Adminisztráció#
Ez a fejezet a Administrator szerepkörrel rendelkező felhasználók rendszergazdai feladatait írja le. A szerepkörről bővebben a Szerepkörök fejezetben olvashat.
Fontos
Kérjük, a munka megkezdése előtt feltétlenül olvassa el a a dokumentum elején található információkat.
Rendszerirányítás#
Eszközinformációk#
A NetHSM gyártó- és termékinformációi a következőképpen kérhetők le.
Példa
$ nitropy nethsm --host $NETHSM_HOST info
Host: localhost:8443
Vendor: Nitrokey GmbH
Product: NetHSM
A /info végponttal kapcsolatos információk az `API dokumentációban <https://nethsmdemo.nitrokey.com/api_docs/index.html#/default/GET_info><x>`__ találhatók.
Boot üzemmód#
A NetHSM használható Vigyázott indítás és Vigyázatlan indítás üzemmódban.
Boot üzemmód |
Leírás |
---|---|
Részt vett Boot |
A NetHSM a _Locked_ állapotba indul. Minden indításkor be kell írni a Unlock Passphrase jelszót, amely a felhasználói adatok visszafejtésére szolgál. Biztonsági okokból ez az üzemmód ajánlott, és ez az alapértelmezett üzemmód egy frissen feltöltött rendszer esetében. |
Unattended Boot |
A rendszer felügyelet nélkül, a Unlock Passphrase megadása nélkül indul _Operational_ állapotba. Akkor használja ezt az üzemmódot, ha a rendelkezésre állási követelményeket nem lehet teljesíteni a Attended Boot üzemmóddal. |
Figyelem
Az indítási módtól függetlenül a Unlock Passphrase érvényességét megőrzi, és szükséges a biztonsági mentések más hardveren történő visszaállításához. A Unlock Passphrase jelszót mindig tartsa biztonságban.
Az aktuális indítási mód a következőképpen kérhető le.
Példa
$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
Unattended boot: off
A /config/unattended-boot végponttal kapcsolatos információk az API dokumentációban találhatók.
Az indítási mód a következőképpen módosítható. A következő indításkor a NetHSM ennek megfelelően fog viselkedni.
érvek
Érv |
Leírás |
---|---|
Állapot |
Engedélyezi vagy letiltja a Vigyázatlan indítást. Lehet értéke |
Példa
$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443
A /config/unattended-boot végponttal kapcsolatos információk az API dokumentációban találhatók.
Állam#
A NetHSM szoftver négy állapottal rendelkezik: Előkészítetlen, Készenlétbe helyezett, Zárolt és Működőképes.
Állam |
Leírás |
---|---|
Előkészítetlen |
NetHSM konfiguráció nélkül (gyári alapértelmezés) |
Provisioned |
NetHSM konfigurációval. A Provisioned állapot Operational vagy Locked állapotot jelent. |
Operational |
NetHSM konfigurációval és parancsok végrehajtására kész. Az Operational állapot a Provisioned állapotot feltételezi. |
Locked |
NetHSM konfigurációval, de titkosított és elérhetetlen adattárolókkal. A következő lépés jellemzően a rendszer feloldása. A Locked állapot magában foglalja a Provisioned állapotot. |
A NetHSM aktuális állapota a következőképpen kérhető le.
Példa
$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned
A /health/state végponttal kapcsolatos információk az `API dokumentációban <https://nethsmdemo.nitrokey.com/api_docs/index.html#/default/GET_health-state><x>`__ találhatók.
Egy új NetHSM a Unprovisioned állapotot foglalja el, és a rendelkezésre bocsátás után a Operational állapotba kerül. A NetHSM üzembe helyezését a Provisioning fejezetben ismertetjük.
Az működő állapotban lévő NetHSM-et a következő módon lehet újra lezárni a védelme érdekében.
Példa
$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked
A /lock végponttal kapcsolatos információk az `API dokumentációban <https://nethsmdemo.nitrokey.com/api_docs/index.html#/default/POST_lock><x>`__ találhatók.
A Locked állapotban lévő NetHSM a következőképpen oldható fel. Amíg a NetHSM _Locked_ állapotban van, más művelet nem lehetséges. Ezt követően a NetHSM _működőképes_ állapotba kerül.
Példa
$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked
A /unlock végponttal kapcsolatos információk az API dokumentációban találhatók.
Jelszó feloldása#
A Locking Passphrase a Unlock Key levezetésére szolgál, ha a NetHSM Locked állapotban van. A jelszót a NetHSM üzembe helyezésekor kell beállítani.
Figyelem
A feloldási jelszó nem állítható vissza az aktuális érték ismerete nélkül. Ha a feloldási jelszó elveszik, sem új értékre nem lehet visszaállítani, sem a NetHSM-et nem lehet feloldani.
A Jelszó feloldása a következőképpen állítható be.
választható opciók
Opció |
Leírás |
---|---|
|
Az új feloldási jelszó |
|
Az aktuális feloldási jelszó |
|
Ne kérjen megerősítést a jelszó módosítása előtt. |
Példa
$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443
A /config/unlock-passphrase végponttal kapcsolatos információk az API dokumentációban találhatók.
TLS tanúsítvány#
A TLS tanúsítványt a HTTPS alapú REST API használja, és így a nitropy is. A rendelkezésre bocsátás során egy saját aláírt tanúsítvány jön létre. A tanúsítvány helyettesíthető, például egy hitelesítésszolgáltatótól (CA) származó aláírt tanúsítvánnyal. Ebben az esetben egy tanúsítvány aláírási kérelmet (CSR) kell generálni. Aláírás után a tanúsítványt be kell importálni a NetHSM-be.
Módosításra csak akkor van szükség, ha a tanúsítványt le kell cserélni. Ilyen módosítás lehet a tanúsítvány egy tanúsítványkiadó (CA) aláírt tanúsítványával való helyettesítése.
A TLS-tanúsítványt a következőképpen lehet lekérni.
Szükséges opciók
Opció |
Leírás |
---|---|
|
A tanúsítvány beállítása a NetHSM TLS-interfészhez |
Példa
$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----
A /config/tls/cert.pem végponttal kapcsolatos információk az API dokumentációban találhatók.
A TLS-tanúsítványt a következőképpen lehet létrehozni.
Szükséges opciók
Opció |
Leírás |
---|---|
|
A generált kulcs típusa |
|
A generált kulcs hossza |
Példa
$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443
A /config/tls/generate végponttal kapcsolatos információk az API dokumentációban találhatók.
A tanúsítvány aláírási kérelme (CSR) a tanúsítványhoz a következőképpen generálható.
Szükséges opciók
Opció |
Leírás |
---|---|
|
CSR generálása a NetHSM TLS tanúsítványhoz |
|
Az ország neve |
|
Az állam vagy tartomány neve |
|
A helység neve |
|
A szervezet neve |
|
A szervezeti egység neve |
|
A közös név |
|
Az e-mail cím |
Példa
$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----
A /config/tls/csr.pem végponttal kapcsolatos információk az API dokumentációban találhatók.
A tanúsítvány a következőképpen cserélhető ki.
Szükséges opciók
Opció |
Leírás |
---|---|
|
A tanúsítvány beállítása a NetHSM TLS-interfészhez |
érvek
Érv |
Leírás |
---|---|
|
Tanúsítvány fájl |
Példa
nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate
A /config/tls/csr.pem végponttal kapcsolatos információk az API dokumentációban találhatók.
Hálózat#
A hálózati konfiguráció határozza meg a Hálózati port beállításait.
Megjegyzés
Ez a beállítás nem konfigurálja a BMC hálózati portot.
A hálózati konfiguráció a következőképpen kérhető le.
Szükséges opciók
Opció |
Leírás |
---|---|
|
A hálózati konfiguráció lekérdezése |
Példa
$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
IP address: 192.168.1.1
Netmask: 255.255.255.0
Gateway: 0.0.0.0
A /config/network végponttal kapcsolatos információk az `API dokumentációban <https://nethsmdemo.nitrokey.com/api_docs/index.html#/default/GET_config-network><x>`__ találhatók.
Állítsa be a hálózati konfigurációt a következőképpen.
Megjegyzés
A NetHSM nem támogatja a DHCP-t (Dynamic Host Configuration Protocol).
Megjegyzés
A NetHSM nem támogatja az IPv6 (Internet Protocol 6-os verziója) protokollt.
Szükséges opciók
Opció |
Leírás |
---|---|
|
Az új IP-cím |
|
Az új hálózati maszk |
|
Az új átjáró |
Példa
$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443
A /config/network végponttal kapcsolatos információk az `API dokumentációban <https://nethsmdemo.nitrokey.com/api_docs/index.html#/default/GET_config-network><x>`__ találhatók.
Idő#
Az időkonfiguráció a NetHSM szoftver rendszeridejét állítja be. A rendszeridő beállítása általában nem szükséges, mivel az a rendszerbeállítás során kerül beállításra.
Az időkonfiguráció a következőképpen kérhető le.
Szükséges opciók
Opció |
Leírás |
---|---|
|
A rendszeridő lekérdezése |
Példa
$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time: 2022-08-17 11:40:00+00:00
A /config/time végponttal kapcsolatos információk az API dokumentációban találhatók.
Állítsa be a NetHSM időpontját.
Fontos
Ügyeljen arra, hogy az időt UTC időzónában adja meg.
érvek
Érv |
Leírás |
---|---|
|
A beállítandó rendszeridő (formátum: ÉÉÉÉÉ-HH-HH-HH:MM:SSZ) |
Példa
$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443
A /config/time végponttal kapcsolatos információk az API dokumentációban találhatók.
Mérőszámok#
A NetHSM naplózza a rendszerparaméterek metrikáit.
Megjegyzés
Ehhez a parancshoz a Metrics szerepkörrel rendelkező felhasználó hitelesítése szükséges. A szerepkörről bővebben a Szerepkörök fejezetben olvashat.
Az egyes mérőszámokról bővebben a Metrics oldalon tájékozódhat.
A metrikák a következőképpen kérhetők le.
Példa
$ nitropy nethsm -h $NETHSM_HOST metrics
Metric Value
---------------------------- --------
client connections 0
established state 6
external.received bytes 989931
external.received packets 13239
external.transmitted bytes 25908953
external.transmitted packets 22037
free chunk count 322
gc compactions 0
gc major bytes 21348352
gc major collections 35
gc minor collections 2652
http response 200 28
http response 201 1
http response 204 1
http response 400 1
http response 403 1
http response 404 145
http response 412 1
http response time 0.084998
http response total 178
internal.received bytes 66541
internal.received packets 1130
internal.transmitted bytes 63802
internal.transmitted packets 1133
kv write 2
log errors 3
log warnings 3
maximum allocated space 64528384
maximum releasable bytes 1216
mmapped region count 0
new sleeper size 1
non-mmapped allocated bytes 64528384
sleep queue size 11
syn-rcvd state 0
timers 2
total allocated space 43940832
total client 1
total established 515
total free space 20587552
total sleeper size 12
total syn-rcvd 514
total timers 526
uptime 17626
A /metrics végponttal kapcsolatos információk az API dokumentációban találhatók.
Naplózás#
A NetHSM naplózhatja a rendszereseményeket a soros portra vagy a hálózaton lévő syslog-kiszolgálóra.
Fontos
Bármely termelési telepítés esetén a NetHSM naplót folyamatosan figyelemmel kell kísérni, hogy azonnali értesítést kapjon az esetleges biztonsági problémákról.
A syslog-kiszolgáló konfigurációja a következőképpen kérhető le.
Szükséges opciók
Opció |
Leírás |
---|---|
|
A naplózási konfiguráció lekérdezése |
Példa
$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
IP address: 0.0.0.0
Port: 514
Log level: info
A /config/logging végponttal kapcsolatos információk az `API dokumentációban <https://nethsmdemo.nitrokey.com/api_docs/index.html#/default/GET_config-logging><x>`__ találhatók.
A syslog-kiszolgáló konfigurációja a következőképpen állítható be.
Szükséges opciók
Opció |
Leírás |
---|---|
|
Az új naplózási célállomás IP-címe |
|
Az új naplózási célállomás portja |
|
Az új naplózási szint |
Példa
$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443
A /config/logging végponttal kapcsolatos információk az `API dokumentációban <https://nethsmdemo.nitrokey.com/api_docs/index.html#/default/GET_config-logging><x>`__ találhatók.
A soros konzol a NetHSM hardver indításától kezdve működik. Tartalmazza a NetHSM firmware és a NetHSM szoftver eseményeit.
A soros konzolkapcsolat beállításai a következők.
A beállítása |
Érték |
---|---|
Baud-ráta |
115200 |
Adat bitek |
8 |
Stop bitek |
1 |
Paritás |
Nincs |
Áramlásszabályozás |
Nincs |
Biztonsági mentés#
A NetHSM felhasználói adatok menthetők egy biztonsági mentési fájlba. Ez a biztonsági másolatfájl tartalmazza az összes Belhasználói adatot, nevezetesen a Konfigurációs tárolót, Autentikációs tárolót, Domain Key Store és Key Store.
Fontos
A felügyelet nélküli indítás módban lévő NetHSM rendszerszoftverhez a Unlock Passphrase kell, ha egy másik NetHSM hardveren állítják vissza. További információkért olvassa el a Unlock Passphrase fejezetet.
Fontos
A Vigyázatlan indítás üzemmódban lévő NetHSM a visszaállítás után ugyanebben az üzemmódban lesz.
A biztonsági mentés elindítása előtt be kell állítani a Backup Passphrase (biztonsági mentés jelszava) jelszót. A Backup Passphrase a biztonsági mentési fájlban lévő adatok titkosítására szolgál.
Figyelem
A tartalék jelszót nem lehet visszaállítani az aktuális érték ismerete nélkül. Ha a biztonsági másolat jelszava elveszik, sem új értékre nem állítható vissza, sem a létrehozott biztonsági másolatok nem állíthatók vissza.
A biztonsági másolat jelszava a következőképpen állítható be.
választható opciók
Opció |
Leírás |
---|---|
|
Az új biztonsági másolat jelszava |
|
Az aktuális biztonsági mentés jelszava (vagy egy üres karakterlánc, ha nincs megadva) |
|
Ne kérjen megerősítést a jelszó módosítása előtt. |
Példa
$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443
A /config/backup-passphrase végponttal kapcsolatos információk az API dokumentációban találhatók.
Megjegyzés
Ehhez a parancshoz a Backup szerepkörrel rendelkező felhasználó hitelesítése szükséges. További információkért olvassa el a Szerepkörök fejezetet.
A biztonsági mentés a következőképpen hajtható végre.
érvek
Érv |
Leírás |
---|---|
|
Biztonsági mentés |
Példa
$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup
A /system/backup végponttal kapcsolatos információk az `API dokumentációban <https://nethsmdemo.nitrokey.com/api_docs/index.html#/default/POST_system-backup><x>`__ találhatók.
Megjegyzés
Ez a biztonsági mentési fájl csak egy nem provizorizált NetHSM-példányon állítható vissza.
Visszaállítás#
A NetHSM visszaállítható biztonsági másolatból.
Ha a NetHSM Nem engedélyezett, akkor visszaállítja az összes felhasználói adatot beleértve a rendszerkonfigurációt és az újraindítást. Ezért előfordulhat, hogy a rendszer utólag eltérő hálózati beállításokat, TLS-tanúsítványt és Unlock Passphrase jelszót kap.
Ha a NetHSM a Provisioned címen érhető el, akkor a felhasználók és a felhasználói kulcsok visszaállítása megtörténik, de a rendszerkonfiguráció nem. Ebben az esetben minden korábban létező felhasználó és felhasználói kulcs törlődik. A NetHSM a Operational állapotba kerül.
A helyreállítás a következőképpen alkalmazható.
választható opciók
Opció |
Leírás |
---|---|
|
A Backup Passphrase |
|
A beállítandó rendszeridő (formátum: |
Fontos
Győződjön meg arról, hogy a helyi számítógépen helyesen van-e beállítva az idő. Ha más időt szeretne beállítani, kérjük, adja meg manuálisan.
érvek
Érv |
Leírás |
|
---|---|---|
|
Példa
$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443
A /system/restore végponttal kapcsolatos információk az `API dokumentációban <https://nethsmdemo.nitrokey.com/api_docs/index.html#/default/POST_system-restore><x>`__ találhatók.
Klaszterezés#
A NetHSM állapotmentes, így több NetHSM eszköz is használható a rendkívül nagy átviteli teljesítmény feldolgozásához és magas rendelkezésre állás biztosításához. A PKCS#11 modul támogatja a NetHSM példányok fürtjének körkörös ütemezését. A NetHSM több példánya szinkronizálható titkosított biztonsági mentéseken keresztül. Ehhez egy külön rendszer tölti le és tölti fel a mentési fájlokat a példányok között. Ez a különálló rendszer nem fér hozzá a biztonsági másolat adataihoz tiszta szövegben, mivel a biztonsági másolatfájlok titkosítva vannak. A szinkronizálás könnyen szkriptelhető a pynitrokey használatával, ahogyan a ebben a példában látható.
Szoftverfrissítés#
A szoftverfrissítések kétlépcsős eljárással telepíthetők. Először a frissítési képet fel kell tölteni a Provisioned NetHSM címre. A NetHSM ellenőrzi a kép hitelességét, sértetlenségét és verziószámát. Opcionálisan a NetHSM megjeleníti a kiadási megjegyzéseket, ha vannak ilyenek.
Figyelem
A béta frissítés telepítése miatt adatvesztés következhet be! A stabil verziók nem okozhatnak adatvesztést. A frissítés előtt azonban ajánlott biztonsági mentést készíteni.
A frissítési fájl a következőképpen tölthető fel.
érvek
Érv |
Leírás |
---|---|
|
Fájl frissítése |
Példa
$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin
Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443
A /system/update végponttal kapcsolatos információk az `API dokumentációban <https://nethsmdemo.nitrokey.com/api_docs/index.html#/default/POST_system-update><x>`__ találhatók.
Ezt követően a frissítés alkalmazható vagy megszakítható. Kérjük, olvassa el a kívánt opciót az alábbiakban. Ha a NetHSM-et a „commit” művelet előtt kikapcsolják, a frissítési fájlt újra fel kell tölteni.
Fontos
Ha a frissített kép feltöltése a Error: NetHSM request failed: Bad request -- malformed image
címmel sikertelen, kérjük, kövesse az alábbi lépéseket.
A megadott aláírással ellenőrizze, hogy érvényes-e a frissítési fájl.
Győződjön meg róla, hogy nincs magas naplózási szint, például
DEBUG
engedélyezve. A naplózási szintek beállításáról bővebben a Naplózás fejezetben olvashat.Indítsa újra a készüléket, hogy felszabadítsa a felhasznált memóriát.
A frissítést a következőképpen lehet alkalmazni (commit). Bármilyen adatmigráció csak a ** után történik, miután a NetHSM sikeresen elindította az új rendszerszoftver-verziót.
Példa
$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443
A /system/commit-update végponttal kapcsolatos információk az `API dokumentációban <https://nethsmdemo.nitrokey.com/api_docs/index.html#/default/POST_system-commit-update><x>`__ találhatók.
A frissítés a következőképpen törölhető.
Példa
$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443
A /system/cancel-update végponttal kapcsolatos információk az `API dokumentációban <https://nethsmdemo.nitrokey.com/api_docs/index.html#/default/POST_system-cancel-update><x>`__ találhatók.
Rendszerinformáció#
A rendszerinformációk, például a firmware-verzió, a szoftver verziója és a hardver verziója az alábbiak szerint kérhetők le.
Példa
$ nitropy nethsm -h $NETHSM_HOST system-info
Host: 192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1.0
Build tag: v2.0-0-g17ad829
A /system/info végponttal kapcsolatos információk az API dokumentációban találhatók.
Újraindítás és leállítás#
A NetHSM újraindítható és kikapcsolható, akár távolról, akár a NetHSM hardver előlapján található újraindító és kikapcsoló gombbal.
A távoli újraindítás a következőképpen kezdeményezhető.
Példa
$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot
A /system/reboot végponttal kapcsolatos információk az `API dokumentációban <https://nethsmdemo.nitrokey.com/api_docs/index.html#/default/POST_system-reboot><x>`__ találhatók.
A távoli leállítás a következőképpen kezdeményezhető.
Példa
$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown
A /system/shutdown végponttal kapcsolatos információk az `API dokumentációban <https://nethsmdemo.nitrokey.com/api_docs/index.html#/default/POST_system-shutdown><x>`__ találhatók.
Gyári alapbeállítások visszaállítása#
A Provisioned NetHSM visszaállítható a gyári alapbeállításokra. Ebben az esetben minden felhasználói adat biztonságosan törlődik, és a NetHSM a Unprovisioned állapotba indul. Ezt követően a NetHSM-et provisionálni lehet.
A gyári alapbeállítások visszaállítása a következőképpen hajtható végre.
Példa
$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset
A /system/factory-reset végponttal kapcsolatos információk az `API dokumentációban <https://nethsmdemo.nitrokey.com/api_docs/index.html#/default/POST_system-factory-reset><x>`__ találhatók.
Felhasználó kezelése#
Szerepek#
A NetHSM lehetővé teszi a feladatok szétválasztását különböző szerepkörök alkalmazásával. A NetHSM-en konfigurált minden egyes felhasználói fiókhoz a következő Rollák egyike tartozik.
Szerepvállalás |
Leírás |
---|---|
Adminisztrátor |
Az ezzel a szereppel rendelkező felhasználói fiók hozzáféréssel rendelkezik a NetHSM által biztosított összes művelethez, kivéve a kulcshasználati műveleteket, azaz az üzenet aláírását és visszafejtését. |
Operátor |
Az ezzel a szerepkörrel rendelkező felhasználói fiók hozzáféréssel rendelkezik az összes kulcshasználati művelethez, a kulcskezelési műveletek csak olvasható részhalmazához és a csak a saját fiókjának módosítását lehetővé tevő felhasználókezelési műveletekhez. |
Metrics |
Az ezzel a szerepkörrel rendelkező felhasználói fiók csak olvasható metrikai műveletekhez rendelkezik hozzáféréssel. |
Backup |
Az ezzel a szerepkörrel rendelkező felhasználói fiók csak a rendszer biztonsági mentésének kezdeményezéséhez szükséges műveletekhez fér hozzá. |
Lásd Névterek és Címkék a finomabb hozzáférési korlátozásokért.
Megjegyzés
Egy későbbi kiadásban további Rollák kerülhetnek bevezetésre.
Felhasználó hozzáadása#
Adjon hozzá egy felhasználói fiókot a NetHSM-hez. Minden felhasználói fióknak van egy Role, amelyet meg kell adni. A szerepkörökről bővebben a ` Szerepkörök <administration#roles>`__ fejezetben olvashat.
Opcionálisan egy felhasználó a *Névtér* nevéhez is hozzárendelhető.
Megjegyzés
A felhasználói azonosítónak alfanumerikusnak kell lennie. A NetHSM véletlenszerű felhasználói azonosítót rendel hozzá, ha nincs megadva.
Egy felhasználói fiókot a következőképpen adhat hozzá.
Szükséges opciók
Opció |
Leírás |
---|---|
|
Az új felhasználó valódi neve |
|
Az új felhasználó névtere |
|
Az új felhasználó szerepe |
|
Az új felhasználó jelszava |
választható opciók
Opció |
Leírás |
---|---|
|
Az új felhasználó felhasználói azonosítója |
Példa
$ nitropy nethsm --host $NETHSM_HOST add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443
A /users végponttal kapcsolatos információk a felhasználóazonosító megadása nélküli felhasználó létrehozásához az `API dokumentációban <https://nethsmdemo.nitrokey.com/api_docs/index.html#/default/POST_users><x>`__ találhatók.
A /users/{UserID} végponttal kapcsolatos információk a felhasználó létrehozásához a felhasználói azonosító megadásával az `API dokumentációban <https://nethsmdemo.nitrokey.com/api_docs/index.html#/default/PUT_users-UserID><x>`__ találhatók.
Alapértelmezés szerint a Névtér az új felhasználót hozzáadó felhasználótól öröklődik. Csak a Névtérrel nem rendelkező felhasználók választhatnak más Névteret az új felhasználók számára. A Namespace a felhasználó nevének előtagjaként használatos, például namespace~user. Ezért ugyanaz a felhasználónév több Namespace-ben is használható.
Felhasználó törlése#
Felhasználói fiók törlése a NetHSM-ből.
Figyelem
A törlés végleges, és nem lehet visszaállítani.
Egy felhasználói fiók a következőképpen törölhető.
érvek
Érv |
Leírás |
---|---|
|
A felhasználó azonosítója. |
Példa
$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443
A /users/{UserID} végponttal kapcsolatos információk az API dokumentációban találhatók.
Felhasználók listája#
A NetHSM felhasználóinak listája.
A lista a következőképpen hívható le.
választható opciók
Opció |
Leírás |
---|---|
|
A felhasználó valódi nevének és szerepének lekérdezése |
Példa
$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:
User ID Real name Role
--------- ----------------- -------------
operator1 Nitrokey Operator Operator
admin admin Administrator
A /users végponttal kapcsolatos információk az API dokumentációban találhatók.
A /users/{UserID} végponttal kapcsolatos információk az API dokumentációban találhatók.
Egy Névtéren belüli felhasználók csak az azonos Névtérben lévő felhasználókat láthatják.
Felhasználói jelszó#
A felhasználói fiók jelszava visszaállítható. A jelszót a felhasználói fiók hozzáadásakor kell beállítani.
Megjegyzés
A jelszavaknak >= 10 és <= 200 karakterből kell állniuk.
A felhasználói jelszót a következőképpen lehet beállítani.
Szükséges opciók
Opció |
Leírás |
---|---|
|
A felhasználó azonosítója |
|
A felhasználó új jelszava |
Példa
$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443
A /users/{UserID}/passphrase végponttal kapcsolatos információk az `API dokumentációban <https://nethsmdemo.nitrokey.com/api_docs/index.html#/default/POST_users-UserID-passphrase><x>`__ találhatók.
Névterek#
A névterek a 2.0-s szoftververzióban kerültek bevezetésre. A szoftver korábbi verziójáról történő áttéréskor az összes meglévő felhasználó és kulcs névtér nélkül marad.
A partíciók koncepciójához hasonlóan a NetHSM is támogatja a rugalmasabb Namespaces, amely a NetHSM-en lévő kulcsokat, rendszergazdákat és felhasználókat külön részhalmazokba csoportosítja. A felhasználók csak az azonos Névtérben lévő kulcsokat láthatják és használhatják, és csak az azonos Névtérben lévő felhasználókat láthatják. Nem lehetséges, hogy más Névterek felhasználóit lássák, illetve más Névterek kulcsait lássák és használják. Új felhasználó létrehozásakor az új felhasználó az őt létrehozó felhasználó Namespace-jét örökli. A rendelkezésre álló tárolókapacitás az összes Névtér között megoszlik.
A Rendszergazda szerepkörrel rendelkező felhasználókra R-Adminisztrátor néven is hivatkoznak, ha nem névtérben vannak, vagy N-Adminisztrátor néptérben vannak.
A R-Administrator felhasználókra különleges szabályok vonatkoznak: Ők állíthatják be az új felhasználók Névterét, listázhatják az összes felhasználót, és lekérdezhetik egy felhasználó Névterét. A NetHSM konfigurációjához is csak a R-Adminisztrátor felhasználók férhetnek hozzá. Az R-adminisztrátorok nem láthatják a Namespace kulcsokat.
Ahhoz, hogy kulcsokat és felhasználókat tudjon generálni egy Namespace-ben, a Namespace-t a R-Administrator felhasználónak kell létrehoznia. A Névtér létrehozása után a R-Adminisztrátor felhasználók már nem hozhatnak létre, törölhetnek vagy módosíthatnak felhasználókat a Névtérben. Ez lehetővé teszi a Névterek kulcsainak védelmét, amelyekhez az R-Administrator hozzáférhet (közvetve új felhasználó hozzáadásával vagy a meglévő felhasználó vagy adminisztrátor hitelesítő adatainak visszaállításával is). Ezért a Névtér létrehozása előtt létre kell hozni egy N-Administrator felhasználót a Névtérhez. Az R-Adminisztrátor felhasználók törölhetik a Névteret az összes benne lévő kulccsal együtt.
Névterek listája#
A NetHSM névtereinek felsorolása.
A lista a következőképpen hívható le.
Példa
$ nitropy nethsm --host $NETHSM_HOST list-namespaces
Namespaces on NetHSM localhost:8843:
- ns1
- ns2
A /namespaces végponttal kapcsolatos információk az API dokumentációban találhatók.
Névtér hozzáadása#
Névtér hozzáadása a NetHSM-hez.
R-Adminisztrátor A felhasználók már a Névtér létrehozása előtt új fiókokat hozhatnak létre a Névtérben. A létrehozás után csak a N-Adminisztrátor felhasználók kezelhetik a felhasználókat a Névtérben. A Namespace-ben kulcsok létrehozása és használata csak a Namespace hozzáadása után lehetséges.
Megjegyzés
A névtér azonosítójának alfanumerikusnak kell lennie. A NetHSM véletlenszerű felhasználói azonosítót rendel hozzá, ha nincs megadva.
Egy névteret a következőképpen lehet hozzáadni.
érvek
Érv |
Leírás |
|
---|---|---|
|
Példa
$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1
Namespace ns1 added to NetHSM localhost:8443
A /namespaces/{NamespaceID} végponttal kapcsolatos információk az API dokumentációban találhatók.
Névtér törlése#
Névtér törlése a NetHSM-ből.
Egy névtér törlése a névtér összes kulcsát is törli. A névtérben maradó felhasználók nem tudnak kulcsokat hozzáadni, amíg a névteret újra hozzá nem adják.
Egy névtér a következőképpen törölhető.
érvek
Érv |
Leírás |
---|---|
„NAMESPACE |
A törlendő névtér. |
Példa
$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1
Namespace ns1 deleted on NetHSM localhost:8443
A /namespaces/{NamespaceID} végponttal kapcsolatos információk az API dokumentációban találhatók.