Administracija#
Šiame skyriuje aprašomos administravimo užduotys naudotojams, turintiems Administratoriaus vaidmenį. Daugiau informacijos apie šį vaidmenį rasite skyriuje „Vaidmenys“.
Svarbu
Prieš pradėdami darbą būtinai perskaitykite šio dokumento pradžioje pateiktą informaciją.
Sistemos valdymas#
Įrenginio informacija#
Informaciją apie „NetHSM“ pardavėją ir gaminį galima gauti taip.
Pavyzdys
$ nitropy nethsm --host $NETHSM_HOST info
Host: localhost:8443
Vendor: Nitrokey GmbH
Product: NetHSM
Informacijos apie /info galinį tašką galima rasti API dokumentacijoje.
Įkrovimo režimas#
NetHSM galima naudoti Attended Boot ir Unattended Boot režimu.
Įkrovimo režimas |
Aprašymas |
---|---|
Dalyvavo Boot |
NetHSM įkraunamas į _užrakintą_ būseną. Kiekvieno paleidimo metu reikia įvesti atrakinimo slaptažodį, kuris naudojamas naudotojo duomenims iššifruoti. Saugumo sumetimais šis režimas yra rekomenduojamas ir yra numatytasis režimas ką tik įdiegtoje sistemoje. |
Neprižiūrimas įkrovimas |
Sistema paleidžiama be priežiūros ir nereikia įvesti atrakinimo slaptažodžio į _eksploatacinę_ būseną. Šį režimą naudokite, jei prieinamumo reikalavimų negalima įvykdyti naudojant Attended Boot režimą. |
Įspėjimas
Nepriklausomai nuo įkrovos režimo, atrakinimo slaptažodis išlieka galiojantis ir yra reikalingas atkuriant atsargines kopijas kitoje aparatinėje įrangoje. Saugokite Unlock Passphrase slaptažodį bet kuriuo metu.
Dabartinį įkrovos režimą galima sužinoti taip.
Pavyzdys
$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
Unattended boot: off
Informacijos apie /config/unattended-boot galinį tašką galima rasti API dokumentacijoje.
Įkrovos režimą galima keisti taip. Kito įkrovimo metu NetHSM elgsis atitinkamai.
Argumentai
Argumentas |
Aprašymas |
---|---|
Statusas |
Įjungti arba išjungti Unattattended Boot. Gali turėti reikšmę |
Pavyzdys
$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443
Informacijos apie /config/unattended-boot galinį tašką galima rasti API dokumentacijoje.
Valstybė#
NetHSM programinė įranga turi keturias būsenas: Nepaskirta, Paskirta, užrakinta ir veikia.
Valstybė |
Aprašymas |
---|---|
Neprovizuotas |
NetHSM be konfigūracijos (gamykliniai nustatymai) |
Pasirūpinta |
NetHSM su konfigūracija. Provisioned būsena reiškia Operational arba Locked būseną. |
Darbinis |
NetHSM su konfigūracija ir paruoštas vykdyti komandas. Dirbanti būsena reiškia Provisioned būseną. |
Užrakinta |
NetHSM su konfigūracija, bet užšifruotomis ir neprieinamomis duomenų saugyklomis. Paprastai kitas žingsnis - atrakinti sistemą. * Užrakinta* būsena reiškia Užtikrinta būseną. |
Dabartinę NetHSM būseną galima sužinoti taip.
Pavyzdys
$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned
Informacijos apie /health/state galinį tašką galima rasti API dokumentacijoje.
Naujas NetHSM turi Unprovisioned būseną, o po aprūpinimo pereina į Operational būseną. NetHSM aprūpinimas aprašytas skyriuje Aprūpinimas.
Darbinės būsenos NetHSM galima vėl užrakinti, kad jis būtų apsaugotas taip.
Pavyzdys
$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked
Informacijos apie /lock galinį tašką galima rasti API dokumentacijoje.
užrakinto būsenos NetHSM galima atrakinti taip. Kol NetHSM yra _užrakintas_ būsenos, jokios kitos operacijos negalimos. Vėliau NetHSM yra _eksploatacinės_ būsenos.
Pavyzdys
$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked
Informacijos apie /unlock galinį tašką galima rasti API dokumentacijoje.
Atrakinti slaptažodį#
Jei NetHSM yra užrakintas būsenos, atrakinimo slaptažodis naudojamas atrakinimo raktui gauti. Slaptažodžių frazė iš pradžių nustatoma „NetHSM“ aprūpinimo metu.
Įspėjimas
Atrakinimo slaptažodžio negalima iš naujo nustatyti nežinant dabartinės reikšmės. Praradus atrakinimo slaptažodį, negalima nei atstatyti naujos reikšmės, nei atrakinti NetHSM.
Atrakinimo slaptažodį galima nustatyti taip.
Vienkartinės parinktys
Galimybė |
Aprašymas |
---|---|
|
Nauja atrakinimo slaptažodžių frazė |
|
Dabartinė atrakinimo slaptažodžių frazė |
|
Prieš keisdami slaptažodį neprašykite patvirtinimo |
Pavyzdys
$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443
Informacijos apie /config/unlock-passphrase galinį tašką galima rasti API dokumentacijoje.
TLS sertifikatas#
TLS sertifikatas naudojamas HTTPS pagrįstai REST API, todėl jį naudoja ir nitropy. Įrengimo metu sukuriamas savarankiškai pasirašytas sertifikatas. Sertifikatą galima pakeisti, pavyzdžiui, sertifikatų institucijos (CA) pasirašytu sertifikatu. Tokiu atveju turi būti sukurtas sertifikato pasirašymo prašymas (CSR). Po pasirašymo sertifikatą reikia importuoti į NetHSM.
Pakeisti sertifikatą reikia tik tada, kai jį reikia pakeisti. Toks pakeitimas gali būti atliekamas norint pakeisti sertifikatą sertifikatų institucijos (CA) pasirašytu sertifikatu.
TLS sertifikatą galima gauti taip.
Reikalingos parinktys
Galimybė |
Aprašymas |
---|---|
|
NetHSM TLS sąsajos sertifikato nustatymas |
Pavyzdys
$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----
Informacijos apie /config/tls/cert.pem galinį tašką galima rasti API dokumentacijoje.
TLS sertifikatą galima sukurti taip.
Reikalingos parinktys
Galimybė |
Aprašymas |
---|---|
|
Sugeneruoto rakto tipas |
|
Sugeneruoto rakto ilgis |
Pavyzdys
$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443
Informacijos apie /config/tls/generate galinį tašką galima rasti API dokumentacijoje.
Sertifikato pasirašymo užklausą (CSR) galima sukurti taip.
Reikalingos parinktys
Galimybė |
Aprašymas |
---|---|
|
Sukurti CSR NetHSM TLS sertifikatui |
|
Šalies pavadinimas |
|
Valstybės arba provincijos pavadinimas |
|
Vietovės pavadinimas |
|
Organizacijos pavadinimas |
|
Organizacijos padalinio pavadinimas |
|
Bendrinis pavadinimas |
|
El. pašto adresas |
Pavyzdys
$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----
Informacijos apie /config/tls/csr.pem galinį tašką galima rasti API dokumentacijoje.
Sertifikatą galima pakeisti taip.
Reikalingos parinktys
Galimybė |
Aprašymas |
---|---|
|
NetHSM TLS sąsajos sertifikato nustatymas |
Argumentai
Argumentas |
Aprašymas |
---|---|
|
Sertifikato failas |
Pavyzdys
nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate
Informacijos apie /config/tls/csr.pem galinį tašką galima rasti API dokumentacijoje.
Tinklas#
Tinklo konfigūracija apibrėžia Tinklo prievado nustatymus.
Pastaba
Šiais nustatymais nekonfigūruojamas BMC tinklo prievadas.
Tinklo konfigūraciją galima gauti taip.
Reikalingos parinktys
Galimybė |
Aprašymas |
---|---|
|
Užklausa apie tinklo konfigūraciją |
Pavyzdys
$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
IP address: 192.168.1.1
Netmask: 255.255.255.0
Gateway: 0.0.0.0
Informacijos apie /config/network galinį tašką galima rasti API dokumentacijoje.
Nustatykite tinklo konfigūraciją taip.
Pastaba
NetHSM nepalaiko DHCP (dinaminio prievado konfigūravimo protokolo).
Pastaba
NetHSM nepalaiko IPv6 (interneto protokolo 6 versijos).
Reikalingos parinktys
Galimybė |
Aprašymas |
---|---|
|
Naujasis IP adresas |
|
Naujoji tinklo maska |
|
Naujieji vartai |
Pavyzdys
$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443
Informacijos apie /config/network galinį tašką galima rasti API dokumentacijoje.
Laikas#
Laiko konfigūracija nustato NetHSM programinės įrangos sistemos laiką. Sistemos laiko paprastai nereikia nustatyti, nes jis nustatomas parūpinimo metu.
Laiko konfigūraciją galima gauti taip.
Reikalingos parinktys
Galimybė |
Aprašymas |
---|---|
|
Užklausa apie sistemos laiką |
Pavyzdys
$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time: 2022-08-17 11:40:00+00:00
Informacijos apie /config/time galinį tašką galima rasti API dokumentacijoje.
Nustatykite NetHSM laiką.
Svarbu
Būtinai nurodykite laiką UTC laiko juosta.
Argumentai
Argumentas |
Aprašymas |
---|---|
|
Nustatomas sistemos laikas (formatas: YYYYY-MM-DDTHH:MM:SSZ) |
Pavyzdys
$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443
Informacijos apie /config/time galinį tašką galima rasti API dokumentacijoje.
Metrikos#
The NetHSM logs metrics of system parameters. Please refer to Metrics to learn more about each metric.
Metrikas galima gauti taip.
Reikalingas vaidmuo
This operation requires an authentication with the Metrics role.
Pavyzdys
$ nitropy nethsm -h $NETHSM_HOST metrics
Metric Value
---------------------------- --------
client connections 0
established state 6
external.received bytes 989931
external.received packets 13239
external.transmitted bytes 25908953
external.transmitted packets 22037
free chunk count 322
gc compactions 0
gc major bytes 21348352
gc major collections 35
gc minor collections 2652
http response 200 28
http response 201 1
http response 204 1
http response 400 1
http response 403 1
http response 404 145
http response 412 1
http response time 0.084998
http response total 178
internal.received bytes 66541
internal.received packets 1130
internal.transmitted bytes 63802
internal.transmitted packets 1133
kv write 2
log errors 3
log warnings 3
maximum allocated space 64528384
maximum releasable bytes 1216
mmapped region count 0
new sleeper size 1
non-mmapped allocated bytes 64528384
sleep queue size 11
syn-rcvd state 0
timers 2
total allocated space 43940832
total client 1
total established 515
total free space 20587552
total sleeper size 12
total syn-rcvd 514
total timers 526
uptime 17626
Informacijos apie /metrics galinį tašką galima rasti API dokumentacijoje.
Registravimas#
NetHSM gali registruoti sistemos įvykius į nuoseklųjį prievadą arba į syslog serverį tinkle.
Svarbu
Bet kokio gamybinio diegimo atveju NetHSM žurnalas turėtų būti nuolat stebimas, kad būtų galima nedelsiant pranešti apie bet kokias galimas saugumo problemas.
Syslog serverio konfigūraciją galima gauti taip.
Reikalingos parinktys
Galimybė |
Aprašymas |
---|---|
|
Užklausa dėl registravimo konfigūracijos |
Pavyzdys
$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
IP address: 0.0.0.0
Port: 514
Log level: info
Informacijos apie /config/logging galinį tašką galima rasti API dokumentacijoje.
Syslog serverio konfigūraciją galima nustatyti taip.
Reikalingos parinktys
Galimybė |
Aprašymas |
---|---|
|
Naujos registravimo paskirties vietos IP adresas |
|
Naujos registravimo paskirties vietos prievadas |
|
Naujas žurnalo lygis |
Pavyzdys
$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443
Informacijos apie /config/logging galinį tašką galima rasti API dokumentacijoje.
Nuoseklioji konsolė veikia nuo pat „NetHSM“ aparatinės įrangos pradžios. Į ją įtraukiami įvykiai iš „NetHSM“ programinės įrangos ir „NetHSM“ programinės įrangos.
Nuosekliojo konsolinio ryšio nustatymai yra tokie.
Nustatymas |
Vertė |
---|---|
Baudų perdavimo sparta |
115200 |
Duomenų bitai |
8 |
Stop bitai |
1 |
Paritetas |
Nėra |
Srauto valdymas |
Nėra |
Atsarginė kopija#
NetHSM Vartotojo duomenys gali būti įrašyti į atsarginę kopiją. Šiame atsarginės kopijos faile yra visi Vartotojo duomenys, t. y. Konfigūracijų saugykla, Autentifikavimo saugykla, Domenų raktų saugykla ir Raktų saugykla.
Svarbu
NetHSM sisteminei programinei įrangai Unattended Boot režimu reikės Unlock Passphrase, jei ji bus atkurta kitoje NetHSM aparatinėje įrangoje. Daugiau informacijos rasite Unlock Passphrase skyriuje.
Svarbu
Atkūrus NetHSM, veikiantį Neprižiūrimo įkrovimo režimu, jis veiks tuo pačiu režimu.
Prieš pradedant kurti atsarginę kopiją reikia nustatyti atsarginės kopijos slaptažodį. Atsarginės kopijos slaptažodis naudojamas atsarginės kopijos failo duomenims užšifruoti.
Įspėjimas
Atsarginės slaptažodžių frazės negalima iš naujo nustatyti nežinant dabartinės reikšmės. Praradus atsarginės kopijos slaptažodį, negalima nei atstatyti naujos reikšmės, nei atkurti sukurtų atsarginių kopijų.
Atsarginės kopijos slaptažodį galima nustatyti taip.
Vienkartinės parinktys
Galimybė |
Aprašymas |
---|---|
|
Naujoji atsarginės kopijos slaptažodžių frazė |
|
Dabartinė atsarginės kopijos slaptoji frazė (arba tuščia eilutė, jei nenustatyta) |
|
Prieš keisdami slaptažodį neprašykite patvirtinimo |
Pavyzdys
$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443
Informacijos apie /config/backup-passphrase galinį tašką galima rasti API dokumentacijoje.
Atsarginę kopiją galima atlikti taip.
Reikalingas vaidmuo
This operation requires an authentication with the Backup role.
Argumentai
Argumentas |
Aprašymas |
---|---|
|
Atsarginės kopijos failas |
Pavyzdys
$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup
Informacijos apie /system/backup galinį tašką galima rasti API dokumentacijoje.
Atkurti#
NetHSM galima atkurti iš atsarginės kopijos failo.
Jei NetHSM yra Unprovisioned, bus atkurti visi naudotojo duomenys, įskaitant sistemos konfigūraciją ir perkrovimą. Todėl po to sistemoje gali skirtis tinklo nustatymai, TLS sertifikatas ir atrakinimo slaptažodis.
Jei „NetHSM“ yra Provisioned, bus atkurti naudotojai ir naudotojų raktai, bet ne sistemos konfigūracija. Tokiu atveju visi anksčiau buvę naudotojai ir naudotojų raktai bus ištrinti. NetHSM baigia veikti Operational būsenoje.
Atkūrimas gali būti taikomas taip.
Vienkartinės parinktys
Galimybė |
Aprašymas |
---|---|
|
Apsauginės kopijos slaptažodis |
|
Nustatomas sistemos laikas (formatas: |
Svarbu
Įsitikinkite, kad vietinio kompiuterio laikas nustatytas teisingai. Norėdami nustatyti kitą laiką, nurodykite jį rankiniu būdu.
Argumentai
Argumentas |
Aprašymas |
|
---|---|---|
|
Pavyzdys
$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443
Informacijos apie /system/restore galinį tašką galima rasti API dokumentacijoje.
Klasterizavimas#
NetHSM neturi būsenos, todėl galima naudoti kelis NetHSM įrenginius, kad būtų galima apdoroti itin didelį duomenų srautą ir užtikrinti didelį prieinamumą. PKCS#11 modulis palaiko „NetHSM“ egzempliorių klasterio apylankinį tvarkaraštį. Keli NetHSM egzemplioriai gali būti sinchronizuojami naudojant šifruotas atsargines kopijas. Tam atskira sistema atsisiunčia ir įkelia atsargines kopijas tarp egzempliorių. Ši atskira sistema neturi prieigos prie atsarginių kopijų duomenų atviru tekstu, nes atsarginių kopijų failai yra užšifruoti. Sinchronizavimą galima lengvai sukurti scenarijumi naudojant pynitrokey, kaip parodyta šiame pavyzdyje.
Programinės įrangos atnaujinimas#
Programinės įrangos naujinius galima įdiegti dviem etapais. Pirmiausia atnaujinimo atvaizdą reikia įkelti į Provisioned NetHSM. NetHSM patikrina atvaizdo autentiškumą, vientisumą ir versijos numerį. Pasirinktinai NetHSM parodo išleidimo pastabas, jei tokių yra.
Įspėjimas
Įdiegus beta versijos naujinį gali būti prarasti duomenys! Stabilios versijos neturėtų sukelti duomenų praradimo. Tačiau prieš atnaujinimą rekomenduojama sukurti atsarginę kopiją.
Atnaujinimo failą galima įkelti taip.
Argumentai
Argumentas |
Aprašymas |
---|---|
|
Atnaujinti failą |
Pavyzdys
$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin
Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443
Informacijos apie /system/update galinį tašką galima rasti API dokumentacijoje.
Vėliau atnaujinimą galima taikyti arba nutraukti. Toliau nurodykite norimą parinktį. Jei „NetHSM“ išjungiamas prieš operaciją „commit“ (patvirtinti), atnaujinimo failą reikia įkelti iš naujo.
Svarbu
Jei nepavyksta įkelti atnaujinimo atvaizdo su Error: NetHSM request failed: Bad request -- malformed image
, atlikite toliau nurodytus veiksmus.
Įsitikinkite, kad turite galiojantį naujinimo failą, patikrinkite jį pagal pateiktą parašą.
Įsitikinkite, kad nėra įjungtas aukštas žurnalo lygis, pavyzdžiui,
DEBUG
. Daugiau apie žurnalo lygio konfigūravimą skaitykite skyriuje Žurnalo registravimas.Perkraukite prietaisą, kad atlaisvintumėte panaudotą atmintį.
Atnaujinimas gali būti taikomas (perduodamas) taip. Bet koks duomenų perkėlimas atliekamas tik po to, kai NetHSM sėkmingai paleidžia naują sistemos programinės įrangos versiją.
Pavyzdys
$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443
Informacijos apie /system/commit-update galinį tašką galima rasti API dokumentacijoje.
Atnaujinimą galima atšaukti taip.
Pavyzdys
$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443
Informacijos apie /system/cancel-update galinį tašką galima rasti API dokumentacijoje.
Sistemos informacija#
Sistemos informaciją, pvz., programinės įrangos versiją, programinės įrangos versiją ir aparatinės įrangos versiją, galima gauti taip.
Pavyzdys
$ nitropy nethsm -h $NETHSM_HOST system-info
Host: 192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1.0
Build tag: v2.0-0-g17ad829
Informacijos apie /system/info galinį tašką galima rasti API dokumentacijoje.
Perkrovimas ir išjungimas#
NetHSM galima perkrauti ir išjungti nuotoliniu būdu arba naudojant „NetHSM“ aparatinės įrangos priekyje esantį paleidimo iš naujo ir išjungimo mygtuką.
Nuotolinį perkrovimą galima inicijuoti taip.
Pavyzdys
$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot
Informacijos apie /system/reboot galinį tašką galima rasti API dokumentacijoje.
Nuotolinį išjungimą galima inicijuoti taip.
Pavyzdys
$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown
Informacijos apie /system/shutdown galinį tašką galima rasti API dokumentacijoje.
Gamyklinių nustatymų atkūrimas#
Provisioned NetHSM galima atstatyti gamyklinius nustatymus. Tokiu atveju visi naudotojo duomenys saugiai ištrinami, o NetHSM paleidžiamas į Unprovisioned būseną. Vėliau galite norėti aprūpinti NetHSM.
Gamyklinių nustatymų atkūrimą galima atlikti taip.
Pavyzdys
$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset
Informacijos apie /system/factory-reset galinį tašką galima rasti API dokumentacijoje.
Naudotojo valdymas#
Vaidmenys#
NetHSM leidžia atskirti pareigas naudojant skirtingus vaidmenis. Kiekvienai NetHSM sukonfigūruotai naudotojo paskyrai priskiriamas vienas iš šių Vaidmenų.
Vaidmuo |
Aprašymas |
---|---|
Administratorius |
Vartotojo paskyra su šiuo vaidmeniu turi prieigą prie visų NetHSM atliekamų operacijų, išskyrus raktų naudojimo operacijas, t. y. pranešimų pasirašymą ir iššifravimą. |
Operatorius |
Vartotojo paskyra su šiuo vaidmeniu turi prieigą prie visų raktų naudojimo operacijų, tik skaitymui skirto raktų valdymo operacijų poaibio ir naudotojo valdymo operacijų, leidžiančių atlikti pakeitimus tik savo paskyroje. |
Metrika |
Vartotojo paskyra su šiuo vaidmeniu turi prieigą tik prie skaitymo metrikos operacijų. |
Apsauginė kopija |
Vartotojo paskyra su šiuo vaidmeniu turi prieigą tik prie operacijų, reikalingų sistemos atsarginei kopijai inicijuoti. |
Apie smulkesnius prieigos apribojimus žr. Vardų sritys ir Žymos.
Pastaba
Būsimoje versijoje gali būti įvesti papildomi Vaidmenys.
Pridėti naudotoją#
Pridėkite naudotojo paskyrą prie NetHSM. Kiekviena naudotojo paskyra turi vaidmenį, kurį reikia nurodyti. Daugiau informacijos apie Vaidmenis rasite skyriuje Vaidmenys .
Pasirinktinai naudotojas gali būti priskirtas *Vardų erdvei*.
Pastaba
Naudotojo ID turi būti raidinis-skaitmeninis. NetHSM priskiria atsitiktinį naudotojo ID, jei jis nenurodytas.
Vartotojo paskyrą galima pridėti taip.
Reikalingos parinktys
Galimybė |
Aprašymas |
---|---|
|
Tikrasis naujojo naudotojo vardas |
|
Naujojo naudotojo vardų erdvė |
|
Naujojo naudotojo Varmuo |
|
Naujojo naudotojo slaptažodis |
Vienkartinės parinktys
Galimybė |
Aprašymas |
---|---|
|
Naujojo naudotojo naudotojo ID |
Pavyzdys
$ nitropy nethsm --host $NETHSM_HOST add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443
Informacijos apie /users galinį tašką, skirtą naudotojui sukurti nenurodant naudotojo ID, rasite API dokumentacijoje.
Informacijos apie /users/{UserID} galinį tašką, skirtą naudotojui sukurti nurodant naudotojo ID, rasite API dokumentacijoje.
Pagal numatytuosius nustatymus vardų sritis paveldima iš naudotojo, kuris prideda naują naudotoją. Tik Vardų srities neturintys naudotojai gali pasirinkti kitą Vardų sritį naujiems naudotojams. Vardų erdvė naudojama kaip naudotojo vardo priešdėlis, pavyzdžiui, namespace~user. Todėl tas pats naudotojo vardas gali būti naudojamas keliose Vardų erdvėse.
Ištrinti naudotoją#
Ištrinkite vartotojo paskyrą iš NetHSM.
Įspėjimas
Pašalinimas yra nuolatinis ir negali būti atšauktas.
Vartotojo paskyrą galima ištrinti taip.
Argumentai
Argumentas |
Aprašymas |
---|---|
|
Naudotojo ID. |
Pavyzdys
$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443
Informacijos apie /users/{UserID} galinį tašką galima rasti API dokumentacijoje.
Sąrašo naudotojai#
Sudarykite NetHSM naudotojų sąrašą.
Sąrašą galima gauti taip.
Vienkartinės parinktys
Galimybė |
Aprašymas |
---|---|
|
Užklausa apie tikrąjį naudotojo vardą ir vaidmenį |
Pavyzdys
$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:
User ID Real name Role
--------- ----------------- -------------
operator1 Nitrokey Operator Operator
admin admin Administrator
Informacijos apie /users galinį tašką galima rasti API dokumentacijoje.
Informacijos apie /users/{UserID} galinį tašką galima rasti API dokumentacijoje.
Vardų erdvės naudotojai gali matyti tik tos pačios vardų erdvės naudotojus.
Vartotojo slaptažodis#
Galima iš naujo nustatyti naudotojo paskyros slaptažodį. Vartotojo paskyros pridėjimo metu nustatoma pirminė slaptažodžio frazė.
Pastaba
Slaptažodžių frazės turi turėti >= 10 ir <= 200 simbolių.
Vartotojo slaptažodį galima nustatyti taip.
Reikalingos parinktys
Galimybė |
Aprašymas |
---|---|
|
Naudotojo naudotojo ID |
|
Nauja naudotojo slaptažodžių frazė |
Pavyzdys
$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443
Informacijos apie /users/{UserID}/passphrase galinį tašką galima rasti API dokumentacijoje.
Vardų sritys#
Vardų sritys buvo įdiegtos 2.0 programinės įrangos versijoje. Pereinant iš ankstesnės programinės įrangos versijos, visi esami naudotojai ir raktai bus be vardų erdvės.
Panašiai kaip ir skaidinių sąvoka, NetHSM palaiko lankstesnę vardų sričių koncepciją, pagal kurią NetHSM raktai, administratoriai ir naudotojai grupuojami į atskirus pogrupius. Vartotojai gali matyti ir naudoti tik tos pačios vardų erdvės raktus ir tik tos pačios vardų erdvės naudotojus. Neįmanoma matyti naudotojų ir matyti bei naudoti kitų vardų erdvių raktų. Kai sukuriamas naujas naudotojas, jis paveldi jį sukūrusio naudotojo Vardų erdvę. Turima atminties talpa dalijamasi tarp visų vardų erdvių.
Vartotojai, turintys Administrator vaidmenį, taip pat vadinami R-Administrator, jei jie nėra vardų srityje, arba N-Administrator, jei jie yra vardų srityje.
R-Administrator naudotojams taikomos specialios taisyklės: Jie gali nustatyti vardų erdvę naujiems naudotojams, sudaryti visų naudotojų sąrašą ir pateikti užklausą apie naudotojo vardų erdvę. Be to, prie NetHSM konfigūracijos gali prisijungti tik R-Administrator naudotojai. RAdministratoriai negali matyti Vardų erdvės raktų.
Kad būtų galima generuoti raktus ir naudotojus vardų erdvėje, vardų erdvę turi sukurti R-Administrator naudotojas. Sukūrus Vardų erdvę, R-Administrator naudotojai nebegali kurti, šalinti ar keisti tos Vardų erdvės naudotojų. Tai leidžia apsaugoti Vardų sričių raktus, prie kurių prieigą turi R-Administrator (taip pat netiesiogiai, pridedant naują naudotoją vardu arba atstatant esamo naudotojo ar administratoriaus įgaliojimus). Todėl prieš kuriant vardų erdvę būtina sukurti N-Administrator vardų erdvės naudotoją. R-Administrator naudotojai taip pat gali ištrinti Vardų sritį su visais joje esančiais raktais.
Sąrašo vardų sritys#
Išvardykite NetHSM vardų erdves.
Sąrašą galima gauti taip.
Pavyzdys
$ nitropy nethsm --host $NETHSM_HOST list-namespaces
Namespaces on NetHSM localhost:8843:
- ns1
- ns2
Informacijos apie /namespaces galinį tašką rasite API dokumentacijoje.
Pridėti vardų sritį#
Pridėti vardų sritį prie NetHSM.
R-Administrator naudotojai gali kurti naujas paskyras vardų erdvėje dar prieš ją sukuriant. Sukūrus paskyrą, Vardų erdvės naudotojus gali valdyti tik NAdministrator naudotojai. Kurti ir naudoti raktus Vardų erdvėje galima tik ją pridėjus.
Pastaba
Vardų erdvės ID turi būti raidinis-skaitmeninis. NetHSM priskiria atsitiktinį naudotojo ID, jei jis nenurodytas.
Vardų erdvę galima pridėti taip.
Argumentai
Argumentas |
Aprašymas |
|
---|---|---|
|
Pavyzdys
$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1
Namespace ns1 added to NetHSM localhost:8443
Informacijos apie /namespaces/{NamespaceID} galinį tašką galima rasti API dokumentacijoje.
Ištrinti vardų sritį#
Ištrinkite vardų sritį iš NetHSM.
Ištrynus vardų sritį, taip pat ištrinami visi tos vardų srities raktai. Likę Vardų srities naudotojai negali pridėti raktų, kol Vardų sritis vėl nebus pridėta.
Vardų sritį galima ištrinti taip.
Argumentai
Argumentas |
Aprašymas |
---|---|
|
Vardų erdvė, kurią reikia ištrinti. |
Pavyzdys
$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1
Namespace ns1 deleted on NetHSM localhost:8443
Informacijos apie /namespaces/{NamespaceID} galinį tašką galima rasti API dokumentacijoje.