Administracija#

Šiame skyriuje aprašomos administravimo užduotys naudotojams, turintiems Administrator vaidmenį. Daugiau informacijos apie šį vaidmenį rasite skyriuje Vaidmenys.

Svarbu

Prieš pradėdami darbą būtinai perskaitykite šio dokumento pradžioje pateiktą informaciją.

Sistemos valdymas#

Įrenginio informacija#

Informaciją apie „NetHSM“ pardavėją ir gaminį galima gauti taip.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST info

Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Įkrovimo režimas#

NetHSM galima naudoti Attended Boot ir Unattended Boot režimu.

Įkrovimo režimas	Aprašymas
Atvykęs Boot	Kiekvieno paleidimo metu reikia įvesti atrakinimo slaptažodį, kuris naudojamas naudotojo duomenims iššifruoti. Saugumo sumetimais rekomenduojama naudoti šį režimą.
Neprižiūrimas įkėlimas	Nereikalaujama atrakinimo slaptažodžio, todėl „NetHSM“ gali įsijungti be priežiūros. Šį režimą naudokite, jei jūsų prieinamumo reikalavimų negalima įvykdyti naudojant Attended Boot režimą.

Dabartinį įkrovos režimą galima sužinoti taip.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot

Configuration for NetHSM localhost:8443:
   Unattended boot: off

Įkrovos režimą galima keisti taip.

Argumentai

Argumentas	Aprašymas
Statusas	Įjungti arba išjungti Unattattended Boot. Gali turėti reikšmę `on` arba </x>`off.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on

Updated the unattended boot configuration for NetHSM localhost:8443

Valstybė#

NetHSM programinė įranga turi keturias būsenas: Nepaskirta, Paskirta, užrakinta ir veikia.

Valstybė	Aprašymas
Neprovizuotas	NetHSM be konfigūracijos (gamykliniai nustatymai)
Pasirūpinta	NetHSM su konfigūracija. Provisioned būsena reiškia Operational arba Locked būseną.
Darbinis	NetHSM su konfigūracija ir paruoštas vykdyti komandas. Dirbanti būsena reiškia Provisioned būseną.
Užrakinta	NetHSM su konfigūracija, bet apsaugotas (reikia atrakinti). Būklė Operational reiškia būseną Provisioned.

Dabartinę NetHSM būseną galima sužinoti taip.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST state

NetHSM localhost:8443 is Unprovisioned

Naujo NetHSM būsena yra Neprovisioned, o po aprūpinimo pereina į Operational būseną. NetHSM aprūpinimas aprašytas skyriuje Opūpinimas.

Darbinės būsenos NetHSM galima vėl užrakinti, kad jis būtų apsaugotas taip.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST lock

NetHSM localhost:8443 locked

Užrakinto* būsenos NetHSM galima atrakinti taip.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST unlock

NetHSM localhost:8443 unlocked

Atrakinti slaptažodį#

Jei NetHSM yra užrakintas būsenos, atrakinimo slaptažodis naudojamas atrakinimo raktui gauti. Slaptažodžių frazė iš pradžių nustatoma „NetHSM“ aprūpinimo metu.

Atrakinimo slaptažodį galima nustatyti taip.

Vienkartinės parinktys

Galimybė	Aprašymas
`-p`, `--passphrase` `TEXT`	Nauja atrakinimo slaptažodžių frazė

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase

Passphrase:
Repeat for confirmation:
Updated the unlock passphrase for localhost:8443

TLS sertifikatas#

TLS sertifikatas naudojamas HTTPS pagrįstai REST API, todėl jį naudoja ir nitropy. Įrengimo metu sukuriamas savarankiškai pasirašytas sertifikatas. Sertifikatą galima pakeisti, pavyzdžiui, sertifikatų institucijos (CA) pasirašytu sertifikatu. Tokiu atveju turi būti sukurtas sertifikato pasirašymo prašymas (CSR). Po pasirašymo sertifikatą reikia importuoti į NetHSM.

Pakeisti sertifikatą reikia tik tada, kai jį reikia pakeisti. Toks pakeitimas gali būti atliekamas norint pakeisti sertifikatą sertifikatų institucijos (CA) pasirašytu sertifikatu.

TLS sertifikatą galima gauti taip.

Reikalingos parinktys

Galimybė	Aprašymas
`-a`, `--api`	NetHSM TLS sąsajos sertifikato nustatymas

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api

TLS sertifikatą galima sukurti taip.

Reikalingos parinktys

Galimybė	Aprašymas
`-t`, `--type` `[RSA\|Curve25519\|EC_P224\|EC_P256\|EC_P384\|EC_P521]`	Sugeneruoto rakto tipas
`-l`, `--length` `INTEGER`	Sugeneruoto rakto ilgis

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519

Key for TLS interface generated on NetHSM localhost:8443

Sertifikato pasirašymo užklausą (CSR) galima sukurti taip.

Reikalingos parinktys

Galimybė	Aprašymas
`-a`, `--api`	Sukurti CSR NetHSM TLS sertifikatui
`--country` `TEXT`	Šalies pavadinimas
`--state-or-province` `TEXT`	Valstybės arba provincijos pavadinimas
`--locality` `TEXT`	Vietovės pavadinimas
`--organization` `TEXT`	Organizacijos pavadinimas
`--organizational-unit` `TEXT`	Organizacijos padalinio pavadinimas
`--common-name` `TEXT`	Bendrinis pavadinimas
`--email-address` `TEXT`	El. pašto adresas

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"

Sertifikatą galima pakeisti taip.

Reikalingos parinktys

Galimybė	Aprašymas
`-a`, `--api`	NetHSM TLS sąsajos sertifikato nustatymas

Argumentai

Argumentas	Aprašymas
`FILENAME`	Sertifikato failas

Pavyzdys

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Tinklas#

Tinklo konfigūracija apibrėžia Tinklo prievado nustatymus.

Pastaba

Šiais nustatymais nekonfigūruojamas BMC tinklo prievadas.

Tinklo konfigūraciją galima gauti taip.

Reikalingos parinktys

Galimybė	Aprašymas
`--network`	Užklausa apie tinklo konfigūraciją

Pavyzdys

$ nitropy nethsm -h $NETHSM_HOST get-config --network

Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Nustatykite tinklo konfigūraciją taip.

Pastaba

NetHSM nepalaiko DHCP (dinaminio prievado konfigūravimo protokolo).

Pastaba

NetHSM nepalaiko IPv6 (interneto protokolo 6 versijos).

Reikalingos parinktys

Galimybė	Aprašymas
`-a`, `--ip-address`	Naujasis IP adresas
`-n`, `--netmask`	Naujoji tinklo maska
`-n`, `--netmask`	Naujieji vartai

Pavyzdys

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0

Updated the network configuration for NetHSM localhost:8443

Laikas#

Laiko konfigūracija nustato NetHSM programinės įrangos sistemos laiką. Sistemos laiko paprastai nereikia nustatyti, nes jis nustatomas parūpinimo metu.

Laiko konfigūraciją galima gauti taip.

Reikalingos parinktys

Galimybė	Aprašymas
`--time`	Užklausa apie sistemos laiką

Pavyzdys

$ nitropy nethsm -host $NETHSM_HOST get-config --time

Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Nustatykite NetHSM laiką.

Svarbu

Būtinai nurodykite laiką UTC laiko juosta.

Argumentai

Argumentas	Aprašymas
`time`	Nustatomas sistemos laikas (formatas: YYYYY-MM-DDTHH:MM:SSZ)

Pavyzdys

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z

Updated the system time for NetHSM localhost:8443

Metrikos#

NetHSM registruoja sistemos parametrų metrikas.

Pastaba

Šiai komandai reikia naudotojo, turinčio Metrics vaidmenį, autentiškumo patvirtinimo. Daugiau informacijos apie vaidmenį rasite skyriuje Vaidmenys.

Metrikas galima gauti taip.

Pavyzdys

$ nitropy nethsm -h $NETHSM_HOST metrics

Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Registravimas#

NetHSM gali registruoti sistemos įvykius į nuoseklųjį prievadą arba į syslog serverį tinkle.

Nuoseklioji konsolė veikia nuo pat „NetHSM“ aparatinės įrangos pradžios. Į ją įtraukiami įvykiai iš „NetHSM“ programinės įrangos ir „NetHSM“ programinės įrangos.

Nuosekliojo konsolinio ryšio nustatymai yra tokie.

Nustatymas	Vertė
Baudų perdavimo sparta	115200
Duomenų bitai	8
Stop bitai	1
Paritetas	Nėra
Srauto valdymas	Nėra

Syslog serverio konfigūraciją galima gauti taip.

Reikalingos parinktys

Galimybė	Aprašymas
`--network`	Užklausa dėl registravimo konfigūracijos

Pavyzdys

$ nitropy nethsm -h $NETHSM_HOST get-config --logging

Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

Syslog serverio konfigūraciją galima nustatyti taip.

Reikalingos parinktys

Galimybė	Aprašymas
`-p`, `--passphrase` `TEXT`	Naujos registravimo paskirties vietos IP adresas
`-p`, `--port` `INTEGER`	Naujos registravimo paskirties vietos prievadas
`-l`, `--log-level` `[debug\|info\|warning\|error]`	Naujas žurnalo lygis

Pavyzdys

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info

Updated the logging configuration for NetHSM localhost:8443

Atsarginė kopija#

NetHSM Vartotojo duomenys gali būti įrašyti į atsarginę kopiją. Šiame atsarginės kopijos faile yra visi Vartotojo duomenys, t. y. Konfigūracijų saugykla, Autentifikavimo saugykla, Domenų raktų saugykla ir Raktų saugykla.

Svarbu

Jei NetHSM sisteminė programinė įranga veikia Neprižiūrimo įkrovimo režimu, reikės įvesti Atrakinimo slaptažodį, jei bus atkurta kitoje NetHSM aparatinėje įrangoje. Daugiau informacijos rasite skyriuje Unlock Passphrase.

Svarbu

Atkūrus NetHSM, veikiantį Neprižiūrimo įkrovimo režimu, jis veiks tuo pačiu režimu.

Prieš pradedant kurti atsarginę kopiją reikia nustatyti atsarginės kopijos slaptažodį. Atsarginės kopijos slaptažodis naudojamas atsarginės kopijos failo duomenims užšifruoti.

Atsarginės kopijos slaptažodį galima nustatyti taip.

Vienkartinės parinktys

Galimybė	Aprašymas
`-p`, `--passphrase` `TEXT`	Naujoji atsarginės kopijos slaptažodžių frazė

Pavyzdys

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase

Passphrase:
Repeat for confirmation:
Updated the backup passphrase for NetHSM localhost:8443

Pastaba

Šiai komandai reikia naudotojo, turinčio Backup vaidmenį, autentiškumo patvirtinimo. Daugiau informacijos rasite skyriuje Vaidmenys.

Atsarginę kopiją galima atlikti taip.

Argumentai

Argumentas	Aprašymas
`FILENAME`	Atsarginės kopijos failas

Pavyzdys

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup

Backup for localhost:8443 written to /tmp/backup

Pastaba

Šį atsarginės kopijos failą galima atkurti tik neįdiegtoje NetHSM instancijoje.

Atkurti#

NetHSM galima atkurti iš atsarginės kopijos failo.

Pastaba

NetHSM turi būti neprovizuotos būsenos.

Atkūrimas gali būti taikomas taip.

Vienkartinės parinktys

Galimybė	Aprašymas
`-p`, `--backup-passphrase` `passphrase`	Apsauginės kopijos slaptažodis
`-t`, `--system-time`	Nustatomas sistemos laikas (formatas: `YYYY-MM-DDTHH:MM:SSZ`)

Svarbu

Įsitikinkite, kad vietinio kompiuterio laikas nustatytas teisingai. Norėdami nustatyti kitą laiką, nurodykite jį rankiniu būdu.

Argumentai

Argumentas		Aprašymas
`FILENAME` \| Atkurti failą

Pavyzdys

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup

Backup passphrase:
Backup restored on NetHSM localhost:8443

Atnaujinti#

NetHSM atnaujinimus galima įdiegti dviem etapais. Pirmiausia atnaujinimo atvaizdą reikia įkelti į „NetHSM“. Atvaizdas patikrinamas ir patvirtinamas automatiškai.

Įspėjimas

Įdiegus beta versijos naujinį gali būti prarasti duomenys!

Atnaujinimo failą galima įkelti taip.

Argumentai

Argumentas	Aprašymas
`FILENAME`	Atnaujinti failą

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.cpio

Image /tmp/nethsm-update.img.cpio uploaded to NetHSM localhost:8443

Vėliau atnaujinimą galima taikyti arba nutraukti. Toliau nurodykite norimą parinktį.

Atnaujinimas gali būti taikomas (perduodamas) taip.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST commit-update

Update successfully committed on NetHSM localhost:8443

Atnaujinimą galima atšaukti taip.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST cancel-update

Update successfully cancelled on NetHSM localhost:8443

Perkrovimas ir išjungimas#

NetHSM galima perkrauti ir išjungti nuotoliniu būdu arba naudojant „NetHSM“ aparatinės įrangos priekyje esantį paleidimo iš naujo ir išjungimo mygtuką.

Nuotolinį perkrovimą galima inicijuoti taip.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST reboot

NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

Nuotolinį išjungimą galima inicijuoti taip.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST shutdown

NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Gamyklinių nustatymų atkūrimas#

NetHSM galima atstatyti gamyklinius nustatymus. Šio proceso metu ištrinami visi naudotojo duomenys.

Gamyklinių nustatymų atkūrimą galima atlikti taip.

Pavyzdys

$ nitropy nethsm -h $NETHSM_HOST factory-reset

NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Naudotojo valdymas#

Vaidmenys#

NetHSM leidžia atskirti pareigas naudojant skirtingus vaidmenis. Kiekvienai NetHSM sukonfigūruotai naudotojo paskyrai priskiriamas vienas iš šių Vaidmenų.

Vaidmuo	Aprašymas
Administratorius	Vartotojo paskyra su šiuo vaidmeniu turi prieigą prie visų NetHSM atliekamų operacijų, išskyrus raktų naudojimo operacijas, t. y. pranešimų pasirašymą ir iššifravimą.
Operatorius	Vartotojo paskyra su šiuo vaidmeniu turi prieigą prie visų raktų naudojimo operacijų, tik skaitymui skirto raktų valdymo operacijų poaibio ir naudotojo valdymo operacijų, leidžiančių atlikti pakeitimus tik savo paskyroje.
Metrika	Vartotojo paskyra su šiuo vaidmeniu turi prieigą tik prie skaitymo metrikos operacijų.
Apsauginė kopija	Vartotojo paskyra su šiuo vaidmeniu turi prieigą tik prie operacijų, reikalingų sistemos atsarginei kopijai inicijuoti.

Pastaba

Būsimoje versijoje gali būti įvesti papildomi Vaidmenys.

Pridėti naudotoją#

Pridėkite vartotojo paskyrą prie NetHSM. Kiekviena naudotojo paskyra turi Rolę, kurią reikia nurodyti. Daugiau apie Vaidmenis skaitykite skyriuje Vaidmenys.

Pastaba

NetHSM priskiria atsitiktinį naudotojo ID, jei jis nenurodytas.

Vartotojo paskyrą galima pridėti taip.

Reikalingos parinktys

Galimybė	Aprašymas
`-n`, `--real-name` `TEXT`	Tikrasis naudotojo vardas
`-r`, `--role` `[Administrator\|Operator\|Metrics\|Backup]`	Naujojo naudotojo Varmuo
`-p`, `--passphrase` `TEXT`	Naujojo naudotojo slaptažodis

Vienkartinės parinktys

Galimybė	Aprašymas
`-u`, `--user-id` `TEXT`	Naujojo naudotojo naudotojo ID

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1

Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Ištrinti naudotoją#

Ištrinkite vartotojo paskyrą iš NetHSM.

Įspėjimas

Pašalinimas yra nuolatinis ir negali būti atšauktas.

Vartotojo paskyrą galima ištrinti taip.

Argumentai

Argumentas	Aprašymas
`USER_ID`	Naudotojo ID.

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1

User operator1 deleted on NetHSM localhost:8443

Sąrašo naudotojai#

Sudarykite NetHSM naudotojų sąrašą.

Sąrašą galima gauti taip.

Vienkartinės parinktys

Galimybė	Aprašymas
`--details`, `--no-details`	Užklausa apie tikrąjį naudotojo vardą ir vaidmenį

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST list-users

Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Vartotojo slaptažodis#

Galima iš naujo nustatyti naudotojo paskyros slaptažodį. Vartotojo paskyros pridėjimo metu nustatoma pirminė slaptažodžio frazė.

Pastaba

Slaptažodžių frazės turi turėti >= 10 ir <= 200 simbolių.

Vartotojo slaptažodį galima nustatyti taip.

Reikalingos parinktys

Galimybė	Aprašymas
`-u`, `--user-id` `TEXT`	Naudotojo naudotojo ID
`-p`, `--passphrase` `TEXT`	Nauja naudotojo slaptažodžių frazė

Pavyzdys

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1

Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Žymos naudotojams#

Žymos gali būti naudojamos prieigos prie raktų apribojimams nustatyti ir yra neprivaloma funkcija. Jas galima priskirti tik naudotojo paskyroms, turinčioms Operatoriaus vaidmenį. Operatoriai gali matyti visus raktus, bet naudoti tik tuos, kurie turi bent vieną atitinkamą Žymę. Naudotojas Operatorius negali keisti rakto.

Jei norite sužinoti, kaip naudoti žymes raktams, skaitykite Žymės raktams.

Žymą Tag galima pridėti taip.

Argumentai

Argumentas	Aprašymas
`USER_ID`	Vartotojo ID, kuriam turi būti nustatyta žyma.
`TAG`	Žyma, kurią reikia nustatyti naudotojo ID.

Pavyzdys

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin

Added tag berlin for user operator1 on the NetHSM localhost:8443

Žymą Tag galima ištrinti taip.

Argumentai

Argumentas	Aprašymas
`USER_ID`	Vartotojo ID, kuriam turi būti nustatyta žyma.
`TAG`	Žyma, kurią reikia nustatyti naudotojo ID.

Pavyzdys

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin

Deleted tag berlin for user operator1 on the NetHSM localhost:8443