Administration

Ce chapitre décrit les tâches administratives pour les utilisateurs ayant le rôle Administrator. Veuillez consulter le chapitre Rôles pour en savoir plus sur le rôle.

Important

Veillez à lire les informations figurant au début de ce document avant de commencer à travailler.

Gestion du système

Informations sur le dispositif

Les informations sur le fournisseur et le produit d’un NetHSM peuvent être récupérées comme suit.

nitropyREST API

Exemple

$ nitropy nethsm --host $NETHSM_HOST info

Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Mode de démarrage

NetHSM peut être utilisé en mode Attended Boot et Unattended Boot.

Mode de démarrage	Description
Boot assisté	Le NetHSM démarre dans un état « verrouillé ». La phrase de passe de déverrouillage ** doit être saisie à chaque démarrage, ce qui permet de décrypter les données utilisateur ** . Pour des raisons de sécurité, ce mode est recommandé et c’est le mode par défaut pour un système fraîchement provisionné.
Démarrage sans surveillance	Le système démarre sans surveillance sans qu’il soit nécessaire d’entrer la phrase de passe Unlock ** dans un état _Operational_. Utilisez ce mode si vos exigences en matière de disponibilité ne peuvent pas être satisfaites avec le mode Attended Boot.

Avertissement

Quel que soit le mode de démarrage, la phrase de déverrouillage ** conserve sa validité et est nécessaire pour restaurer les sauvegardes sur d’autres matériels. Conservez la phrase de passe de déverrouillage ** en lieu sûr à tout moment.

Le mode de démarrage actuel peut être récupéré comme suit.

nitropyREST API

Exemple

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot

Configuration for NetHSM localhost:8443:
   Unattended boot: off

Le mode de démarrage peut être modifié comme suit. Au prochain démarrage, le NetHSM se comportera en conséquence.

nitropyREST API

Arguments

Arguments	Description
Statut	Active ou désactive l’option Unattended Boot. Peut avoir la valeur on ou off.

Exemple

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on

Updated the unattended boot configuration for NetHSM localhost:8443

État

Le logiciel NetHSM a quatre états : Unprovisioned, Provisioned, Locked, et Operational.

État	Description
Non provisionné	NetHSM sans configuration (défaut d’usine)
Prévu	NetHSM avec configuration. L’état Provisioned implique l’état Operational ou Locked.
Opérationnel	NetHSM avec configuration et prêt à exécuter des commandes. L’état Operational implique l’état Provisioned.
Locked	NetHSM avec une configuration mais des données cryptées et inaccessibles. En général, l’étape suivante consiste à déverrouiller le système. L’état Locked implique l’état Provisioned.

États et transitions du NetHSM

L’état actuel du NetHSM peut être récupéré comme suit.

nitropyREST API

Exemple

$ nitropy nethsm --host $NETHSM_HOST state

NetHSM localhost:8443 is Unprovisioned

Un nouveau NetHSM a un état Unprovisioned et, après le provisionnement, entre dans l’état Operational. Le provisionnement d’un NetHSM est décrit dans le chapitre Provisioning.

Un NetHSM en état Opérationnel peut être verrouillé à nouveau pour le protéger comme suit.

nitropyREST API

Exemple

$ nitropy nethsm --host $NETHSM_HOST lock

NetHSM localhost:8443 locked

Un NetHSM à l’état Locked peut être déverrouillé comme suit. Tant que le NetHSM est dans l’état _verrouillé_, aucune autre opération n’est possible. Ensuite, le NetHSM est dans un état _opérationnel_.

nitropyREST API

Exemple

$ nitropy nethsm --host $NETHSM_HOST unlock

NetHSM localhost:8443 unlocked

Déverrouiller la phrase d’authentification

La phrase de passe de déverrouillage est utilisée pour dériver une clé de déverrouillage si le NetHSM est en état verrouillé. La phrase de passe est initialement définie lors du provisionnement du NetHSM.

Avertissement

La phrase de déverrouillage ne peut pas être réinitialisée sans connaître la valeur actuelle. Si la phrase de déverrouillage est perdue, elle ne peut pas être réinitialisée à une nouvelle valeur et le NetHSM ne peut pas être déverrouillé.

La Phrase de passe de déverrouillage peut être définie comme suit.

nitropyREST API

Options facultatives

Option	Description
-n, --new-passphrase TEXT	La nouvelle phrase de passe de déverrouillage
-p, --current-passphrase TEXT	La phrase de passe de déverrouillage actuelle
-f, --force	Ne pas demander de confirmation avant de modifier la phrase de passe

Exemple

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase

New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443

Certificat TLS

Le certificat TLS est utilisé pour l’API REST basée sur HTTPS, et donc également utilisé par nitropy. Lors du provisionnement, un certificat auto-signé est créé. Le certificat peut être remplacé, par exemple par un certificat signé d’une autorité de certification (CA). Dans ce cas, une demande de signature de certificat (CSR) doit être générée. Après la signature, le certificat doit être importé dans le NetHSM.

Un changement n’est nécessaire que lorsque le certificat doit être remplacé. Ce changement peut consister à le remplacer par un certificat signé par une autorité de certification (CA).

Le certificat TLS peut être récupéré comme suit.

nitropyREST API

Options requises

Option	Description
-a, --api	Get the certificate for the NetHSM TLS interface

Exemple

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api

-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----

Le certificat TLS peut être généré comme suit.

nitropyREST API

Options requises

Option	Description
-t, --type [RSA|Curve25519|EC_P224|EC_P256|EC_P384|EC_P521]	Le type de la clé générée
-l, --length INTEGER	La longueur de la clé générée

Exemple

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519

Key for TLS interface generated on NetHSM localhost:8443

La demande de signature de certificat (CSR) pour le certificat peut être générée comme suit.

nitropyREST API

Options requises

Option	Description
-a, --api	Générer un CSR pour le certificat TLS de NetHSM
--country TEXT	Le nom du pays
--state-or-province TEXT	Le nom de l’État ou de la province
--locality TEXT	Le nom de la localité
--organization TEXT	Le nom de l’organisation
--organizational-unit TEXT	Le nom de l’unité d’organisation
--common-name TEXT	Le nom commun
--email-address TEXT	L’adresse électronique

Exemple

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"

-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----

Le certificat peut être remplacé comme suit.

nitropyREST API

Options requises

Option	Description
-a, --api	Définir le certificat pour l’interface TLS de NetHSM

Arguments

Arguments	Description
FILENAME	Fichier de certificat

Exemple

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Réseau

La configuration du réseau définit les paramètres utilisés pour le Port réseau.

Note

This settings do not configure the BMC Network Port on the NetHSM 1.

La configuration du réseau peut être récupérée comme suit.

nitropyREST API

Options requises

Option	Description
--network	Interroger la configuration du réseau

Exemple

$ nitropy nethsm -h $NETHSM_HOST get-config --network

Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Définissez la configuration du réseau comme suit.

Note

Le NetHSM ne prend pas en charge le protocole DHCP (Dynamic Host Configuration Protocol).

Note

Le NetHSM ne prend pas en charge l’IPv6 (Internet Protocol version 6).

nitropyREST API

Options requises

Option	Description
-a, --ip-address	La nouvelle adresse IP
-n, --netmask	Le nouveau masque de réseau
-n, --netmask	La nouvelle passerelle

Exemple

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0

Updated the network configuration for NetHSM localhost:8443

Temps

La configuration de l’heure définit l’heure système du logiciel NetHSM. Il n’est généralement pas nécessaire de définir l’heure système, car elle est définie lors du provisionnement.

La configuration horaire peut être récupérée comme suit.

nitropyREST API

Options requises

Option	Description
--time	Interroger l’heure du système

Exemple

$ nitropy nethsm -host $NETHSM_HOST get-config --time

Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Réglez l’heure du NetHSM.

Important

Assurez-vous de passer l’heure dans le fuseau horaire UTC.

nitropyREST API

Arguments

Arguments	Description
time	L’heure du système à définir (Format : YYYY-MM-DDTHH:MM:SSZ)

Exemple

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z

Updated the system time for NetHSM localhost:8443

Métriques

The NetHSM logs metrics of system parameters. Please refer to Metrics to learn more about each metric.

Les métriques peuvent être récupérées comme suit.

nitropyREST API

Rôle requis

This operation requires an authentication with the Metrics role.

Exemple

$ nitropy nethsm -h $NETHSM_HOST metrics

Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Enregistrement

Le NetHSM peut enregistrer les événements système sur le port série ou sur un serveur syslog du réseau.

Important

Pour tout déploiement en production, le journal NetHSM doit être surveillé en permanence afin de fournir une notification immédiate de tout problème de sécurité potentiel.

La configuration du serveur syslog peut être récupérée comme suit.

nitropyREST API

Options requises

Option	Description
--network	Interroger la configuration de la journalisation

Exemple

$ nitropy nethsm -h $NETHSM_HOST get-config --logging

Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

La configuration du serveur syslog peut être définie comme suit.

nitropyREST API

Options requises

Option	Description
-p, --passphrase TEXT	L’adresse IP de la nouvelle destination de journalisation
-p, --port INTEGER	Le port de la nouvelle destination de journalisation
-l, --log-level [debug|info|warning|error]	Le nouveau niveau de journal

Exemple

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info

Updated the logging configuration for NetHSM localhost:8443

La console série fonctionne dès le début du matériel du NetHSM. Elle inclut les événements provenant du microprogramme NetHSM et du logiciel NetHSM.

Les paramètres de connexion de la console série sont les suivants.

Réglage de	Valeur
Vitesse de transmission	115200
Bits de données	8
Bits d’arrêt	1
Parité	Aucun
Contrôle du débit	Aucun

Sauvegarde

Les données utilisateur de NetHSM peuvent être enregistrées dans un fichier de sauvegarde. Ce fichier de sauvegarde contient toutes les Données utilisateur, à savoir Mémoire de configuration, Mémoire d’authentification, Mémoire de clés de domaine et Mémoire de clés.

Important

Un logiciel système NetHSM en mode Unattended Boot nécessitera la Unlock Passphrase s’il est restauré sur un autre matériel NetHSM. Veuillez consulter le chapitre Unlock Passphrase pour en savoir plus.

Important

Un NetHSM en mode Unattended Boot sera dans le même mode après une restauration.

Avant qu’une sauvegarde puisse être lancée, la phrase de passe de sauvegarde doit être définie. La phrase de passe de sauvegarde est utilisée pour crypter les données du fichier de sauvegarde.

Avertissement

La phrase de passe de sauvegarde ne peut pas être réinitialisée sans connaître la valeur actuelle. Si la phrase de passe de sauvegarde est perdue, elle ne peut pas être réinitialisée à une nouvelle valeur et les sauvegardes créées ne peuvent pas être restaurées.

La phrase de passe de sauvegarde peut être définie comme suit.

nitropyREST API

Options facultatives

Option	Description
-n, --new-passphrase TEXT	La nouvelle phrase de passe de sauvegarde
-p, --current-passphrase TEXT	Phrase de passe de la sauvegarde actuelle (ou une chaîne vide si elle n’est pas définie)
-f, --force	Ne pas demander de confirmation avant de modifier la phrase de passe

Exemple

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase

New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443

La sauvegarde peut être exécutée comme suit.

nitropyREST API

Rôle requis

This operation requires an authentication with the Backup role.

Arguments

Arguments	Description
FILENAME	Fichier de sauvegarde

Exemple

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup

Backup for localhost:8443 written to /tmp/backup

Restaurer

Le NetHSM peut être restauré à partir d’un fichier de sauvegarde.

• If the NetHSM is Unprovisioned it will restore all User Data including system configuration and reboot. Therefore the system may get different network settings, TLS certificate and Unlock Passphrase afterwards. The NetHSM ends in a Locked state.

• Si le NetHSM est Provisioned, il restaurera les utilisateurs et les clés d’utilisateur, mais pas la configuration du système. Dans ce cas, tous les utilisateurs et clés d’utilisateur existants seront supprimés. Le NetHSM se termine dans l’état Operational.

La restauration peut être appliquée comme suit.

nitropyREST API

Options facultatives

Option	Description
-p, --backup-passphrase passphrase	La Phrase de passe de sauvegarde.
-t, --system-time	L’heure système à définir (Format : YYYY-MM-DDTHH:MM:SSZ)

Important

Assurez-vous que l’heure de votre ordinateur local est correctement réglée. Pour régler une heure différente, veuillez la fournir manuellement.

Arguments

Arguments		Description
FILENAME | Restaurer le fichier

Exemple

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup

Backup passphrase:
Backup restored on NetHSM localhost:8443

Replication

NetHSM is stateless, so that several NetHSM devices can be used to process extremely high throughput and provide high availability. The PKCS#11 module supports round-robin schedule for a cluster of NetHSM instances. Multiple instances of NetHSM can be synchronized via encrypted backups. For this a separate system downloads and uploads backup files between the instances. The synchronization can be easily scripted by using pynitrokey as shown in this example. This separate system doesn’t have access to the backed up data in clear text because the backup files are encrypted twice. The separate system is in possession of the backup passphrase only but not of the Domain Key resp. Unlock Passphrase which is the second layer of encryption. See the system design for further details.

Mise à jour du logiciel

Les mises à jour logicielles peuvent être installées en deux étapes. Tout d’abord, l’image de mise à jour doit être téléchargée sur un NetHSM Provisioned. Le NetHSM vérifie l’authenticité, l’intégrité et le numéro de version de l’image. En option, le NetHSM affiche les notes de mise à jour, le cas échéant.

Avertissement

L’installation d’une mise à jour bêta peut entraîner une perte de données ! Les versions stables ne devraient pas entraîner de perte de données. Toutefois, il est recommandé de créer une sauvegarde avant de procéder à la mise à jour.

Avertissement

Veillez à installer le fichier de mise à jour correspondant à votre modèle de matériel NetHSM 1 ou NetHSM 2. Vous pouvez vérifier votre modèle sur le site system information.

Le fichier de mise à jour peut être téléchargé comme suit.

nitropyREST API

Arguments

Arguments	Description
FILENAME	Mise à jour du fichier

Exemple

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin

Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443

Ensuite, la mise à jour peut être appliquée ou interrompue. Veuillez vous référer à l’option souhaitée ci-dessous. Si le NetHSM est mis hors tension avant l’opération « commit », le fichier de mise à jour doit être téléchargé à nouveau.

Important

Si le téléchargement de l’image de mise à jour échoue avec Error: NetHSM request failed: Bad request -- malformed image, veuillez suivre les étapes ci-dessous.

1. Assurez-vous que vous disposez d’un fichier de mise à jour valide en vérifiant la signature fournie.

2. Assurez-vous que vous n’avez pas activé un niveau de journalisation élevé, tel que DEBUG. Veuillez consulter le chapitre Logging pour en savoir plus sur la configuration du niveau de journalisation.

3. Redémarrez l’appareil pour libérer la mémoire utilisée.

La mise à jour peut être appliquée (validée) comme suit. Toute migration de données n’est effectuée qu’à l’adresse après que le NetHSM a démarré avec succès la nouvelle version du logiciel système.

nitropyREST API

Exemple

$ nitropy nethsm --host $NETHSM_HOST commit-update

Update successfully committed on NetHSM localhost:8443

La mise à jour peut être annulée comme suit.

nitropyREST API

Exemple

$ nitropy nethsm --host $NETHSM_HOST cancel-update

Update successfully cancelled on NetHSM localhost:8443

Informations sur le système

Les informations sur le système, telles que la version du micrologiciel, la version du logiciel et la version du matériel, peuvent être récupérées comme suit.

nitropyREST API

Exemple

$ nitropy nethsm -h $NETHSM_HOST system-info

Host:             192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1
Build tag:        v2.0-0-g17ad829
Attestation keys
  P256:           MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEup7z8QYvkzkBuLryG1SgVQjlPhSFW3PzYn1l3uLNd+pSBxX0OBpslcbnmPFr5wSs/iP46+H8MFlEAYUkYv6uuQ==
  P384:           MHYwEAYHKoZIzj0CAQYFK4EEACIDYgAEfQiurLvEmjsAmumRtIqu70HKehRo8A/nVrqQGiR8Rcr+SUujwgtQByORX5BoRtv4sZNJW4FyLGqvXCIF9IV1puob2+9Qq5oEjz4x4malLbFdyXDmQK8o2NpvcbgOr215
Platform Configuration Registers
  0:              0f6064779fba55b102a6ecc20498c2020deaf2aebef23716ec293b25873647f8
  2:              2b0d25a4a92b4df5205742954243db9d306a4c3277a6b6958bcbaf3d47def26f

Un NetHSM 1 identifie la version matérielle prodrive-hermes-1 et un NetHSM 2 msi-z790-1.

Redémarrage et arrêt

Le NetHSM peut être redémarré et arrêté, soit à distance, soit à l’aide du bouton de redémarrage et de mise hors tension situé à l’avant du matériel du NetHSM.

Le redémarrage à distance peut être initié comme suit.

nitropyREST API

Exemple

$ nitropy nethsm --host $NETHSM_HOST reboot

NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

L’arrêt à distance peut être déclenché comme suit.

nitropyREST API

Exemple

$ nitropy nethsm --host $NETHSM_HOST shutdown

NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Réinitialisation des paramètres d’usine

Un Provisioned NetHSM peut être réinitialisé aux valeurs d’usine. Dans ce cas, toutes les données utilisateur sont supprimées en toute sécurité et le NetHSM démarre dans un état Unprovisioned. Par la suite, vous pouvez souhaiter provisionner le NetHSM.

La réinitialisation aux valeurs par défaut de l’usine peut être effectuée comme suit.

nitropyREST API

Exemple

$ nitropy nethsm -h $NETHSM_HOST factory-reset

NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Gestion des utilisateurs

Rôles

Le NetHSM permet la séparation des tâches en utilisant différents rôles. Chaque compte utilisateur configuré sur le NetHSM se voit attribuer l’un des Rôles suivants.

Rôle	Description
Administrateur	Un compte utilisateur avec ce rôle a accès à toutes les opérations fournies par le NetHSM, à l’exception des opérations d’utilisation des clés, c’est-à-dire la signature et le décryptage des messages.
Opérateur	Un compte d’utilisateur avec ce rôle a accès à toutes les opérations d’utilisation des clés, à un sous-ensemble d’opérations de gestion des clés en lecture seule et à des opérations de gestion des utilisateurs permettant des changements uniquement pour leur propre compte.
Metrics	Un compte utilisateur avec ce rôle a accès aux opérations de métriques en lecture seule uniquement.
Backup	Un compte utilisateur avec ce rôle a accès aux opérations requises pour initier une sauvegarde du système uniquement.

Voir Namespaces et Tags pour des restrictions d’accès plus fines.

Note

Dans une prochaine version, des Rôles supplémentaires pourront être introduits.

Ajouter un utilisateur

Ajouter un compte d’utilisateur au NetHSM. Chaque compte d’utilisateur a un rôle ** , qui doit être spécifié. Veuillez consulter le chapitre Rôles pour en savoir plus sur Rôles.

Optionally, a user can be assigned to a Namespace.

Note

L’ID utilisateur doit être alphanumérique. Le NetHSM attribue un identifiant aléatoire si aucun n’est spécifié.

Un compte d’utilisateur peut être ajouté comme suit.

nitropyREST API

Options requises

Option	Description
-n, --real-name TEXT	Le nom réel du nouvel utilisateur
-N, --namespace TEXT	L’espace de noms du nouvel utilisateur
-r, --role [Administrator|Operator|Metrics|Backup]	Le Rôle du nouvel utilisateur
-p, --passphrase TEXT	La phrase de passe du nouvel utilisateur

Options facultatives

Option	Description
-u, --user-id TEXT	L’ID utilisateur du nouvel utilisateur

Exemple

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1

Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Par défaut, l’espace de noms est hérité de l’utilisateur qui ajoute le nouvel utilisateur. Seuls les utilisateurs qui n’ont pas d’espace de noms peuvent choisir un espace de noms différent pour les nouveaux utilisateurs. L’espace de noms est utilisé comme préfixe pour le nom de l’utilisateur, par exemple namespace~user. Par conséquent, le même nom d’utilisateur peut être utilisé dans plusieurs espaces de noms.

Supprimer l’utilisateur

Supprimer un compte d’utilisateur du NetHSM.

Avertissement

La suppression est permanente et ne peut être annulée.

Un compte d’utilisateur peut être supprimé de la manière suivante.

nitropyREST API

Arguments

Arguments	Description
USER_ID	L’identifiant de l’utilisateur.

Exemple

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1

User operator1 deleted on NetHSM localhost:8443

Liste des utilisateurs

Dresser la liste des utilisateurs du NetHSM.

La liste peut être récupérée comme suit.

nitropyREST API

Options facultatives

Option	Description
--details, --no-details	Demander le nom réel et le rôle de l’utilisateur

Exemple

$ nitropy nethsm --host $NETHSM_HOST list-users

Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Les utilisateurs d’un espace de noms ne peuvent voir que les utilisateurs du même espace de noms.

Phrase de passe de l’utilisateur

La phrase de passe d’un compte utilisateur peut être réinitialisée. Une phrase de passe est initialement définie lors de l’ajout d’un compte d’utilisateur.

Note

Les phrases de passe doivent avoir >= 10 et <= 200 caractères.

La phrase de passe de l’utilisateur peut être définie comme suit.

nitropyREST API

Options requises

Option	Description
-u, --user-id TEXT	L’ID de l’utilisateur
-p, --passphrase TEXT	La nouvelle phrase de passe de l’utilisateur

Exemple

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1

Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Espaces de noms

Similarly to the concept of partitions, NetHSM supports the more flexible Namespaces which group keys, administrators, and users on a NetHSM into separate subsets. Users can only see and use keys in the same Namespace and can only see users in the same Namespace. It is not possible to see users and to see and use keys of other Namespaces. When a new user is created, it inherits the Namespace of the user that created it. The available storage capacity is shared between all Namespaces. An practically unlimited amount of Namespaces can be used without requiring additional licenses.

Les espaces de noms ont été introduits dans la version 2.0 du logiciel. Lors de la migration à partir d’une version antérieure du logiciel, tous les utilisateurs et clés existants seront dépourvus d’espace de nommage.

Les utilisateurs ayant le rôle d’administrateur ** ` <administration#roles>`__ sont également appelés R-Administrateur s’ils ne font pas partie d’un espace de nommage, ou N-Administrateur s’ils font partie d’un espace de nommage.

Des règles particulières s’appliquent aux utilisateurs de R-Administrator: Ils peuvent définir l’espace de nommage pour les nouveaux utilisateurs, dresser la liste de tous les utilisateurs et interroger l’espace de nommage d’un utilisateur. En outre, la configuration du NetHSM n’est accessible qu’aux utilisateurs R-Administrator. Les administrateurs R ne peuvent pas voir les clés d’un espace de nommage.

Pour pouvoir générer des clés et des utilisateurs dans un espace de nommage, celui-ci doit être créé par un utilisateur R-Administrator. Une fois l’espace de nommage créé, les utilisateurs R-Administrator ne peuvent plus créer, supprimer ou modifier des utilisateurs dans cet espace de nommage. Cela permet de protéger les clés des espaces de noms auxquelles le R-Administrator a accès (également indirectement en ajoutant un nouvel utilisateur au nom de l’administrateur ou en réinitialisant les informations d’identification de l’utilisateur ou de l’administrateur existant). Il est donc nécessaire de créer un utilisateur N-Administrator pour l’espace de nommage avant de créer ce dernier. Les utilisateurs R-Administrator peuvent également supprimer un espace de nommage avec toutes les clés qu’il contient.

Liste des espaces de noms

Dresser la liste des espaces de nommage du NetHSM.

La liste peut être récupérée comme suit.

nitropyREST API

Exemple

$ nitropy nethsm --host $NETHSM_HOST list-namespaces

Namespaces on NetHSM localhost:8843:
- ns1
- ns2

Ajouter un espace de noms

Ajouter un espace de noms au NetHSM.

Les utilisateurs R-Administrator peuvent déjà créer de nouveaux comptes dans l’espace de nommage avant sa création. Après la création, seuls les utilisateurs N-Administrator peuvent gérer les utilisateurs dans l’espace de nommage. La création et l’utilisation de clés dans l’espace de nommage ne sont possibles qu’après son ajout.

Note

L’ID de l’espace de nommage doit être alphanumérique. Le NetHSM attribue un identifiant aléatoire si aucun n’est spécifié.

Un espace de noms peut être ajouté comme suit.

nitropyREST API

Arguments

Arguments		Description
NAMESPACE | Le nouveau Namespace.

Exemple

$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1

Namespace ns1 added to NetHSM localhost:8443

Supprimer l’espace de noms

Supprimer un espace de nommage du NetHSM.

La suppression d’un espace de nommage supprime également toutes les clés de cet espace. Les utilisateurs restants de l’espace de nommage ne peuvent pas ajouter de clés tant que l’espace de nommage n’a pas été ajouté à nouveau.

Un espace de nommage peut être supprimé de la manière suivante.

nitropyREST API

Arguments

Arguments	Description
NAMESPACE	L’espace de noms à supprimer.

Exemple

$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1

Namespace ns1 deleted on NetHSM localhost:8443

Étiquettes pour les utilisateurs

Les étiquettes peuvent être utilisées pour définir des restrictions d’accès précises sur les clés et sont une fonctionnalité optionnelle. Une ou plusieurs étiquettes ** peuvent être attribuées à des comptes d’utilisateurs ayant le rôle Operator uniquement. Les opérateurs ** peuvent voir toutes les clés, mais n’utilisent que celles auxquelles correspond au moins une étiquette ** . Une clé ne peut pas être modifiée par un utilisateur Operator.

Pour savoir comment utiliser les étiquettes ** sur les clés, veuillez consulter Tags pour les clés.

Une étiquette ** peut être ajoutée comme suit.

nitropyREST API

Arguments

Arguments	Description
USER_ID	L’identifiant de l’utilisateur pour définir le tag.
TAG	La balise à définir sur l’ID utilisateur.

Exemple

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin

Added tag berlin for user operator1 on the NetHSM localhost:8443

Le Tag peut être supprimé comme suit.

nitropyREST API

Arguments

Arguments	Description
USER_ID	L’identifiant de l’utilisateur pour définir le tag.
TAG	La balise à définir sur l’ID utilisateur.

Exemple

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin

Deleted tag berlin for user operator1 on the NetHSM localhost:8443