Administration#

Ce chapitre décrit les tâches administratives pour les utilisateurs ayant le rôle Administrator. Veuillez consulter le chapitre Rôles pour en savoir plus sur le rôle.

Important

Veillez à lire les informations figurant au début de ce document avant de commencer à travailler.

Gestion du système#

Informations sur le dispositif#

Les informations sur le fournisseur et le produit d’un NetHSM peuvent être récupérées comme suit.

Exemple

$ nitropy nethsm --host $NETHSM_HOST info
Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Mode de démarrage#

NetHSM peut être utilisé en mode Attended Boot et Unattended Boot.

Mode de démarrage

Description

Boot assisté

Le NetHSM démarre dans un état « verrouillé ». La phrase de passe de déverrouillage ** doit être saisie à chaque démarrage, ce qui permet de décrypter les données utilisateur ** . Pour des raisons de sécurité, ce mode est recommandé et c’est le mode par défaut pour un système fraîchement provisionné.

Démarrage sans surveillance

Le système démarre sans surveillance sans qu’il soit nécessaire d’entrer la phrase de passe Unlock ** dans un état _Operational_. Utilisez ce mode si vos exigences en matière de disponibilité ne peuvent pas être satisfaites avec le mode Attended Boot.

Avertissement

Quel que soit le mode de démarrage, la phrase de déverrouillage ** conserve sa validité et est nécessaire pour restaurer les sauvegardes sur d’autres matériels. Conservez la phrase de passe de déverrouillage ** en lieu sûr à tout moment.

Le mode de démarrage actuel peut être récupéré comme suit.

Exemple

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
   Unattended boot: off

Le mode de démarrage peut être modifié comme suit. Au prochain démarrage, le NetHSM se comportera en conséquence.

Arguments

Arguments

Description

Statut

Active ou désactive l’option Unattended Boot. Peut avoir la valeur on ou off.

Exemple

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443

État#

Le logiciel NetHSM a quatre états : Unprovisioned, Provisioned, Locked, et Operational.

État

Description

Non provisionné

NetHSM sans configuration (défaut d’usine)

Prévu

NetHSM avec configuration. L’état Provisioned implique l’état Operational ou Locked.

Opérationnel

NetHSM avec configuration et prêt à exécuter des commandes. L’état Operational implique l’état Provisioned.

Locked

NetHSM avec une configuration mais des données cryptées et inaccessibles. En général, l’étape suivante consiste à déverrouiller le système. L’état Locked implique l’état Provisioned.

États et transitions du NetHSM

États et transitions du NetHSM#


L’état actuel du NetHSM peut être récupéré comme suit.

Exemple

$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned

Un nouveau NetHSM a un état Unprovisioned et, après le provisionnement, entre dans l’état Operational. Le provisionnement d’un NetHSM est décrit dans le chapitre Provisioning.

Un NetHSM en état Opérationnel peut être verrouillé à nouveau pour le protéger comme suit.

Exemple

$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked

Un NetHSM à l’état Locked peut être déverrouillé comme suit. Tant que le NetHSM est dans l’état _verrouillé_, aucune autre opération n’est possible. Ensuite, le NetHSM est dans un état _opérationnel_.

Exemple

$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked

Déverrouiller la phrase d’authentification#

La phrase de passe de déverrouillage est utilisée pour dériver une clé de déverrouillage si le NetHSM est en état verrouillé. La phrase de passe est initialement définie lors du provisionnement du NetHSM.

Avertissement

La phrase de déverrouillage ne peut pas être réinitialisée sans connaître la valeur actuelle. Si la phrase de déverrouillage est perdue, elle ne peut pas être réinitialisée à une nouvelle valeur et le NetHSM ne peut pas être déverrouillé.

La Phrase de passe de déverrouillage peut être définie comme suit.

Options facultatives

Option

Description

-n, --new-passphrase TEXT

La nouvelle phrase de passe de déverrouillage

-p, --current-passphrase TEXT

La phrase de passe de déverrouillage actuelle

-f, --force

Ne pas demander de confirmation avant de modifier la phrase de passe

Exemple

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443

Certificat TLS#

Le certificat TLS est utilisé pour l’API REST basée sur HTTPS, et donc également utilisé par nitropy. Lors du provisionnement, un certificat auto-signé est créé. Le certificat peut être remplacé, par exemple par un certificat signé d’une autorité de certification (CA). Dans ce cas, une demande de signature de certificat (CSR) doit être générée. Après la signature, le certificat doit être importé dans le NetHSM.

Un changement n’est nécessaire que lorsque le certificat doit être remplacé. Ce changement peut consister à le remplacer par un certificat signé par une autorité de certification (CA).

Le certificat TLS peut être récupéré comme suit.

Options requises

Option

Description

-a, --api

Définir le certificat pour l’interface TLS de NetHSM

Exemple

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----

Le certificat TLS peut être généré comme suit.

Options requises

Option

Description

-t, --type [RSA|Curve25519|EC_P224|EC_P256|EC_P384|EC_P521]

Le type de la clé générée

-l, --length INTEGER

La longueur de la clé générée

Exemple

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443

La demande de signature de certificat (CSR) pour le certificat peut être générée comme suit.

Options requises

Option

Description

-a, --api

Générer un CSR pour le certificat TLS de NetHSM

--country TEXT

Le nom du pays

--state-or-province TEXT

Le nom de l’État ou de la province

--locality TEXT

Le nom de la localité

--organization TEXT

Le nom de l’organisation

--organizational-unit TEXT

Le nom de l’unité d’organisation

--common-name TEXT

Le nom commun

--email-address TEXT

L’adresse électronique

Exemple

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----

Le certificat peut être remplacé comme suit.

Options requises

Option

Description

-a, --api

Définir le certificat pour l’interface TLS de NetHSM

Arguments

Arguments

Description

FILENAME

Fichier de certificat

Exemple

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Réseau#

La configuration du réseau définit les paramètres utilisés pour le Port réseau.

Note

Ces paramètres ne permettent pas de configurer le Port réseau BMC.

La configuration du réseau peut être récupérée comme suit.

Options requises

Option

Description

--network

Interroger la configuration du réseau

Exemple

$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Définissez la configuration du réseau comme suit.

Note

Le NetHSM ne prend pas en charge le protocole DHCP (Dynamic Host Configuration Protocol).

Note

Le NetHSM ne prend pas en charge l’IPv6 (Internet Protocol version 6).

Options requises

Option

Description

-a, --ip-address

La nouvelle adresse IP

-n, --netmask

Le nouveau masque de réseau

-n, --netmask

La nouvelle passerelle

Exemple

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443

Temps#

La configuration de l’heure définit l’heure système du logiciel NetHSM. Il n’est généralement pas nécessaire de définir l’heure système, car elle est définie lors du provisionnement.

La configuration horaire peut être récupérée comme suit.

Options requises

Option

Description

--time

Interroger l’heure du système

Exemple

$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Réglez l’heure du NetHSM.

Important

Assurez-vous de passer l’heure dans le fuseau horaire UTC.

Arguments

Arguments

Description

time

L’heure du système à définir (Format : YYYY-MM-DDTHH:MM:SSZ)

Exemple

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443

Métriques#

Le NetHSM enregistre les métriques des paramètres du système.

Note

Cette commande nécessite l’authentification d’un utilisateur ayant le rôle Metrics. Veuillez consulter le chapitre Rôles pour en savoir plus sur le rôle.

Veuillez consulter le site Metrics pour en savoir plus sur chaque mesure.

Les métriques peuvent être récupérées comme suit.

Exemple

$ nitropy nethsm -h $NETHSM_HOST metrics
Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Enregistrement#

Le NetHSM peut enregistrer les événements système sur le port série ou sur un serveur syslog du réseau.

Important

Pour tout déploiement en production, le journal NetHSM doit être surveillé en permanence afin de fournir une notification immédiate de tout problème de sécurité potentiel.

La configuration du serveur syslog peut être récupérée comme suit.

Options requises

Option

Description

--network

Interroger la configuration de la journalisation

Exemple

$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

La configuration du serveur syslog peut être définie comme suit.

Options requises

Option

Description

-p, --passphrase TEXT

L’adresse IP de la nouvelle destination de journalisation

-p, --port INTEGER

Le port de la nouvelle destination de journalisation

-l, --log-level [debug|info|warning|error]

Le nouveau niveau de journal

Exemple

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443

La console série fonctionne dès le début du matériel du NetHSM. Elle inclut les événements provenant du microprogramme NetHSM et du logiciel NetHSM.

Les paramètres de connexion de la console série sont les suivants.

Réglage de

Valeur

Vitesse de transmission

115200

Bits de données

8

Bits d’arrêt

1

Parité

Aucun

Contrôle du débit

Aucun

Sauvegarde#

Les données utilisateur de NetHSM peuvent être enregistrées dans un fichier de sauvegarde. Ce fichier de sauvegarde contient toutes les Données utilisateur, à savoir Mémoire de configuration, Mémoire d’authentification, Mémoire de clés de domaine et Mémoire de clés.

Important

Un logiciel système NetHSM en mode Unattended Boot nécessitera la Unlock Passphrase s’il est restauré sur un autre matériel NetHSM. Veuillez consulter le chapitre Unlock Passphrase pour en savoir plus.

Important

Un NetHSM en mode Unattended Boot sera dans le même mode après une restauration.

Avant qu’une sauvegarde puisse être lancée, la phrase de passe de sauvegarde doit être définie. La phrase de passe de sauvegarde est utilisée pour crypter les données du fichier de sauvegarde.

Avertissement

La phrase de passe de sauvegarde ne peut pas être réinitialisée sans connaître la valeur actuelle. Si la phrase de passe de sauvegarde est perdue, elle ne peut pas être réinitialisée à une nouvelle valeur et les sauvegardes créées ne peuvent pas être restaurées.

La phrase de passe de sauvegarde peut être définie comme suit.

Options facultatives

Option

Description

-n, --new-passphrase TEXT

La nouvelle phrase de passe de sauvegarde

-p, --current-passphrase TEXT

Phrase de passe de la sauvegarde actuelle (ou une chaîne vide si elle n’est pas définie)

-f, --force

Ne pas demander de confirmation avant de modifier la phrase de passe

Exemple

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443

Note

Cette commande nécessite l’authentification d’un utilisateur ayant le rôle Backup. Veuillez consulter le chapitre Rôles pour en savoir plus.

La sauvegarde peut être exécutée comme suit.

Arguments

Arguments

Description

FILENAME

Fichier de sauvegarde

Exemple

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup

Note

Ce fichier de sauvegarde peut être restauré uniquement sur une instance NetHSM non provisionnée.

Restaurer#

Le NetHSM peut être restauré à partir d’un fichier de sauvegarde.

  • Si le NetHSM est Unprovisioned, il restaurera toutes les données utilisateur ** , y compris la configuration du système, et redémarrera.* Par conséquent, le système peut avoir des paramètres réseau, un certificat TLS et une phrase de déverrouillage *différents par la suite.

  • Si le NetHSM est Provisioned, il restaurera les utilisateurs et les clés d’utilisateur, mais pas la configuration du système. Dans ce cas, tous les utilisateurs et clés d’utilisateur existants seront supprimés. Le NetHSM se termine dans l’état Operational.

La restauration peut être appliquée comme suit.

Options facultatives

Option

Description

-p, --backup-passphrase passphrase

La Phrase de passe de sauvegarde.

-t, --system-time

L’heure système à définir (Format : YYYY-MM-DDTHH:MM:SSZ)

Important

Assurez-vous que l’heure de votre ordinateur local est correctement réglée. Pour régler une heure différente, veuillez la fournir manuellement.

Arguments

Arguments

Description

FILENAME | Restaurer le fichier

Exemple

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443

Regroupement#

NetHSM est sans état, de sorte que plusieurs dispositifs NetHSM peuvent être utilisés pour traiter un débit extrêmement élevé et fournir une haute disponibilité. Le module PKCS#11 prend en charge la planification round-robin pour une grappe d’instances NetHSM. Plusieurs instances de NetHSM peuvent être synchronisées par le biais de sauvegardes cryptées. Pour ce faire, un système distinct télécharge et charge les fichiers de sauvegarde entre les instances. Ce système distinct n’a pas accès aux données de sauvegarde en texte clair car les fichiers de sauvegarde sont cryptés. La synchronisation peut être facilement scriptée en utilisant pynitrokey comme le montre cet exemple.

Mise à jour du logiciel#

Les mises à jour logicielles peuvent être installées en deux étapes. Tout d’abord, l’image de mise à jour doit être téléchargée sur un NetHSM Provisioned. Le NetHSM vérifie l’authenticité, l’intégrité et le numéro de version de l’image. En option, le NetHSM affiche les notes de mise à jour, le cas échéant.

Avertissement

L’installation d’une mise à jour bêta peut entraîner une perte de données ! Les versions stables ne devraient pas entraîner de perte de données. Toutefois, il est recommandé de créer une sauvegarde avant de procéder à la mise à jour.

Le fichier de mise à jour peut être téléchargé comme suit.

Arguments

Arguments

Description

FILENAME

Mise à jour du fichier

Exemple

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin
Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443

Ensuite, la mise à jour peut être appliquée ou interrompue. Veuillez vous référer à l’option souhaitée ci-dessous. Si le NetHSM est mis hors tension avant l’opération « commit », le fichier de mise à jour doit être téléchargé à nouveau.

Important

Si le téléchargement de l’image de mise à jour échoue avec Error: NetHSM request failed: Bad request -- malformed image, veuillez suivre les étapes ci-dessous.

  1. Assurez-vous que vous disposez d’un fichier de mise à jour valide en vérifiant la signature fournie.

  2. Assurez-vous que vous n’avez pas activé un niveau de journalisation élevé, tel que DEBUG. Veuillez consulter le chapitre Logging pour en savoir plus sur la configuration du niveau de journalisation.

  3. Redémarrez l’appareil pour libérer la mémoire utilisée.

La mise à jour peut être appliquée (validée) comme suit. Toute migration de données n’est effectuée qu’à l’adresse après que le NetHSM a démarré avec succès la nouvelle version du logiciel système.

Exemple

$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443

La mise à jour peut être annulée comme suit.

Exemple

$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443

Informations sur le système#

Les informations sur le système, telles que la version du micrologiciel, la version du logiciel et la version du matériel, peuvent être récupérées comme suit.

Exemple

$ nitropy nethsm -h $NETHSM_HOST system-info
Host:             192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1.0
Build tag:        v2.0-0-g17ad829

Redémarrage et arrêt#

Le NetHSM peut être redémarré et arrêté, soit à distance, soit à l’aide du bouton de redémarrage et de mise hors tension situé à l’avant du matériel du NetHSM.

Le redémarrage à distance peut être initié comme suit.

Exemple

$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

L’arrêt à distance peut être déclenché comme suit.

Exemple

$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Réinitialisation des paramètres d’usine#

Un Provisioned NetHSM peut être réinitialisé aux valeurs d’usine. Dans ce cas, toutes les données utilisateur sont supprimées en toute sécurité et le NetHSM démarre dans un état Unprovisioned. Par la suite, vous pouvez souhaiter provisionner le NetHSM.

La réinitialisation aux valeurs par défaut de l’usine peut être effectuée comme suit.

Exemple

$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Gestion des utilisateurs#

Rôles#

Le NetHSM permet la séparation des tâches en utilisant différents rôles. Chaque compte utilisateur configuré sur le NetHSM se voit attribuer l’un des Rôles suivants.

Rôle

Description

Administrateur

Un compte utilisateur avec ce rôle a accès à toutes les opérations fournies par le NetHSM, à l’exception des opérations d’utilisation des clés, c’est-à-dire la signature et le décryptage des messages.

Opérateur

Un compte d’utilisateur avec ce rôle a accès à toutes les opérations d’utilisation des clés, à un sous-ensemble d’opérations de gestion des clés en lecture seule et à des opérations de gestion des utilisateurs permettant des changements uniquement pour leur propre compte.

Metrics

Un compte utilisateur avec ce rôle a accès aux opérations de métriques en lecture seule uniquement.

Backup

Un compte utilisateur avec ce rôle a accès aux opérations requises pour initier une sauvegarde du système uniquement.

Voir Namespaces et Tags pour des restrictions d’accès plus fines.

Note

Dans une prochaine version, des Rôles supplémentaires pourront être introduits.

Ajouter un utilisateur#

Ajouter un compte d’utilisateur au NetHSM. Chaque compte d’utilisateur a un rôle ** , qui doit être spécifié. Veuillez consulter le chapitre Rôles pour en savoir plus sur Rôles.

En option, un utilisateur peut être affecté à un *Namespace*.

Note

L’ID utilisateur doit être alphanumérique. Le NetHSM attribue un identifiant aléatoire si aucun n’est spécifié.

Un compte d’utilisateur peut être ajouté comme suit.

Options requises

Option

Description

-n, --real-name TEXT

Le nom réel du nouvel utilisateur

-N, --namespace TEXT

L’espace de noms du nouvel utilisateur

-r, --role [Administrator|Operator|Metrics|Backup]

Le Rôle du nouvel utilisateur

-p, --passphrase TEXT

La phrase de passe du nouvel utilisateur

Options facultatives

Option

Description

-u, --user-id TEXT

L’ID utilisateur du nouvel utilisateur

Exemple

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Par défaut, l’espace de noms est hérité de l’utilisateur qui ajoute le nouvel utilisateur. Seuls les utilisateurs qui n’ont pas d’espace de noms peuvent choisir un espace de noms différent pour les nouveaux utilisateurs. L’espace de noms est utilisé comme préfixe pour le nom de l’utilisateur, par exemple namespace~user. Par conséquent, le même nom d’utilisateur peut être utilisé dans plusieurs espaces de noms.

Supprimer l’utilisateur#

Supprimer un compte d’utilisateur du NetHSM.

Avertissement

La suppression est permanente et ne peut être annulée.

Un compte d’utilisateur peut être supprimé de la manière suivante.

Arguments

Arguments

Description

USER_ID

L’identifiant de l’utilisateur.

Exemple

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443

Liste des utilisateurs#

Dresser la liste des utilisateurs du NetHSM.

La liste peut être récupérée comme suit.

Options facultatives

Option

Description

--details, --no-details

Demander le nom réel et le rôle de l’utilisateur

Exemple

$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Les utilisateurs d’un espace de noms ne peuvent voir que les utilisateurs du même espace de noms.

Phrase de passe de l’utilisateur#

La phrase de passe d’un compte utilisateur peut être réinitialisée. Une phrase de passe est initialement définie lors de l’ajout d’un compte d’utilisateur.

Note

Les phrases de passe doivent avoir >= 10 et <= 200 caractères.

La phrase de passe de l’utilisateur peut être définie comme suit.

Options requises

Option

Description

-u, --user-id TEXT

L’ID de l’utilisateur

-p, --passphrase TEXT

La nouvelle phrase de passe de l’utilisateur

Exemple

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Espaces de noms#

Les espaces de noms ont été introduits dans la version 2.0 du logiciel. Lors de la migration à partir d’une version antérieure du logiciel, tous les utilisateurs et clés existants seront dépourvus d’espace de nommage.

Tout comme le concept de partitions, le NetHSM prend en charge le concept plus souple de Namespaces qui regroupe les clés, les administrateurs et les utilisateurs d’un NetHSM en sous-ensembles distincts. Les utilisateurs ne peuvent voir et utiliser que les clés du même espace de noms et ne peuvent voir que les utilisateurs du même espace de noms. Il n’est pas possible de voir les utilisateurs et de voir et d’utiliser les clés d’autres espaces de nommage. Lorsqu’un nouvel utilisateur est créé, il hérite de l’espace de nommage de l’utilisateur qui l’a créé. La capacité de stockage disponible est partagée entre tous les espaces de nommage.

Les utilisateurs ayant le rôle d’administrateur ** ` <administration#roles>` __ sont également appelés R-Administrateur s’ils ne font pas partie d’un espace de nommage, ou N-Administrateur s’ils font partie d’un espace de nommage.

Des règles particulières s’appliquent aux utilisateurs de R-Administrator: Ils peuvent définir l’espace de nommage pour les nouveaux utilisateurs, dresser la liste de tous les utilisateurs et interroger l’espace de nommage d’un utilisateur. En outre, la configuration du NetHSM n’est accessible qu’aux utilisateurs R-Administrator. Les administrateurs R ne peuvent pas voir les clés d’un espace de nommage.

Pour pouvoir générer des clés et des utilisateurs dans un espace de nommage, celui-ci doit être créé par un utilisateur R-Administrator. Une fois l’espace de nommage créé, les utilisateurs R-Administrator ne peuvent plus créer, supprimer ou modifier des utilisateurs dans cet espace de nommage. Cela permet de protéger les clés des espaces de noms auxquelles le R-Administrator a accès (également indirectement en ajoutant un nouvel utilisateur au nom de l’administrateur ou en réinitialisant les informations d’identification de l’utilisateur ou de l’administrateur existant). Il est donc nécessaire de créer un utilisateur N-Administrator pour l’espace de nommage avant de créer ce dernier. Les utilisateurs R-Administrator peuvent également supprimer un espace de nommage avec toutes les clés qu’il contient.

Liste des espaces de noms#

Dresser la liste des espaces de nommage du NetHSM.

La liste peut être récupérée comme suit.

Exemple

$ nitropy nethsm --host $NETHSM_HOST list-namespaces
Namespaces on NetHSM localhost:8843:
- ns1
- ns2

Ajouter un espace de noms#

Ajouter un espace de noms au NetHSM.

Les utilisateurs R-Administrator peuvent déjà créer de nouveaux comptes dans l’espace de nommage avant sa création. Après la création, seuls les utilisateurs N-Administrator peuvent gérer les utilisateurs dans l’espace de nommage. La création et l’utilisation de clés dans l’espace de nommage ne sont possibles qu’après son ajout.

Note

L’ID de l’espace de nommage doit être alphanumérique. Le NetHSM attribue un identifiant aléatoire si aucun n’est spécifié.

Un espace de noms peut être ajouté comme suit.

Arguments

Arguments

Description

NAMESPACE | Le nouveau Namespace.

Exemple

$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1
Namespace ns1 added to NetHSM localhost:8443

Supprimer l’espace de noms#

Supprimer un espace de nommage du NetHSM.

La suppression d’un espace de nommage supprime également toutes les clés de cet espace. Les utilisateurs restants de l’espace de nommage ne peuvent pas ajouter de clés tant que l’espace de nommage n’a pas été ajouté à nouveau.

Un espace de nommage peut être supprimé de la manière suivante.

Arguments

Arguments

Description

NAMESPACE

L’espace de noms à supprimer.

Exemple

$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1
Namespace ns1 deleted on NetHSM localhost:8443

Étiquettes pour les utilisateurs#

Les étiquettes peuvent être utilisées pour définir des restrictions d’accès précises sur les clés et sont une fonctionnalité optionnelle. Une ou plusieurs étiquettes ** peuvent être attribuées à des comptes d’utilisateurs ayant le rôle Operator uniquement. Les opérateurs ** peuvent voir toutes les clés, mais n’utilisent que celles auxquelles correspond au moins une étiquette ** . Une clé ne peut pas être modifiée par un utilisateur Operator.

Pour savoir comment utiliser les étiquettes ** sur les clés, veuillez consulter Tags pour les clés.

Une étiquette ** peut être ajoutée comme suit.

Arguments

Arguments

Description

USER_ID

L’identifiant de l’utilisateur pour définir le tag.

TAG

La balise à définir sur l’ID utilisateur.

Exemple

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin
Added tag berlin for user operator1 on the NetHSM localhost:8443

Le Tag peut être supprimé comme suit.

Arguments

Arguments

Description

USER_ID

L’identifiant de l’utilisateur pour définir le tag.

TAG

La balise à définir sur l’ID utilisateur.

Exemple

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin
Deleted tag berlin for user operator1 on the NetHSM localhost:8443