Kuvaus

-p, --port INTEGER

Luodun avaimen tyyppi. Argumentin KEYTYPE mahdolliset arvot löytyvät yllä olevasta taulukosta.

-m, --mechanism MECHANISM

Luodun avaimen mekanismit. Argumentin MECHANISM mahdolliset arvot löytyvät yllä olevasta taulukosta.

-l, --length INTEGER

Luodun avaimen pituus

Vaihtoehdot

Vaihtoehto

Kuvaus

-k, --key-id TEXT

Luodun avaimen tunnus

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST generate-key --type RSA --mechanism RSA_Signature_PSS_SHA256 --mechanism RSA_Decryption_PKCS1 --length 2048 --key-id myFirstKey

Key myFirstKey generated on NetHSM localhost:8443

Tuontiavain#

NetHSM voi tuoda olemassa olevia yksityisiä avaimia Key Store:iin.

Tuetut avaintyypit ja niitä vastaavat mekanismit ovat seuraavat.

Avaintyyppi

Mekanismit

TAG`

RSA_Decryption_RAW RSA_Decryption_PKCS1 RSA_Decryption_OAEP_MD5 RSA_Decryption_OAEP_SHA1 RSA_Decryption_OAEP_SHA224 RSA_Decryption_OAEP_SHA256 RSA_Decryption_OAEP_SHA384 RSA_Decryption_OAEP_SHA512 RSA_Signature_PKCS1 RSA_Signature_PSS_MD5 RSA_Signature_PSS_SHA1 RSA_Signature_PSS_SHA224 RSA_Signature_PSS_SHA256 RSA_Signature_PSS_SHA384 RSA_Signature_PSS_SHA512

``Curve25519``Curve25519Curve25519`

``EdDSA_Signature``EdDSA_SignatureEdDSA_Signature`

``USER_ID``USER_IDUSER_ID`

``EdDSA_Signature``EdDSA_SignatureEdDSA_Signature`

``USER_ID``USER_IDUSER_ID`

``EdDSA_Signature``EdDSA_SignatureEdDSA_Signature`

``USER_ID``USER_IDUSER_ID`

``EdDSA_Signature``EdDSA_SignatureEdDSA_Signature`

``USER_ID``USER_IDUSER_ID`

``EdDSA_Signature``EdDSA_SignatureEdDSA_Signature`

``USER_ID``USER_IDUSER_ID`

AES_Encryption_CBC AES_Decryption_CBC``AES_Decryption_CBC

Tuonti voidaan aloittaa seuraavasti.

Tarvittava tehtävä

Tämä toiminto edellyttää todennusta Administrator-roolilla.

Velvoittavat vaihtoehdot

Vaihtoehto

Kuvaus

-p, --port INTEGER

Luodun avaimen tyyppi. Argumentin KEYTYPE mahdolliset arvot löytyvät yllä olevasta taulukosta.

-m, --mechanism MECHANISM

Luodun avaimen mekanismit. Argumentin MECHANISM mahdolliset arvot löytyvät yllä olevasta taulukosta.

-u, --user-id TEXT

RSA-avainten prime p, base64-koodattu.

-u, --user-id TEXT

RSA-avainten prime q, base64-koodattu.

-e, --public-exponent TEXT

RSA-avainten julkinen eksponentti, base64-koodattu.

-d, --data TEXT

ED25519- tai ECDSA_*-avainten avaintiedot base64-koodattuina.

Vaihtoehdot

Vaihtoehto

Kuvaus

-k, --key-id TEXT

Uuden avaimen tunnus

--tags TEXT

Uuden avaimen tunniste

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST add-key \
   --type RSA \
   --mechanism RSA_Signature_PSS_SHA256 \
   --mechanism RSA_Decryption_PKCS1 \
   --key-id myFirstKey \
   --public-exponent AQAB \
   --prime-p "AOnWFZ+JrI/xOXJU04uYCZOiPVUWd6CSbVseEYrYQYxc7dVroePshz29tc+VEOUP5T0O8lXMEkjFAwjW6C9QTAsPyl6jwyOQluMRIkdN4/7BAg3HAMuGd7VmkGyYrnZWW54sLWp1JD6XJG33kF+9OSar9ETPoVyBgK5punfiUFEL" \
   --prime-q "ANT1kWDdP9hZoFKT49dwdM/S+3ZDnxQa7kZk9p+JKU5RaU9e8pS2GOJljHwkES1FH6CUGeIaUi81tRKe2XZhe/163sEyMcxkaaRbBbTc1v6ZDKILFKKt4eX7LAQfhL/iFlgi6pcyUM8QDrm1QeFgGz11ChM0JuQw1WwkX06lg8iv"

Key myFirstKey added to NetHSM localhost:8443

Poista näppäin#

NetHSM voi poistaa avaimia Key Store:sta.

Tarvittava tehtävä

Tämä toiminto edellyttää todennusta Administrator-roolilla.

Argumentit

Argumentti

Kuvaus

--time`

Poistettavan avaimen tunnus

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST delete-key myFirstKey

Key myFirstKey deleted on NetHSM localhost:8443

Luetteloavaimet#

NetHSM voi luetella kaikki Key Store:n käytettävissä olevat avaimet.

Luettelo voidaan hakea seuraavasti.

Tarvittava tehtävä

Tämä toiminto edellyttää todennusta Administrator- tai Operator-roolilla.

Vaihtoehdot

Vaihtoehto

Kuvaus

-f, --filter TEXT

Etsittävä tunniste

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST list-keys

Keys on NetHSM localhost:8443:

Key ID          Type       Mechanisms                                      Operations  Tags
-----------     ----       ----------------------------------------------  ----------  ----
myFirstKey      RSA        RSA_Decryption_PKCS1, RSA_Signature_PSS_SHA256  0

Näytä avaimen tiedot#

NetHSM voi antaa yksityiskohtaisempia tietoja tallennetusta avaimesta.

Yksityiskohtaiset tiedot voidaan hakea seuraavasti.

Tarvittava tehtävä

Tämä toiminto edellyttää todennusta Administrator- tai Operator-roolilla.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST get-key myFirstKey

Key myFirstKey on NetHSM localhost:8443:
Type:            RSA
Mechanisms:      RSA_Decryption_RAW
Operations:      0
Modulus:         r62XHPWMDdEf2I1WEpSxGowY/fQF8lMPtv3EUQJE/PLWBvehF8G0QY3AVVZ3etlQWiKreOuGDx4Nr2PFNYAu5f+JP2Jc1lsFNOYF8D82RF41MBySbQR+k+44N/04B0ahTBCxX+ovFH7Sd6SzvxMPa7EKvhaOsLbgyrPlFZxQnhIEqJRCSo5DRRD+CRCPpGXsVXgFbJrNilh21i8OZCct4nC2OS191MeDKmCH4tjrfLMwOKJE8zKlwhdtA1uMY49+JuaC48GUFsLYwbLp1723Uv1PjZjC5jbUhScD0u9I+iNrqznAeka4dWsJ9jgA+h6hblSgCs0I3MWOsMXx/Y5PGQ==
Public exponent: AQAB

Avaimen julkinen avain voidaan hakea seuraavasti. Se on PKCS#8-muodossa.

Tarvittava tehtävä

Tämä toiminto edellyttää todennusta Administrator- tai Operator-roolilla.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST get-key myFirstKey --public-key

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAr62XHPWMDdEf2I1WEpSx
GowY/fQF8lMPtv3EUQJE/PLWBvehF8G0QY3AVVZ3etlQWiKreOuGDx4Nr2PFNYAu
5f+JP2Jc1lsFNOYF8D82RF41MBySbQR+k+44N/04B0ahTBCxX+ovFH7Sd6SzvxMP
a7EKvhaOsLbgyrPlFZxQnhIEqJRCSo5DRRD+CRCPpGXsVXgFbJrNilh21i8OZCct
4nC2OS191MeDKmCH4tjrfLMwOKJE8zKlwhdtA1uMY49+JuaC48GUFsLYwbLp1723
Uv1PjZjC5jbUhScD0u9I+iNrqznAeka4dWsJ9jgA+h6hblSgCs0I3MWOsMXx/Y5P
GQIDAQAB
-----END PUBLIC KEY-----

Julkinen avain voidaan tarkastaa esimerkiksi OpenSSL:llä seuraavasti.

Tarvittava tehtävä

Tämä toiminto edellyttää todennusta Administrator- tai Operator-roolilla.

Esimerkki

nitropy nethsm --host= $NETHSM_HOST get-key myFirstKey --public-key | openssl rsa -pubin -text

Public-Key: (2048 bit)
Modulus:
   00:af:ad:97:1c:f5:8c:0d:d1:1f:d8:8d:56:12:94:
   b1:1a:8c:18:fd:f4:05:f2:53:0f:b6:fd:c4:51:02:
   44:fc:f2:d6:06:f7:a1:17:c1:b4:41:8d:c0:55:56:
   77:7a:d9:50:5a:22:ab:78:eb:86:0f:1e:0d:af:63:
   c5:35:80:2e:e5:ff:89:3f:62:5c:d6:5b:05:34:e6:
   05:f0:3f:36:44:5e:35:30:1c:92:6d:04:7e:93:ee:
   38:37:fd:38:07:46:a1:4c:10:b1:5f:ea:2f:14:7e:
   d2:77:a4:b3:bf:13:0f:6b:b1:0a:be:16:8e:b0:b6:
   e0:ca:b3:e5:15:9c:50:9e:12:04:a8:94:42:4a:8e:
   43:45:10:fe:09:10:8f:a4:65:ec:55:78:05:6c:9a:
   cd:8a:58:76:d6:2f:0e:64:27:2d:e2:70:b6:39:2d:
   7d:d4:c7:83:2a:60:87:e2:d8:eb:7c:b3:30:38:a2:
   44:f3:32:a5:c2:17:6d:03:5b:8c:63:8f:7e:26:e6:
   82:e3:c1:94:16:c2:d8:c1:b2:e9:d7:bd:b7:52:fd:
   4f:8d:98:c2:e6:36:d4:85:27:03:d2:ef:48:fa:23:
   6b:ab:39:c0:7a:46:b8:75:6b:09:f6:38:00:fa:1e:
   a1:6e:54:a0:0a:cd:08:dc:c5:8e:b0:c5:f1:fd:8e:
   4f:19
Exponent: 65537 (0x10001)
writing RSA key
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAr62XHPWMDdEf2I1WEpSx
GowY/fQF8lMPtv3EUQJE/PLWBvehF8G0QY3AVVZ3etlQWiKreOuGDx4Nr2PFNYAu
5f+JP2Jc1lsFNOYF8D82RF41MBySbQR+k+44N/04B0ahTBCxX+ovFH7Sd6SzvxMP
a7EKvhaOsLbgyrPlFZxQnhIEqJRCSo5DRRD+CRCPpGXsVXgFbJrNilh21i8OZCct
4nC2OS191MeDKmCH4tjrfLMwOKJE8zKlwhdtA1uMY49+JuaC48GUFsLYwbLp1723
Uv1PjZjC5jbUhScD0u9I+iNrqznAeka4dWsJ9jgA+h6hblSgCs0I3MWOsMXx/Y5P
GQIDAQAB
-----END PUBLIC KEY-----

Avainten tunnisteet#

Tunnisteilla voidaan asettaa hienojakoisia käyttöoikeusrajoituksia avaimille, ja ne ovat valinnainen ominaisuus. Avaimelle voidaan määrittää yksi tai useampi Tunnisteet. * Operaattori* käyttäjät näkevät kaikki näppäimet, mutta voivat käyttää vain niitä, joilla on vähintään yksi vastaava Tag. Jos näppäimellä ei ole Tagia, kaikki Operator -käyttäjät voivat käyttää sitä. * Operator* -käyttäjä ei voi muuttaa Tag -merkkiä.

Lisätietoja Tagien käyttämisestä Operator-tileillä on luvussa Tagit käyttäjille.

Muista

Tageja voivat hallita rajoituksetta käyttäjät, joilla on Administrator-rooli.

Tag voidaan lisätä seuraavasti.

Tarvittava tehtävä

Tämä toiminto edellyttää todennusta Administrator-roolilla.

Argumentit

Argumentti

Kuvaus

--time`

Avaimen ID, johon tunniste asetetaan

TAG`

Avaimelle asetettava tunniste

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST add-key-tag myFirstKey berlin

Added tag berlin for key myFirstKey on the NetHSM localhost:8443

Tag voidaan poistaa seuraavasti.

Tarvittava tehtävä

Tämä toiminto edellyttää todennusta Administrator-roolilla.

Argumentit

Argumentti

Kuvaus

--time`

Avaimen ID, johon tunniste asetetaan.

TAG`

Avaimeen asetettava tunniste.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST delete-key-tag myFirstKey berlin

Deleted tag berlin for key myFirstKey on the NetHSM localhost:8443

Avainsertifikaatit#

NetHSM:ään tallennettujen avainten varmenteita on mahdollista asettaa ja kysyä.

Tuetut MIME-tyypit ovat seuraavat.

  • application/x-pem-file`

  • application/x-x509-ca-cert`

  • application/pgp-keys`

Varmenne voidaan asettaa seuraavasti.

Tarvittava tehtävä

Tämä toiminto edellyttää todennusta Administrator-roolilla.

Velvoittavat vaihtoehdot

Vaihtoehto

Kuvaus

-k, --key-id TEXT

Sen avaimen tunnus, jolle varmenne asetetaan.

Vaihtoehdot

Vaihtoehto

Kuvaus

-m, --mechanism MECHANISM

Varmenteen MIME-tyyppi. Käytettävissä olevat MIME-tyypit on lueteltu edellä.

Argumentit

Argumentti

Kuvaus

``FILENAME``FILENAMEFILENAME`

Todistustiedosto

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST set-certificate --key-id myFirstKey --mime-type application/x-pem-file /tmp/cert.pem

Updated the certificate for key myFirstKey on NetHSM localhost:8443

Varmenne voidaan hakea seuraavasti.

Tarvittava tehtävä

Tämä toiminto edellyttää todennusta Administrator- tai Operator-roolilla.

Velvoittavat vaihtoehdot

Vaihtoehto

Kuvaus

-k, --key-id TEXT

Sen avaimen tunnus, jolle varmenne haetaan.

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST get-certificate --key-id myFirstKey

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Avainsertifikaatin allekirjoituspyynnöt#

NetHSM tukee CSR:n (Certificate Signing Requests) luomista tallennetuille avaimille.

Tarvittava tehtävä

Tämä toiminto edellyttää todennusta Administrator- tai Operator-roolilla.

Velvoittavat vaihtoehdot

Vaihtoehto

Kuvaus

-k, --key-id TEXT

Avaimen tunnus, jonka CSR luodaan.

--country TEXT

Maan nimi

--state-or-province TEXT

Osavaltion tai maakunnan nimi

--locality TEXT

Paikkakunnan nimi

--organization TEXT

Organisaation nimi

--organizational-unit TEXT

Organisaatioyksikön nimi

--common-name TEXT

Yleinen nimi

--email-address TEXT

Sähköpostiosoite

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST csr --key-id myFirstKey --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name=nitrokey.com --email-address="info@nitrokey.com"

-----BEGIN CERTIFICATE REQUEST-----
MIHxMIGkAgEAMHExbzAJBgNVBAYTAkRFMA0GA1UEBwwGQmVybGluMA0GA1UECAwG
QmVybGluMA8GA1UECgwITml0cm9rZXkwEwYDVQQDDAxuaXRyb2tleS5jb20wHgYJ
KoZIhvcNAQkBFhFpbmZvQG5pdHJva2V5LmNvbTAqMAUGAytlcAMhADJMNAifke6s
u7CYqHGDy3xGtXVOUNbTJG6Gn4oki+j3oAAwBQYDK2VwA0EAQilRK2Mf6kfJ4ByI
WCn9A+8IHsnE7iFcuFZpmaKfcJwZiaQppHvPg/Z0zqldzviPQ1cjKR7hSZG+8GHH
gWjEDg==
-----END CERTIFICATE REQUEST-----

Tärkeimmät toiminnot#

Salaa#

NetHSM voi salata tietoja symmetrisillä avaimilla, jotka on tallennettu osoitteeseen Key Store. Sitä vastoin NetHSM:llä ei voi salata tietoja epäsymmetrisillä avaimilla, koska julkisten avainten salausmenetelmässä julkinen avain on kaikkien saatavilla. Epäsymmetrisiä avaimia varten NetHSM tarjoaa julkisen avaimen, jota voidaan käyttää salaukseen ulkoisella työkalulla. Katso Näytä avaimen tiedot, jos haluat lisätietoja siitä, miten avaimen julkinen avain haetaan Key Store-palvelusta.

Tiedot voidaan salata symmetrisellä avaimella seuraavasti.

Tarvittava tehtävä

Tämä toiminto edellyttää todennusta Operator-roolilla.

Velvoittavat vaihtoehdot

Vaihtoehto

Kuvaus

-k, --key-id TEXT

Sen avaimen tunnus, jolla tiedot salataan.

-d, --data TEXT

Tiedot Base64-koodauksessa

-m, --mode [AES_CBC]

Salaus-tila

-iv, --initialization-vector TEXT

Aloitusvektori Base64-koodauksessa

Esimerkki

$ nitropy nethsm --host $NETHSM_HOST encrypt -k myFirstKey -d "TmV0SFNNIHJ1bGV6enp6enp6enp6enp6enp6enp6IQo=" -m AES_CBC -iv "aYlwUI4A9zL9tts4dMAq+A=="

Encrypted: Uk+9pgucdxTnbyIb/6+BDJef+HfRWhw+Eg3RcCvyHaU=
Initialization vector: aYlwUI4A9zL9tts4dMAq+A==

Tämä tulostaa salatun ja base64-koodatun viestin NetHSM rulezzzzzzzzzzzzzzzzzzz! ja alustusvektorin.

Tiedot voidaan salata epäsymmetrisillä avaimilla OpenSSL:llä seuraavasti.

$ echo 'NetHSM rulez!' | openssl pkeyutl -encrypt -pubin -inkey public.pem | base64 > data.crypt

Tämä kirjoittaa salatun ja base64-koodatun viestin NetHSM rulez! tiedostoon data.crypt käyttäen julkista avainta osoitteesta public.pem.

Purkakaa salaus#

NetHSM voi purkaa tietoja NetHSM:n Key Store:iin tallennetulla yksityisellä avaimella. Tässä esimerkissä käytetään edellisen luvun salattua viestiä Salaa.

Tuetut salauksen purkutilat ovat seuraavat.

  • TAG`

  • PKCS1`

  • ``FILENAME``FILENAMEFILENAME`

  • --network–network–network`

  • OAEP_SHA224``

  • OAEP_SHA224``

  • OAEP_SHA224``

  • OAEP_SHA224``

  • ``USER_ID``USER_IDUSER_ID`

Tiedot voidaan purkaa seuraavasti.

Tarvittava tehtävä

Tämä toiminto edellyttää todennusta Operator-roolilla.

Velvoittavat vaihtoehdot

Vaihtoehto

Kuvaus

-k, --key-id TEXT

Avaimen tunnus, jolla tietojen leveys puretaan.

-d, --data TEXT

Salatut tiedot Base64-koodauksessa

-d, --data TEXT

Purkamistila. Käytettävissä olevat tilat on lueteltu edellä.

Esimerkki

$ nitropy nethsm -h $NETHSM_HOST decrypt -k myFirstKey -d "$(cat data.crypt)" -m PKCS1 | base64 -d

NetHSM rulez!

Kirjaudu#

NetHSM voi allekirjoittaa tietoja yksityisellä avaimella, joka on tallennettu NetHSM:n Key Store:iin. RSA- ja ECDSA-avaimella tehtäviä allekirjoituksia varten on ensin laskettava digesti.

Digestin laskemiseksi tarvitaan ensin tiedot. Viesti luodaan seuraavasti.

$ echo 'NetHSM rulez!' > data

Tunniste lasketaan OpenSSL:llä seuraavasti.

$ openssl dgst -sha256 -binary data | base64 > data.digest

Tuetut allekirjoitustilat ovat seuraavat.

  • PKCS1`

  • ``USER_ID``USER_IDUSER_ID`

  • ``FILENAME``FILENAMEFILENAME`

  • ``Curve25519``Curve25519Curve25519`

  • ``Curve25519``Curve25519Curve25519`

  • ``Curve25519``Curve25519Curve25519`

  • ``Curve25519``Curve25519Curve25519`

  • PKCS1`

  • PKCS1`

Digestistä voidaan luoda allekirjoitus seuraavasti.

Tarvittava tehtävä

Tämä toiminto edellyttää todennusta Operator-roolilla.

Velvoittavat vaihtoehdot

Vaihtoehto

Kuvaus

-k, --key-id TEXT

Tiedon leveyden allekirjoittamiseen käytettävän avaimen tunnus.

-d, --data TEXT

Allekirjoitettava data, joka on koodattu Base64:llä.

-d, --data TEXT

Merkkitila

Esimerkki

$ nitropy nethsm -h $NETHSM_HOST sign -k myFirstKey -m PKCS1 -d "$(cat data.digest)" | base64 -d > data.sig

Luotu allekirjoitus voidaan todentaa OpenSSL:llä seuraavasti.

$ openssl dgst -sha256 -verify public.pem -signature data.sig -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 data

Verified OK

Satunnainen#

NetHSM voi tarjota satunnaisia tavuja Base64-merkkijonona.

Tarvittava tehtävä

Tämä toiminto edellyttää todennusta Operator-roolilla.

Argumentit

Argumentti

Kuvaus

--time`

Haettavat tavut

Esimerkki

nitropy nethsm --host $NETHSM_HOST random 4

94A2rg==