管理部門#

この章では、*Administrator*ロールを持つユーザーのための管理作業について説明します。ロールについての詳細は、Roles の章を参照してください。

重要

作業を始める前に、`このドキュメントの冒頭にある情報<index.html>`__を必ず読んでください。

システム管理#

デバイス情報#

NetHSMのベンダー情報および製品情報は、以下の手順で取得することができます。

**

$ nitropy nethsm --host $NETHSM_HOST info

Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

ブートモード#

NetHSMは、*Attended Boot*モードと*Unattended Boot*モードで使用できます。

ブートモード

説明

Attended Boot

起動のたびに*Unlock Passphrase*を入力する必要があり、これは*User Data*を復号化するために使用されます。セキュリティ上の理由から、このモードを推奨します。

Unattended Boot

Unlock Passphrase*が不要なため、NetHSMを無人で起動することができます。このモードは、Attended Boot モードで可用性の要件が満たされない場合に使用します。

現在の起動モードは、次のように取得できます。

**

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot

Configuration for NetHSM localhost:8443:
   Unattended boot: off

起動モードは以下のように変更できます。

**論評

論証

説明

ステータス

無人起動*を有効または無効にします。値は on または off とすることができます。

**

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on

Updated the unattended boot configuration for NetHSM localhost:8443

状態#

NetHSMソフトウェアには、4つの状態があります。UnprovisionedProvisionedLocked*Operational*の4つの状態があります。

状態

説明

*非プロビジョニング

NetHSM コンフィギュレーションなし(工場出荷時)

*プロビジョニング

NetHSMにコンフィグレーションを行った状態。Provisioned* 状態は、Operational または Locked 状態のいずれかを意味します。

*動作確認済み

NetHSMが設定され、コマンドを実行する準備ができた状態。動作中 "の状態は、"プロビジョニング中 "の状態を意味します。

Locked

NetHSMは設定されているが、保護されている(ロック解除が必要)。動作状態(*Operational)は、プロビジョニング状態(*Provisioned)を意味します。
NetHSMの現状と変遷

NetHSMの現状と変遷#


NetHSMの現在の状態は、以下のように取得できます。

**

$ nitropy nethsm --host $NETHSM_HOST state

NetHSM localhost:8443 is Unprovisioned

新しいNetHSMは*Unprovisioned*の状態であり、プロビジョニング後に*Operational*の状態になります。NetHSMのプロビジョニングについては、Provisioning の章に記載されています。

動作状態*にあるNetHSMは、以下のように再度ロックして保護することができます。

**

$ nitropy nethsm --host $NETHSM_HOST lock

NetHSM localhost:8443 locked

Locked*状態のNetHSMは、以下の手順でロックを解除することができます。

**

$ nitropy nethsm --host $NETHSM_HOST unlock

NetHSM localhost:8443 unlocked

パスフレーズのロック解除#

ロック解除パスフレーズ*は、NetHSMが*ロック*状態である場合、*ロック解除キー*を導き出すために使用されます。パスフレーズはNetHSMのプロビジョニング時に初期設定されます。

ロック解除のパスフレーズ*は、次のように設定できます。

オプション設定

オプション

説明

-p, --passphrase ``TEXT``に相当する。

新しいロック解除用パスフレーズ

**

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase

Passphrase:
Repeat for confirmation:
Updated the unlock passphrase for localhost:8443

TLS証明書#

TLS証明書は、HTTPSベースのREST APIに使用されるため、*nitropy*でも使用されます。プロビジョニング時に、自己署名入りの証明書が作成されます。この証明書は、たとえば認証局(CA)からの署名付き証明書で置き換えることができます。この場合、証明書署名要求(CSR)を生成する必要があります。署名後、証明書をNetHSMにインポートする必要があります。

変更は、証明書を置き換える場合にのみ必要である。そのような変更は、認証局(CA)からの署名された証明書に置き換えることである。

TLS証明書は、次のようにして取得することができます。

必須オプション

オプション

説明

-a, --api, -a<xid="3"></x><xid="4"></x>`。

NetHSM TLSインターフェイスの証明書を設定する

**

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api

-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----

TLS証明書は、以下の手順で生成することができます。

必須オプション

オプション

説明

-t, --type ``[RSA|Curve25519|EC_P224|EC_P256|EC_P384|EC_P521]``に相当する。

生成された鍵のタイプ

-l, --length INTEGER, <ex id="5"></x><x id="7"></x><ex id="8"></x></ex

生成された鍵の長さ

**

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519

Key for TLS interface generated on NetHSM localhost:8443

証明書のCSR(Certificate Signing Request)は、以下の手順で生成することができます。

必須オプション

オプション

説明

-a, --api, -a<xid="3"></x><xid="4"></x>`。

NetHSM TLS証明書のCSRを生成する

--country TEXT

国名

--state-or-province TEXT

州・県名

--locality TEXT

産地名

--organization TEXT

組織名

--organizational-unit TEXT

組織単位名

--common-name TEXT

一般名称

--email-address TEXT

電子メールアドレス

**

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"

-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----

証明書の差し替えは、以下のように行います。

必須オプション

オプション

説明

-a, --api, -a<xid="3"></x><xid="4"></x>`。

NetHSM TLSインターフェイスの証明書を設定する

**論評

論証

説明

FILENAME

証明書ファイル

**

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

ネットワーク#

ネットワークコンフィギュレーションは、*ネットワークポート*に使用する設定を定義します。

注釈

この設定では、*BMCネットワークポート*は設定されません。

ネットワーク構成は、次のように取得できます。

必須オプション

オプション

説明

--network

ネットワーク構成を問い合わせる

**

$ nitropy nethsm -h $NETHSM_HOST get-config --network

Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

ネットワーク構成を次のように設定します。

注釈

NetHSMは、DHCP(Dynamic Host Configuration Protocol)に対応していません。

注釈

NetHSMは、IPv6(インターネットプロトコルバージョン6)には対応していません。

必須オプション

オプション

説明

-a, --ip-address.

新しいIPアドレス

-n, --netmask.

新しいネットマスク

-n, --netmask.

新しいゲートウェイ

**

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0

Updated the network configuration for NetHSM localhost:8443

時間#

タイムコンフィギュレーションは、NetHSMソフトウェアのシステム時刻を設定します。システム時刻はプロビジョニング時に設定されるため、通常は設定する必要はありません。

タイムコンフィギュレーションは以下のように取得できます。

必須オプション

オプション

説明

--time

システム時刻を問い合わせる

**

$ nitropy nethsm -host $NETHSM_HOST get-config --time

Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

NetHSMの時刻を設定します。

重要

時刻は必ずUTCタイムゾーンで渡してください。

**論評

論証

説明

time

設定するシステム時刻(形式:YYYY-MM-DDTHH:MM:SSZ)

**

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z

Updated the system time for NetHSM localhost:8443

指標#

NetHSMは、システムパラメーターのメトリクスをログに記録します。

注釈

このコマンドを実行するには、*Metrics*ロールを持つユーザーの認証が必要です。ロールの詳細については、Roles の章を参照してください。

メトリクスは、以下のように取得できます。

**

$ nitropy nethsm -h $NETHSM_HOST metrics

Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

ロギング#

NetHSMは、システムイベントをシリアルポートまたはネットワーク上のsyslogサーバーに記録することができます。

シリアルコンソールは、NetHSMハードウェアの起動直後から動作します。NetHSMファームウェアとNetHSMソフトウェアからのイベントも含まれます。

シリアルコンソールの接続設定は、以下の通りです。

設定

価値

ボーレート

115200

データビット

8

ストップビット

1

パリティ

なし

フロー制御

なし

syslogサーバーの設定は、以下のように取得することができます。

必須オプション

オプション

説明

--network

ロギング設定を問い合わせる

**

$ nitropy nethsm -h $NETHSM_HOST get-config --logging

Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

syslogサーバーの設定は、以下のように行います。

必須オプション

オプション

説明

-p, --passphrase ``TEXT``に相当する。

新しいロギング先のIPアドレス

-p, --port ``INTEGER``に相当する。

新しいロギング先のポート

-l, --log-level ``[debug|info|warning|error]``に相当する。

新しいログレベル

**

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info

Updated the logging configuration for NetHSM localhost:8443

バックアップ#

NetHSMの*ユーザーデータ*は、バックアップファイルに保存することができます。このバックアップファイルには、すべての*ユーザーデータ*、すなわち*コンフィグレーションストア*、認証ストアドメインキーストア、および*キーストア*が含まれています。

重要

Unattended Boot*モードのNetHSMシステムソフトウェアは、異なるNetHSMハードウェアでリストアする場合、*Unlock Passphrase*を必要とします。詳しくは、Unlock Passphrase の章を参照してください。

重要

無人起動*モードのNetHSMは、リストア後も同じモードとなります。

バックアップを開始する前に、Backup Passphrase を設定する必要があります。バックアップパスフレーズ*は、バックアップファイルのデータを暗号化するために使用されます。

バックアップパスフレーズは、以下のように設定できます。

オプション設定

オプション

説明

-p, --passphrase ``TEXT``に相当する。

新しいバックアップのパスフレーズ

**

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase

Passphrase:
Repeat for confirmation:
Updated the backup passphrase for NetHSM localhost:8443

注釈

このコマンドを実行するには、*Backup*ロールを持つユーザーの認証が必要です。詳細については、`Roles <administration.html#roles>`__の章を参照してください。

バックアップは次のように実行できます。

**論評

論証

説明

FILENAME

バックアップファイル

**

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup

Backup for localhost:8443 written to /tmp/backup

注釈

このバックアップファイルは、プロビジョニングされていないNetHSMインスタンスにのみリストアすることができます。

リストア#

NetHSMは、バックアップファイルから復元することができます。

注釈

NetHSMは*Unprovisioned State*である必要があります。

復元は、以下のように適用できます。

オプション設定

オプション

説明

-p, --backup-passphrase ``passphrase``に相当する。

バックアップパスフレーズ*について

-t, --system-time, -t<xid="2"></x><xid="3"><xid="4"></x>`。

設定するシステム時刻(書式:YYYY-MM-DDTHH:MM:SSZ)

重要

ローカルコンピュータの時刻が正しく設定されていることを確認してください。別の時刻を設定する場合は、手動で指定してください。

**論評

論証

説明

``FILENAME``| ファイルをリストアする

**

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup

Backup passphrase:
Backup restored on NetHSM localhost:8443

更新情報#

NetHSMのアップデートは、2段階のプロセスでインストールすることができます。まず、アップデートイメージをNetHSMにアップロードする必要があります。イメージは自動的にチェックされ、検証されます。

警告

ベータ版アップデートのインストールにより、データ損失が発生する可能性があります

アップデートファイルのアップロードは、以下の手順で行います。

**論評

論証

説明

FILENAME

アップデートファイル

**

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.cpio

Image /tmp/nethsm-update.img.cpio uploaded to NetHSM localhost:8443

その後、アップデートを適用または中止することができます。以下、ご希望のオプションをご参照ください。

アップデートは以下のように適用(コミット)することができます。

**

$ nitropy nethsm --host $NETHSM_HOST commit-update

Update successfully committed on NetHSM localhost:8443

アップデートの取り消しは、以下の手順で行えます。

**

$ nitropy nethsm --host $NETHSM_HOST cancel-update

Update successfully cancelled on NetHSM localhost:8443

リブートとシャットダウン#

NetHSMの再起動とシャットダウンは、リモートで行うか、NetHSMハードウェアの前面にある再起動と電源オフボタンで行うことができます。

リモートリブートは、以下の手順で開始することができます。

**

$ nitropy nethsm --host $NETHSM_HOST reboot

NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

リモートシャットダウンは、以下の手順で開始することができます。

**

$ nitropy nethsm --host $NETHSM_HOST shutdown

NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

工場出荷時の状態に戻す#

NetHSMは、工場出荷時の状態にリセットすることができます。このプロセスでは、すべてのユーザーデータが削除されます。

工場出荷時へのリセットは、以下の手順で行うことができます。

**

$ nitropy nethsm -h $NETHSM_HOST factory-reset

NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

ユーザー管理#

役割#

NetHSMでは、異なるロールを使用することにより、職務の分離が可能です。NetHSMに設定された各ユーザーアカウントには、以下の*ロール*のいずれかが割り当てられています。

役割

説明

アドミニストレーター

この役割を持つユーザーアカウントは、鍵の使用操作(メッセージの署名と復号化)を除き、NetHSMが提供するすべての操作にアクセスすることができます。

*オペレーター

この役割を持つユーザーアカウントは、すべての鍵使用操作、鍵管理操作の読み取り専用サブセット、およびユーザー管理操作にアクセスし、自分のアカウントにのみ変更を許可します。

Metrics

この役割を持つユーザー・アカウントは、読み取り専用のメトリックス操作にのみアクセスできる。

Backup

この役割を持つユーザーアカウントは、システムバックアップを開始するために必要な操作にのみアクセスすることができます。

注釈

将来のリリースでは、追加のロール*が導入される可能性があります。

ユーザーを追加する#

NetHSMにユーザーアカウントを追加します。各ユーザーアカウントには*Role*があり、これを指定する必要があります。役割*については、Roles の章で詳しく説明しています。

注釈

NetHSMは、指定がない場合、ランダムなユーザーIDを割り当てます。

ユーザーアカウントは、以下の手順で追加することができます。

必須オプション

オプション

説明

-n, --real-name ``TEXT``に相当する。

ユーザーの実名

-r, --role ``[Administrator|Operator|Metrics|Backup]``に相当する。

新規ユーザーの 役割 を指定します。

-p, --passphrase ``TEXT``に相当する。

新規ユーザーのパスフレーズ

オプション設定

オプション

説明

-u, --user-id ``TEXT``に相当する。

新規ユーザーのユーザーID

**

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1

Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

ユーザー削除#

NetHSMからユーザーアカウントを削除します。

警告

削除は永久的なものであり、元に戻すことはできません。

ユーザーアカウントの削除は、次の手順で行います。

**論評

論証

説明

USER_ID

ユーザーのId。

**

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1

User operator1 deleted on NetHSM localhost:8443

リストユーザー#

NetHSMのユーザーをリストアップします。

このリストは、次のようにして取得することができます。

オプション設定

オプション

説明

--details, --no-details.

ユーザーの実名とロールを問い合わせる

**

$ nitropy nethsm --host $NETHSM_HOST list-users

Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

ユーザーパスフレーズ#

ユーザーアカウントのパスフレーズを再設定することができます。パスフレーズは、ユーザーアカウントを追加する際に初期設定されます。

注釈

パスフレーズは10文字以上200文字以下である必要があります。

ユーザーパスフレーズは、次のように設定できます。

必須オプション

オプション

説明

-u, --user-id ``TEXT``に相当する。

ユーザーのID

-p, --passphrase ``TEXT``に相当する。

ユーザーの新しいパスフレーズ

**

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1

Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

ユーザー向けタグ#

*タグは、鍵のアクセス制限を設定するために使用され、オプション機能です。タグは、*Operator*ロールを持つユーザーアカウントにのみ割り当てることができる。Operator*はすべての鍵を見ることができますが、少なくとも1つの対応する*Tag*を持つ鍵のみを使用します。Operator*のユーザーは、キーを変更することはできません。

キーに Tags を使用する方法については、Tags for Keys を参照してください。

タグ*は、以下のように付加することができる。

**論評

論証

説明

USER_ID

タグを設定するユーザーID。

TAG

ユーザーIDに設定するタグ。

**

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin

Added tag berlin for user operator1 on the NetHSM localhost:8443

タグ*の削除は、以下のように行います。

**論評

論証

説明

USER_ID

タグを設定するユーザーID。

TAG

ユーザーIDに設定するタグ。

**

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin

Deleted tag berlin for user operator1 on the NetHSM localhost:8443