Administratie#
Dit hoofdstuk beschrijft administratieve taken voor gebruikers met de rol Administrator. Zie hoofdstuk Rollen voor meer informatie over de rol.
Belangrijk
Lees de informatie in het begin van dit document ` <index.html>`__ voordat u aan de slag gaat.
Systeembeheer#
Informatie over het apparaat#
De leveranciers- en productinformatie voor een NetHSM kan als volgt worden opgevraagd.
Voorbeeld
$ nitropy nethsm --host $NETHSM_HOST info
Host: localhost:8443
Vendor: Nitrokey GmbH
Product: NetHSM
Informatie over het eindpunt /info is te vinden in de API documentatie.
Opstartmodus#
NetHSM kan worden gebruikt in Attended Boot-modus en Unattended Boot-modus.
Opstartmodus |
Beschrijving |
---|---|
Attended Boot |
Bij elke start moet de Unlock Passphrase worden ingevoerd, die wordt gebruikt om de User Data te decoderen. Om veiligheidsredenen wordt deze modus aanbevolen. |
Unattended Boot |
Er is geen Unlock Passphrase nodig, daarom kan de NetHSM onbemand opstarten. Gebruik deze modus als aan uw beschikbaarheidseisen niet kan worden voldaan met de modus Attended Boot. |
De huidige opstartmodus kan als volgt worden opgevraagd.
Voorbeeld
$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
Unattended boot: off
Informatie over het eindpunt /config/unattended-boot is te vinden in de API documentatie.
De opstartmodus kan als volgt worden gewijzigd.
Argumenten
Argument |
Beschrijving |
---|---|
Status |
In- of uitschakelen van Unattended Boot. Kan de waarde |
Voorbeeld
$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443
Informatie over het eindpunt /config/unattended-boot is te vinden in de API documentatie.
Staat#
De NetHSM-software heeft vier toestanden: Unprovisioned, Provisioned, Locked, en Operational.
Staat |
Beschrijving |
---|---|
Unprovisioned |
NetHSM zonder configuratie (fabrieksinstelling) |
Provisioned |
NetHSM met configuratie. De status Provisioned impliceert een status Operational of Locked. |
*operationeel |
NetHSM met configuratie en klaar om commando’s uit te voeren. De status Operational impliceert de status Provisioned. |
Locked |
NetHSM met configuratie maar beveiligd (moet worden ontgrendeld). De status Operational impliceert de status Provisioned. |
Staten en overgangen van het NetHSM#
De huidige toestand van de NetHSM kan als volgt worden opgevraagd.
Voorbeeld
$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned
Informatie over het eindpunt /health/state is te vinden in de API-documentatie.
Een nieuwe NetHSM heeft een Unprovisioned status en komt na provisioning in de Operational status. Het provisioneren van een NetHSM wordt beschreven in het hoofdstuk Provisioning.
Een NetHSM in de status Operationeel kan opnieuw worden vergrendeld om deze als volgt te beschermen.
Voorbeeld
$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked
Informatie over het eindpunt /lock is te vinden in de API documentatie.
Een NetHSM in de toestand vergrendeld kan als volgt worden ontgrendeld.
Voorbeeld
$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked
Informatie over het eindpunt /unlock is te vinden in de API documentatie.
Wachtwoord ontgrendelen#
De Unlock Passphrase wordt gebruikt om een Unlock Key af te leiden als de NetHSM in de status Locked staat. De wachtwoordzin wordt aanvankelijk ingesteld tijdens de provisionering van de NetHSM.
De Unlock Passphrase kan als volgt worden ingesteld.
Optionele opties
Optie |
Beschrijving |
---|---|
|
De nieuwe ontgrendelingswachtzin |
Voorbeeld
$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
Passphrase:
Repeat for confirmation:
Updated the unlock passphrase for localhost:8443
Informatie over het eindpunt /config/unlock-passphrase kan worden gevonden in de API documentatie.
TLS-certificaat#
Het TLS-certificaat wordt gebruikt voor de op HTTPS gebaseerde REST API, en dus ook door nitropy. Tijdens provisioning wordt een zelf ondertekend certificaat aangemaakt. Het certificaat kan worden vervangen, bijvoorbeeld door een ondertekend certificaat van een certificate authority (CA). In dat geval moet een Certificate Signing Request (CSR) worden gegenereerd. Na ondertekening moet het certificaat in de NetHSM worden geïmporteerd.
Een wijziging is alleen nodig wanneer het certificaat moet worden vervangen. Die wijziging kan zijn om het te vervangen door een ondertekend certificaat van een certificaatautoriteit (CA).
Het TLS-certificaat kan als volgt worden opgehaald.
Verplichte opties
Optie |
Beschrijving |
---|---|
|
Het certificaat voor de NetHSM TLS-interface instellen |
Voorbeeld
$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----
Informatie over het eindpunt /config/tls/cert.pem is te vinden in de API-documentatie.
Het TLS-certificaat kan als volgt worden gegenereerd.
Verplichte opties
Optie |
Beschrijving |
---|---|
|
Het type voor de gegenereerde sleutel |
|
De lengte van de gegenereerde sleutel |
Voorbeeld
$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443
Informatie over het eindpunt /config/tls/generate kan worden gevonden in de API documentatie.
Het Certificate Signing Request (CSR) voor het certificaat kan als volgt worden gegenereerd.
Verplichte opties
Optie |
Beschrijving |
---|---|
|
Een CSR genereren voor het NetHSM TLS-certificaat |
|
De naam van het land |
|
De naam van de staat of provincie |
|
De plaatsnaam |
|
De naam van de organisatie |
|
De naam van de organisatie-eenheid |
|
De gemeenschappelijke naam |
|
Het e-mailadres |
Voorbeeld
$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----
Informatie over het eindpunt /config/tls/csr.pem is te vinden in de API documentatie.
Het certificaat kan als volgt worden vervangen.
Verplichte opties
Optie |
Beschrijving |
---|---|
|
Het certificaat voor de NetHSM TLS-interface instellen |
Argumenten
Argument |
Beschrijving |
---|---|
|
Certificaat bestand |
Voorbeeld
nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate
Informatie over het eindpunt /config/tls/csr.pem is te vinden in de API documentatie.
Netwerk#
De netwerkconfiguratie definieert de instellingen die worden gebruikt voor de Netwerkpoort.
Notitie
Met deze instellingen wordt de BMC-netwerkpoort niet geconfigureerd.
De netwerkconfiguratie kan als volgt worden opgevraagd.
Verplichte opties
Optie |
Beschrijving |
---|---|
|
De netwerkconfiguratie opvragen |
Voorbeeld
$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
IP address: 192.168.1.1
Netmask: 255.255.255.0
Gateway: 0.0.0.0
Informatie over het eindpunt /config/network is te vinden in de API-documentatie.
Stel de netwerkconfiguratie als volgt in.
Notitie
De NetHSM ondersteunt geen DHCP (Dynamic Host Configuration Protocol).
Notitie
De NetHSM ondersteunt geen IPv6 (Internet Protocol versie 6).
Verplichte opties
Optie |
Beschrijving |
---|---|
|
Het nieuwe IP-adres |
|
Het nieuwe netmasker |
|
De nieuwe poort |
Voorbeeld
$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443
Informatie over het eindpunt /config/network is te vinden in de API-documentatie.
Tijd#
De tijdconfiguratie stelt de systeemtijd van de NetHSM-software in. Het is meestal niet nodig om de systeemtijd in te stellen, omdat deze wordt ingesteld tijdens de provisioning.
De tijdconfiguratie kan als volgt worden opgevraagd.
Verplichte opties
Optie |
Beschrijving |
---|---|
|
De systeemtijd opvragen |
Voorbeeld
$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time: 2022-08-17 11:40:00+00:00
Informatie over het eindpunt /config/time is te vinden in de API-documentatie.
Stel de tijd van de NetHSM in.
Belangrijk
Zorg ervoor dat u de tijd doorgeeft in UTC-tijdzone.
Argumenten
Argument |
Beschrijving |
---|---|
|
De in te stellen systeemtijd (Formaat: JJJJ-MM-DDTHH:MM:SSZ) |
Voorbeeld
$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443
Informatie over het eindpunt /config/time is te vinden in de API-documentatie.
Metriek#
De NetHSM logt metrieken van systeemparameters.
Notitie
Dit commando vereist de authenticatie van een gebruiker met de rol Metrics. Zie hoofdstuk Rollen voor meer informatie over de rol.
De metriek kan als volgt worden opgevraagd.
Voorbeeld
$ nitropy nethsm -h $NETHSM_HOST metrics
Metric Value
---------------------------- --------
client connections 0
established state 6
external.received bytes 989931
external.received packets 13239
external.transmitted bytes 25908953
external.transmitted packets 22037
free chunk count 322
gc compactions 0
gc major bytes 21348352
gc major collections 35
gc minor collections 2652
http response 200 28
http response 201 1
http response 204 1
http response 400 1
http response 403 1
http response 404 145
http response 412 1
http response time 0.084998
http response total 178
internal.received bytes 66541
internal.received packets 1130
internal.transmitted bytes 63802
internal.transmitted packets 1133
kv write 2
log errors 3
log warnings 3
maximum allocated space 64528384
maximum releasable bytes 1216
mmapped region count 0
new sleeper size 1
non-mmapped allocated bytes 64528384
sleep queue size 11
syn-rcvd state 0
timers 2
total allocated space 43940832
total client 1
total established 515
total free space 20587552
total sleeper size 12
total syn-rcvd 514
total timers 526
uptime 17626
Informatie over het eindpunt /metrics is te vinden in de API documentatie.
Loggen#
De NetHSM kan systeemgebeurtenissen loggen op de seriële poort of op een syslogserver op het netwerk.
De seriële console werkt vanaf het begin van de NetHSM-hardware. Het omvat gebeurtenissen van de NetHSM-firmware en de NetHSM-software.
De instellingen voor de seriële consoleverbinding zijn als volgt.
Instelling |
Waarde |
---|---|
Baudrate |
115200 |
Gegevensbits |
8 |
Stopbits |
1 |
Pariteit |
Geen |
Stroomregeling |
Geen |
De configuratie van de syslogserver kan als volgt worden opgevraagd.
Verplichte opties
Optie |
Beschrijving |
---|---|
|
De logboekconfiguratie opvragen |
Voorbeeld
$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
IP address: 0.0.0.0
Port: 514
Log level: info
Informatie over het eindpunt /config/logging is te vinden in de API documentatie.
De syslogserverconfiguratie kan als volgt worden ingesteld.
Verplichte opties
Optie |
Beschrijving |
---|---|
|
Het IP-adres van de nieuwe logboekbestemming |
|
De poort van de nieuwe logboekbestemming |
|
Het nieuwe logboekniveau |
Voorbeeld
$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443
Informatie over het eindpunt /config/logging is te vinden in de API documentatie.
Backup#
De NetHSM Gebruikersgegevens kunnen worden opgeslagen in een back-up bestand. Dit backupbestand bevat alle Gebruikersgegevens, namelijk Configuratieopslag, Authenticatieopslag, Domeinsleutelopslag en Sleutelopslag.
Belangrijk
Een NetHSM-systeemsoftware in Unattended Boot-modus vereist de Unlock Passphrase als deze op een andere NetHSM-hardware wordt hersteld. Raadpleeg het hoofdstuk Unlock Passphrase voor meer informatie.
Belangrijk
Een NetHSM in Unattended Boot modus staat na een restore in dezelfde modus.
Voordat een back-up kan worden gestart, moet de Backup Passphrase worden ingesteld. De Backup Passphrase wordt gebruikt om de gegevens in het back-upbestand te coderen.
De reservewachtzin kan als volgt worden ingesteld.
Optionele opties
Optie |
Beschrijving |
---|---|
|
De nieuwe wachtwoordzin voor de back-up |
Voorbeeld
$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
Passphrase:
Repeat for confirmation:
Updated the backup passphrase for NetHSM localhost:8443
Informatie over het eindpunt /config/backup-passphrase kan worden gevonden in de API-documentatie.
Notitie
Dit commando vereist de authenticatie van een gebruiker met de rol Backup. Zie hoofdstuk Rollen voor meer informatie.
De back-up kan als volgt worden uitgevoerd.
Argumenten
Argument |
Beschrijving |
---|---|
|
Back-up bestand |
Voorbeeld
$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup
Informatie over het eindpunt /system/backup is te vinden in de API-documentatie.
Notitie
Dit backupbestand kan worden teruggezet op een niet-geprovisioneerde NetHSM-instantie:
Herstel#
De NetHSM kan worden hersteld vanuit een back-upbestand.
Notitie
De NetHSM moet zich in een Unprovisioned State bevinden.
Het herstel kan als volgt worden toegepast.
Optionele opties
Optie |
Beschrijving |
---|---|
|
De Backup Passphrase |
|
De in te stellen systeemtijd (Formaat: |
Belangrijk
Zorg ervoor dat de tijd van uw lokale computer correct is ingesteld. Om een andere tijd in te stellen, moet u deze handmatig opgeven.
Argumenten
Argument |
Beschrijving |
|
---|---|---|
|
Voorbeeld
$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443
Informatie over het eindpunt /system/restore is te vinden in de API documentatie.
Update#
Updates voor de NetHSM kunnen in twee stappen worden geïnstalleerd. Eerst moet de update-image worden geüpload naar de NetHSM. De image wordt automatisch gecontroleerd en gevalideerd.
Waarschuwing
Er kan gegevensverlies optreden als gevolg van de installatie van een beta-update!
Het updatebestand kan als volgt worden geüpload.
Argumenten
Argument |
Beschrijving |
---|---|
|
Bestand bijwerken |
Voorbeeld
$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.cpio
Image /tmp/nethsm-update.img.cpio uploaded to NetHSM localhost:8443
Informatie over het eindpunt /system/update is te vinden in de API-documentatie.
Daarna kan de update worden toegepast of afgebroken. Zie hieronder de gewenste optie.
De update kan als volgt worden toegepast (vastgelegd).
Voorbeeld
$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443
Informatie over het eindpunt /system/commit-update kan worden gevonden in de API-documentatie.
De update kan als volgt worden geannuleerd.
Voorbeeld
$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443
Informatie over het eindpunt /system/cancel-update is te vinden in de API-documentatie.
Opnieuw opstarten en afsluiten#
De NetHSM kan opnieuw worden opgestart en afgesloten, hetzij op afstand, hetzij met de herstart- en uitschakelknop op de voorkant van de NetHSM-hardware.
De reboot op afstand kan als volgt worden geïnitieerd.
Voorbeeld
$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot
Informatie over het eindpunt /system/reboot is te vinden in de API-documentatie.
De uitschakeling op afstand kan als volgt worden geïnitieerd.
Voorbeeld
$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown
Informatie over het eindpunt /system/shutdown is te vinden in de API-documentatie.
Terugzetten naar fabrieksinstellingen#
De NetHSM kan worden gereset naar de fabrieksinstellingen. Tijdens dit proces worden alle gebruikersgegevens gewist.
De reset naar de fabrieksinstellingen kan als volgt worden uitgevoerd.
Voorbeeld
$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset
Informatie over het eindpunt /system/factory-reset kan worden gevonden in de API documentatie.
Gebruikersbeheer#
Rollen#
De NetHSM staat de scheiding van taken toe door het gebruik van verschillende rollen. Aan elke op de NetHSM geconfigureerde gebruikersaccount is een van de volgende rollen toegewezen.
Rol |
Beschrijving |
---|---|
Administrator |
Een gebruikersaccount met deze rol heeft toegang tot alle door de NetHSM geboden operaties, behalve tot operaties voor sleutelgebruik, d.w.z. ondertekening en decodering van berichten. |
Operator |
R-Operator: Een gebruikersaccount met deze rol heeft toegang tot alle sleutelgebruikoperaties, een alleen-lezen subset van sleutelbeheeroperaties en gebruikersbeheeroperaties die alleen wijzigingen voor hun eigen account toestaan. |
Metrics |
Een gebruikersaccount met deze rol heeft alleen toegang tot alleen-lezen metriekbewerkingen. |
Backup |
Een gebruikersaccount met deze rol heeft alleen toegang tot de handelingen die nodig zijn om een systeemback-up te starten. |
Notitie
In een toekomstige versie kunnen extra rollen worden ingevoerd.
Gebruiker toevoegen#
Voeg een gebruikersaccount toe aan de NetHSM. Elk gebruikersaccount heeft een Rol, die gespecificeerd moet worden. Zie hoofdstuk Rollen voor meer informatie over Rollen.
Notitie
De NetHSM wijst een willekeurig gebruikers-ID toe als er geen is opgegeven.
Een gebruikersaccount kan als volgt worden toegevoegd.
Verplichte opties
Optie |
Beschrijving |
---|---|
|
De echte naam van de gebruiker |
|
De Rol van de nieuwe gebruiker |
|
De wachtwoordzin van de nieuwe gebruiker |
Optionele opties
Optie |
Beschrijving |
---|---|
|
Het gebruikers-ID van de nieuwe gebruiker |
Voorbeeld
$ nitropy nethsm --host $NETHSM_HOST add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443
Informatie over het eindpunt /users, om een gebruiker aan te maken zonder de gebruikers-ID op te geven, staat in de API documentatie.
Informatie over het eindpunt /users/{UserID}, om een gebruiker aan te maken met opgave van het gebruikers-ID, is te vinden in de API documentatie.
Gebruiker verwijderen#
Een gebruikersaccount van de NetHSM verwijderen.
Waarschuwing
Verwijdering is permanent en kan niet worden teruggedraaid.
Een gebruikersaccount kan als volgt worden verwijderd.
Argumenten
Argument |
Beschrijving |
---|---|
|
De gebruikers-id van de gebruiker. |
Voorbeeld
$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443
Informatie over het eindpunt /users/{UserID} is te vinden in de API documentatie.
Lijst Gebruikers#
Maak een lijst van de gebruikers op de NetHSM.
De lijst kan als volgt worden opgevraagd.
Optionele opties
Optie |
Beschrijving |
---|---|
|
De echte naam en de rol van de gebruiker opvragen |
Voorbeeld
$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:
User ID Real name Role
--------- ----------------- -------------
operator1 Nitrokey Operator Operator
admin admin Administrator
Informatie over het eindpunt /users is te vinden in de API documentatie.
Informatie over het eindpunt /users/{UserID} is te vinden in de API documentatie.
Gebruikerswachtzin#
De wachtwoordzin van een gebruikersaccount kan opnieuw worden ingesteld. Een wachtwoordzin wordt aanvankelijk ingesteld tijdens het toevoegen van een gebruikersaccount.
Notitie
Passphrases moeten >= 10 en <= 200 tekens bevatten.
De gebruikerswachtzin kan als volgt worden ingesteld.
Verplichte opties
Optie |
Beschrijving |
---|---|
|
De gebruikers-ID van de gebruiker |
|
De nieuwe wachtwoordzin van de gebruiker |
Voorbeeld
$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443
Informatie over het eindpunt /users/{UserID}/passphrase is te vinden in de API documentatie.