Administration¶
Ce chapitre décrit les tâches administratives pour les utilisateurs ayant le rôle Administrator. Veuillez consulter le chapitre Rôles pour en savoir plus sur le rôle.
Important
Veillez à lire les informations figurant au début de ce document avant de commencer à travailler.
Gestion du système¶
Informations sur le dispositif¶
Les informations sur le fournisseur et le produit d’un NetHSM peuvent être récupérées comme suit.
Exemple
$ nitropy nethsm --host $NETHSM_HOST info
Host: localhost:8443
Vendor: Nitrokey GmbH
Product: NetHSM
Des informations sur le point de terminaison /info peuvent être trouvées dans la documentation API.
Mode de démarrage¶
NetHSM peut être utilisé en mode Attended Boot et Unattended Boot.
Mode de démarrage |
Description |
|---|---|
Boot assisté |
Le NetHSM démarre dans un état « verrouillé ». La phrase de passe de déverrouillage ** doit être saisie à chaque démarrage, ce qui permet de décrypter les données utilisateur ** . Pour des raisons de sécurité, ce mode est recommandé et c’est le mode par défaut pour un système fraîchement provisionné. |
Démarrage sans surveillance |
Le système démarre sans surveillance sans qu’il soit nécessaire d’entrer la phrase de passe Unlock ** dans un état _Operational_. Utilisez ce mode si vos exigences en matière de disponibilité ne peuvent pas être satisfaites avec le mode Attended Boot. |
Avertissement
Quel que soit le mode de démarrage, la phrase de déverrouillage ** conserve sa validité et est nécessaire pour restaurer les sauvegardes sur d’autres matériels. Conservez la phrase de passe de déverrouillage ** en lieu sûr à tout moment.
Le mode de démarrage actuel peut être récupéré comme suit.
Exemple
$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
Unattended boot: off
Des informations sur le point de terminaison /config/unattended-boot peuvent être trouvées dans la documentation API.
Le mode de démarrage peut être modifié comme suit. Au prochain démarrage, le NetHSM se comportera en conséquence.
Arguments
Arguments |
Description |
|---|---|
Statut |
Active ou désactive l’option Unattended Boot. Peut avoir la valeur |
Exemple
$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443
Des informations sur le point de terminaison /config/unattended-boot peuvent être trouvées dans la documentation API.
État¶
Le logiciel NetHSM a quatre états : Unprovisioned, Provisioned, Locked, et Operational.
État |
Description |
|---|---|
Non provisionné |
NetHSM sans configuration (défaut d’usine) |
Prévu |
NetHSM avec configuration. L’état Provisioned implique l’état Operational ou Locked. |
Opérationnel |
NetHSM avec configuration et prêt à exécuter des commandes. L’état Operational implique l’état Provisioned. |
Locked |
NetHSM avec une configuration mais des données cryptées et inaccessibles. En général, l’étape suivante consiste à déverrouiller le système. L’état Locked implique l’état Provisioned. |
États et transitions du NetHSM¶
L’état actuel du NetHSM peut être récupéré comme suit.
Exemple
$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned
Des informations sur le point de terminaison /health/state peuvent être trouvées dans la documentation API.
Un nouveau NetHSM a un état Unprovisioned et, après le provisionnement, entre dans l’état Operational. Le provisionnement d’un NetHSM est décrit dans le chapitre Provisioning.
Un NetHSM en état Opérationnel peut être verrouillé à nouveau pour le protéger comme suit.
Exemple
$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked
Des informations sur le point de terminaison /lock peuvent être trouvées dans la documentation API.
Un NetHSM à l’état Locked peut être déverrouillé comme suit. Tant que le NetHSM est dans l’état _verrouillé_, aucune autre opération n’est possible. Ensuite, le NetHSM est dans un état _opérationnel_.
Exemple
$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked
Des informations sur le point de terminaison /unlock peuvent être trouvées dans la documentation API.
Déverrouiller la phrase d’authentification¶
La phrase de passe de déverrouillage est utilisée pour dériver une clé de déverrouillage si le NetHSM est en état verrouillé. La phrase de passe est initialement définie lors du provisionnement du NetHSM.
Avertissement
La phrase de déverrouillage ne peut pas être réinitialisée sans connaître la valeur actuelle. Si la phrase de déverrouillage est perdue, elle ne peut pas être réinitialisée à une nouvelle valeur et le NetHSM ne peut pas être déverrouillé.
La Phrase de passe de déverrouillage peut être définie comme suit.
Options facultatives
Option |
Description |
|---|---|
|
La nouvelle phrase de passe de déverrouillage |
|
La phrase de passe de déverrouillage actuelle |
|
Ne pas demander de confirmation avant de modifier la phrase de passe |
Exemple
$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443
Des informations sur le point de terminaison /config/unlock-passphrase peuvent être trouvées dans la documentation API.
Certificat TLS¶
Le certificat TLS est utilisé pour l’API REST basée sur HTTPS, et donc également utilisé par nitropy. Lors du provisionnement, un certificat auto-signé est créé. Le certificat peut être remplacé, par exemple par un certificat signé d’une autorité de certification (CA). Dans ce cas, une demande de signature de certificat (CSR) doit être générée. Après la signature, le certificat doit être importé dans le NetHSM.
Un changement n’est nécessaire que lorsque le certificat doit être remplacé. Ce changement peut consister à le remplacer par un certificat signé par une autorité de certification (CA).
Le certificat TLS peut être récupéré comme suit.
Options requises
Option |
Description |
|---|---|
|
Get the certificate for the NetHSM TLS interface |
Exemple
$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----
Des informations sur le point de terminaison /config/tls/cert.pem peuvent être trouvées dans la documentation API.
Le certificat TLS peut être généré comme suit.
Options requises
Option |
Description |
|---|---|
|
Le type de la clé générée |
|
La longueur de la clé générée |
Exemple
$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443
Des informations sur le point de terminaison /config/tls/generate peuvent être trouvées dans la documentation API.
La demande de signature de certificat (CSR) pour le certificat peut être générée comme suit.
Options requises
Option |
Description |
|---|---|
|
Générer un CSR pour le certificat TLS de NetHSM |
|
Le nom du pays |
|
Le nom de l’État ou de la province |
|
Le nom de la localité |
|
Le nom de l’organisation |
|
Le nom de l’unité d’organisation |
|
Le nom commun |
|
L’adresse électronique |
Exemple
$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----
Des informations sur le point de terminaison /config/tls/csr.pem peuvent être trouvées dans la documentation API.
Le certificat peut être remplacé comme suit.
Options requises
Option |
Description |
|---|---|
|
Définir le certificat pour l’interface TLS de NetHSM |
Arguments
Arguments |
Description |
|---|---|
|
Fichier de certificat |
Exemple
nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate
Des informations sur le point de terminaison /config/tls/csr.pem peuvent être trouvées dans la documentation API.
Réseau¶
La configuration du réseau définit les paramètres utilisés pour le Port réseau.
Note
This settings do not configure the BMC Network Port on the NetHSM 1.
La configuration du réseau peut être récupérée comme suit.
Options requises
Option |
Description |
|---|---|
|
Interroger la configuration du réseau |
Exemple
$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
IP address: 192.168.1.1
Netmask: 255.255.255.0
Gateway: 0.0.0.0
Des informations sur le point de terminaison /config/network peuvent être trouvées dans la documentation API.
Définissez la configuration du réseau comme suit.
Note
Le NetHSM ne prend pas en charge le protocole DHCP (Dynamic Host Configuration Protocol).
Note
Le NetHSM ne prend pas en charge l’IPv6 (Internet Protocol version 6).
Options requises
Option |
Description |
|---|---|
|
La nouvelle adresse IP |
|
Le nouveau masque de réseau |
|
La nouvelle passerelle |
Exemple
$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443
Des informations sur le point de terminaison /config/network peuvent être trouvées dans la documentation API.
Temps¶
La configuration de l’heure définit l’heure système du logiciel NetHSM. Il n’est généralement pas nécessaire de définir l’heure système, car elle est définie lors du provisionnement.
La configuration horaire peut être récupérée comme suit.
Options requises
Option |
Description |
|---|---|
|
Interroger l’heure du système |
Exemple
$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time: 2022-08-17 11:40:00+00:00
Des informations sur le point de terminaison /config/time peuvent être trouvées dans la documentation API.
Réglez l’heure du NetHSM.
Important
Assurez-vous de passer l’heure dans le fuseau horaire UTC.
Arguments
Arguments |
Description |
|---|---|
|
L’heure du système à définir (Format : YYYY-MM-DDTHH:MM:SSZ) |
Exemple
$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443
Des informations sur le point de terminaison /config/time peuvent être trouvées dans la documentation API.
Métriques¶
The NetHSM logs metrics of system parameters. Please refer to Metrics to learn more about each metric.
Les métriques peuvent être récupérées comme suit.
Rôle requis
This operation requires an authentication with the Metrics role.
Exemple
$ nitropy nethsm -h $NETHSM_HOST metrics
Metric Value
---------------------------- --------
client connections 0
established state 6
external.received bytes 989931
external.received packets 13239
external.transmitted bytes 25908953
external.transmitted packets 22037
free chunk count 322
gc compactions 0
gc major bytes 21348352
gc major collections 35
gc minor collections 2652
http response 200 28
http response 201 1
http response 204 1
http response 400 1
http response 403 1
http response 404 145
http response 412 1
http response time 0.084998
http response total 178
internal.received bytes 66541
internal.received packets 1130
internal.transmitted bytes 63802
internal.transmitted packets 1133
kv write 2
log errors 3
log warnings 3
maximum allocated space 64528384
maximum releasable bytes 1216
mmapped region count 0
new sleeper size 1
non-mmapped allocated bytes 64528384
sleep queue size 11
syn-rcvd state 0
timers 2
total allocated space 43940832
total client 1
total established 515
total free space 20587552
total sleeper size 12
total syn-rcvd 514
total timers 526
uptime 17626
Des informations sur le point de terminaison /metrics peuvent être trouvées dans la documentation API.
Enregistrement¶
Le NetHSM peut enregistrer les événements système sur le port série ou sur un serveur syslog du réseau.
Important
Pour tout déploiement en production, le journal NetHSM doit être surveillé en permanence afin de fournir une notification immédiate de tout problème de sécurité potentiel.
La configuration du serveur syslog peut être récupérée comme suit.
Options requises
Option |
Description |
|---|---|
|
Interroger la configuration de la journalisation |
Exemple
$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
IP address: 0.0.0.0
Port: 514
Log level: info
Des informations sur le point de terminaison /config/logging peuvent être trouvées dans la documentation API.
La configuration du serveur syslog peut être définie comme suit.
Options requises
Option |
Description |
|---|---|
|
L’adresse IP de la nouvelle destination de journalisation |
|
Le port de la nouvelle destination de journalisation |
|
Le nouveau niveau de journal |
Exemple
$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443
Des informations sur le point de terminaison /config/logging peuvent être trouvées dans la documentation API.
La console série fonctionne dès le début du matériel du NetHSM. Elle inclut les événements provenant du microprogramme NetHSM et du logiciel NetHSM.
Les paramètres de connexion de la console série sont les suivants.
Réglage de |
Valeur |
|---|---|
Vitesse de transmission |
115200 |
Bits de données |
8 |
Bits d’arrêt |
1 |
Parité |
Aucun |
Contrôle du débit |
Aucun |
Sauvegarde¶
Les données utilisateur de NetHSM peuvent être enregistrées dans un fichier de sauvegarde. Ce fichier de sauvegarde contient toutes les Données utilisateur, à savoir Mémoire de configuration, Mémoire d’authentification, Mémoire de clés de domaine et Mémoire de clés.
Important
Un logiciel système NetHSM en mode Unattended Boot nécessitera la Unlock Passphrase s’il est restauré sur un autre matériel NetHSM. Veuillez consulter le chapitre Unlock Passphrase pour en savoir plus.
Important
Un NetHSM en mode Unattended Boot sera dans le même mode après une restauration.
Avant qu’une sauvegarde puisse être lancée, la phrase de passe de sauvegarde doit être définie. La phrase de passe de sauvegarde est utilisée pour crypter les données du fichier de sauvegarde.
Avertissement
La phrase de passe de sauvegarde ne peut pas être réinitialisée sans connaître la valeur actuelle. Si la phrase de passe de sauvegarde est perdue, elle ne peut pas être réinitialisée à une nouvelle valeur et les sauvegardes créées ne peuvent pas être restaurées.
La phrase de passe de sauvegarde peut être définie comme suit.
Options facultatives
Option |
Description |
|---|---|
|
La nouvelle phrase de passe de sauvegarde |
|
Phrase de passe de la sauvegarde actuelle (ou une chaîne vide si elle n’est pas définie) |
|
Ne pas demander de confirmation avant de modifier la phrase de passe |
Exemple
$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443
Des informations sur le point de terminaison /config/backup-passphrase peuvent être trouvées dans la documentation API.
La sauvegarde peut être exécutée comme suit.
Rôle requis
This operation requires an authentication with the Backup role.
Arguments
Arguments |
Description |
|---|---|
|
Fichier de sauvegarde |
Exemple
$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup
Des informations sur le point de terminaison /system/backup peuvent être trouvées dans la documentation API.
Restaurer¶
Le NetHSM peut être restauré à partir d’un fichier de sauvegarde.
If the NetHSM is Unprovisioned it will restore all User Data including system configuration and reboot. Therefore the system may get different network settings, TLS certificate and Unlock Passphrase afterwards. The NetHSM ends in a Locked state.
Si le NetHSM est Provisioned, il restaurera les utilisateurs et les clés d’utilisateur, mais pas la configuration du système. Dans ce cas, tous les utilisateurs et clés d’utilisateur existants seront supprimés. Le NetHSM se termine dans l’état Operational.
La restauration peut être appliquée comme suit.
Options facultatives
Option |
Description |
|---|---|
|
La Phrase de passe de sauvegarde. |
|
L’heure système à définir (Format : |
Important
Assurez-vous que l’heure de votre ordinateur local est correctement réglée. Pour régler une heure différente, veuillez la fournir manuellement.
Arguments
Arguments |
Description |
|
|---|---|---|
|
||
Exemple
$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443
Des informations sur le point de terminaison /system/restore peuvent être trouvées dans la documentation API.
Replication¶
NetHSM is stateless, so that several NetHSM devices can be used to process extremely high throughput and provide high availability. The PKCS#11 module supports round-robin schedule for a cluster of NetHSM instances. Multiple instances of NetHSM can be synchronized via encrypted backups. For this a separate system downloads and uploads backup files between the instances. The synchronization can be easily scripted by using pynitrokey as shown in this example. This separate system doesn’t have access to the backed up data in clear text because the backup files are encrypted twice. The separate system is in possession of the backup passphrase only but not of the Domain Key resp. Unlock Passphrase which is the second layer of encryption. See the system design for further details.
Mise à jour du logiciel¶
Les mises à jour logicielles peuvent être installées en deux étapes. Tout d’abord, l’image de mise à jour doit être téléchargée sur un NetHSM Provisioned. Le NetHSM vérifie l’authenticité, l’intégrité et le numéro de version de l’image. En option, le NetHSM affiche les notes de mise à jour, le cas échéant.
Avertissement
L’installation d’une mise à jour bêta peut entraîner une perte de données ! Les versions stables ne devraient pas entraîner de perte de données. Toutefois, il est recommandé de créer une sauvegarde avant de procéder à la mise à jour.
Le fichier de mise à jour peut être téléchargé comme suit.
Arguments
Arguments |
Description |
|---|---|
|
Mise à jour du fichier |
Exemple
$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin
Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443
Des informations sur le point de terminaison /system/update peuvent être trouvées dans la documentation API.
Ensuite, la mise à jour peut être appliquée ou interrompue. Veuillez vous référer à l’option souhaitée ci-dessous. Si le NetHSM est mis hors tension avant l’opération « commit », le fichier de mise à jour doit être téléchargé à nouveau.
Important
Si le téléchargement de l’image de mise à jour échoue avec Error: NetHSM request failed: Bad request -- malformed image, veuillez suivre les étapes ci-dessous.
Assurez-vous que vous disposez d’un fichier de mise à jour valide en vérifiant la signature fournie.
Assurez-vous que vous n’avez pas activé un niveau de journalisation élevé, tel que
DEBUG. Veuillez consulter le chapitre Logging pour en savoir plus sur la configuration du niveau de journalisation.Redémarrez l’appareil pour libérer la mémoire utilisée.
La mise à jour peut être appliquée (validée) comme suit. Toute migration de données n’est effectuée qu’à l’adresse après que le NetHSM a démarré avec succès la nouvelle version du logiciel système.
Exemple
$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443
Des informations sur le point de terminaison /system/commit-update peuvent être trouvées dans la documentation API.
La mise à jour peut être annulée comme suit.
Exemple
$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443
Des informations sur le point de terminaison /system/cancel-update peuvent être trouvées dans la documentation API.
Informations sur le système¶
Les informations sur le système, telles que la version du micrologiciel, la version du logiciel et la version du matériel, peuvent être récupérées comme suit.
Exemple
$ nitropy nethsm -h $NETHSM_HOST system-info
Host: 192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1.0
Build tag: v2.0-0-g17ad829
Attestation keys
P256: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEup7z8QYvkzkBuLryG1SgVQjlPhSFW3PzYn1l3uLNd+pSBxX0OBpslcbnmPFr5wSs/iP46+H8MFlEAYUkYv6uuQ==
P384: MHYwEAYHKoZIzj0CAQYFK4EEACIDYgAEfQiurLvEmjsAmumRtIqu70HKehRo8A/nVrqQGiR8Rcr+SUujwgtQByORX5BoRtv4sZNJW4FyLGqvXCIF9IV1puob2+9Qq5oEjz4x4malLbFdyXDmQK8o2NpvcbgOr215
Platform Configuration Registers
0: 0f6064779fba55b102a6ecc20498c2020deaf2aebef23716ec293b25873647f8
2: 2b0d25a4a92b4df5205742954243db9d306a4c3277a6b6958bcbaf3d47def26f
Des informations sur le point de terminaison /system/info peuvent être trouvées dans la API documentation.
Redémarrage et arrêt¶
Le NetHSM peut être redémarré et arrêté, soit à distance, soit à l’aide du bouton de redémarrage et de mise hors tension situé à l’avant du matériel du NetHSM.
Le redémarrage à distance peut être initié comme suit.
Exemple
$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot
Des informations sur le point de terminaison /system/reboot peuvent être trouvées dans la documentation API.
L’arrêt à distance peut être déclenché comme suit.
Exemple
$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown
Des informations sur le point de terminaison /system/shutdown peuvent être trouvées dans la documentation API.
Réinitialisation des paramètres d’usine¶
Un Provisioned NetHSM peut être réinitialisé aux valeurs d’usine. Dans ce cas, toutes les données utilisateur sont supprimées en toute sécurité et le NetHSM démarre dans un état Unprovisioned. Par la suite, vous pouvez souhaiter provisionner le NetHSM.
La réinitialisation aux valeurs par défaut de l’usine peut être effectuée comme suit.
Exemple
$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset
Des informations sur le point de terminaison /system/factory-reset peuvent être trouvées dans la documentation API.
Gestion des utilisateurs¶
Rôles¶
Le NetHSM permet la séparation des tâches en utilisant différents rôles. Chaque compte utilisateur configuré sur le NetHSM se voit attribuer l’un des Rôles suivants.
Rôle |
Description |
|---|---|
Administrateur |
Un compte utilisateur avec ce rôle a accès à toutes les opérations fournies par le NetHSM, à l’exception des opérations d’utilisation des clés, c’est-à-dire la signature et le décryptage des messages. |
Opérateur |
Un compte d’utilisateur avec ce rôle a accès à toutes les opérations d’utilisation des clés, à un sous-ensemble d’opérations de gestion des clés en lecture seule et à des opérations de gestion des utilisateurs permettant des changements uniquement pour leur propre compte. |
Metrics |
Un compte utilisateur avec ce rôle a accès aux opérations de métriques en lecture seule uniquement. |
Backup |
Un compte utilisateur avec ce rôle a accès aux opérations requises pour initier une sauvegarde du système uniquement. |
Voir Namespaces et Tags pour des restrictions d’accès plus fines.
Note
Dans une prochaine version, des Rôles supplémentaires pourront être introduits.
Ajouter un utilisateur¶
Ajouter un compte d’utilisateur au NetHSM. Chaque compte d’utilisateur a un rôle ** , qui doit être spécifié. Veuillez consulter le chapitre Rôles pour en savoir plus sur Rôles.
En option, un utilisateur peut être affecté à un *Namespace*.
Note
L’ID utilisateur doit être alphanumérique. Le NetHSM attribue un identifiant aléatoire si aucun n’est spécifié.
Un compte d’utilisateur peut être ajouté comme suit.
Options requises
Option |
Description |
|---|---|
|
Le nom réel du nouvel utilisateur |
|
L’espace de noms du nouvel utilisateur |
|
Le Rôle du nouvel utilisateur |
|
La phrase de passe du nouvel utilisateur |
Options facultatives
Option |
Description |
|---|---|
|
L’ID utilisateur du nouvel utilisateur |
Exemple
$ nitropy nethsm --host $NETHSM_HOST add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443
Des informations sur le point de terminaison /users, pour créer un utilisateur sans spécifier l’ID utilisateur, peuvent être trouvées dans la documentation API.
Des informations sur le point de terminaison /users/{UserID}, pour créer un utilisateur en spécifiant son ID, peuvent être trouvées dans la documentation API.
Par défaut, l’espace de noms est hérité de l’utilisateur qui ajoute le nouvel utilisateur. Seuls les utilisateurs qui n’ont pas d’espace de noms peuvent choisir un espace de noms différent pour les nouveaux utilisateurs. L’espace de noms est utilisé comme préfixe pour le nom de l’utilisateur, par exemple namespace~user. Par conséquent, le même nom d’utilisateur peut être utilisé dans plusieurs espaces de noms.
Supprimer l’utilisateur¶
Supprimer un compte d’utilisateur du NetHSM.
Avertissement
La suppression est permanente et ne peut être annulée.
Un compte d’utilisateur peut être supprimé de la manière suivante.
Arguments
Arguments |
Description |
|---|---|
|
L’identifiant de l’utilisateur. |
Exemple
$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443
Des informations sur le point de terminaison /users/{UserID} peuvent être trouvées dans la documentation API.
Liste des utilisateurs¶
Dresser la liste des utilisateurs du NetHSM.
La liste peut être récupérée comme suit.
Options facultatives
Option |
Description |
|---|---|
|
Demander le nom réel et le rôle de l’utilisateur |
Exemple
$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:
User ID Real name Role
--------- ----------------- -------------
operator1 Nitrokey Operator Operator
admin admin Administrator
Les utilisateurs d’un espace de noms ne peuvent voir que les utilisateurs du même espace de noms.
Phrase de passe de l’utilisateur¶
La phrase de passe d’un compte utilisateur peut être réinitialisée. Une phrase de passe est initialement définie lors de l’ajout d’un compte d’utilisateur.
Note
Les phrases de passe doivent avoir >= 10 et <= 200 caractères.
La phrase de passe de l’utilisateur peut être définie comme suit.
Options requises
Option |
Description |
|---|---|
|
L’ID de l’utilisateur |
|
La nouvelle phrase de passe de l’utilisateur |
Exemple
$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443
Des informations sur le point de terminaison /users/{UserID}/passphrase peuvent être trouvées dans la documentation API.
Espaces de noms¶
Les espaces de noms ont été introduits dans la version 2.0 du logiciel. Lors de la migration à partir d’une version antérieure du logiciel, tous les utilisateurs et clés existants seront dépourvus d’espace de nommage.
Tout comme le concept de partitions, le NetHSM prend en charge le concept plus souple de Namespaces qui regroupe les clés, les administrateurs et les utilisateurs d’un NetHSM en sous-ensembles distincts. Les utilisateurs ne peuvent voir et utiliser que les clés du même espace de noms et ne peuvent voir que les utilisateurs du même espace de noms. Il n’est pas possible de voir les utilisateurs et de voir et d’utiliser les clés d’autres espaces de nommage. Lorsqu’un nouvel utilisateur est créé, il hérite de l’espace de nommage de l’utilisateur qui l’a créé. La capacité de stockage disponible est partagée entre tous les espaces de nommage.
Les utilisateurs ayant le rôle d’administrateur ** ` <administration#roles>`__ sont également appelés R-Administrateur s’ils ne font pas partie d’un espace de nommage, ou N-Administrateur s’ils font partie d’un espace de nommage.
Des règles particulières s’appliquent aux utilisateurs de R-Administrator: Ils peuvent définir l’espace de nommage pour les nouveaux utilisateurs, dresser la liste de tous les utilisateurs et interroger l’espace de nommage d’un utilisateur. En outre, la configuration du NetHSM n’est accessible qu’aux utilisateurs R-Administrator. Les administrateurs R ne peuvent pas voir les clés d’un espace de nommage.
Pour pouvoir générer des clés et des utilisateurs dans un espace de nommage, celui-ci doit être créé par un utilisateur R-Administrator. Une fois l’espace de nommage créé, les utilisateurs R-Administrator ne peuvent plus créer, supprimer ou modifier des utilisateurs dans cet espace de nommage. Cela permet de protéger les clés des espaces de noms auxquelles le R-Administrator a accès (également indirectement en ajoutant un nouvel utilisateur au nom de l’administrateur ou en réinitialisant les informations d’identification de l’utilisateur ou de l’administrateur existant). Il est donc nécessaire de créer un utilisateur N-Administrator pour l’espace de nommage avant de créer ce dernier. Les utilisateurs R-Administrator peuvent également supprimer un espace de nommage avec toutes les clés qu’il contient.
Liste des espaces de noms¶
Dresser la liste des espaces de nommage du NetHSM.
La liste peut être récupérée comme suit.
Exemple
$ nitropy nethsm --host $NETHSM_HOST list-namespaces
Namespaces on NetHSM localhost:8843:
- ns1
- ns2
Des informations sur le point de terminaison /namespaces peuvent être trouvées dans la API documentation.
Ajouter un espace de noms¶
Ajouter un espace de noms au NetHSM.
Les utilisateurs R-Administrator peuvent déjà créer de nouveaux comptes dans l’espace de nommage avant sa création. Après la création, seuls les utilisateurs N-Administrator peuvent gérer les utilisateurs dans l’espace de nommage. La création et l’utilisation de clés dans l’espace de nommage ne sont possibles qu’après son ajout.
Note
L’ID de l’espace de nommage doit être alphanumérique. Le NetHSM attribue un identifiant aléatoire si aucun n’est spécifié.
Un espace de noms peut être ajouté comme suit.
Arguments
Arguments |
Description |
|
|---|---|---|
|
||
Exemple
$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1
Namespace ns1 added to NetHSM localhost:8443
Des informations sur le point de terminaison /namespaces/{NamespaceID} peuvent être trouvées dans la API documentation.
Supprimer l’espace de noms¶
Supprimer un espace de nommage du NetHSM.
La suppression d’un espace de nommage supprime également toutes les clés de cet espace. Les utilisateurs restants de l’espace de nommage ne peuvent pas ajouter de clés tant que l’espace de nommage n’a pas été ajouté à nouveau.
Un espace de nommage peut être supprimé de la manière suivante.
Arguments
Arguments |
Description |
|---|---|
|
L’espace de noms à supprimer. |
Exemple
$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1
Namespace ns1 deleted on NetHSM localhost:8443
Des informations sur le point de terminaison /namespaces/{NamespaceID} peuvent être trouvées dans la API documentation.