Administracja¶
W tym rozdziale opisano zadania administracyjne dla użytkowników z rolą Administrator. Więcej informacji na temat tej roli można znaleźć w rozdziale Role.
Ważne
Upewnij się, że przeczytałeś informacje zawarte na początku ` tego dokumentu <index.html>`__ przed rozpoczęciem pracy.
Zarządzanie systemem¶
Informacje o urządzeniu¶
Informacje o sprzedawcy i produkcie NetHSM można uzyskać w następujący sposób.
Przykład
$ nitropy nethsm --host $NETHSM_HOST info
Host: localhost:8443
Vendor: Nitrokey GmbH
Product: NetHSM
Informacje o punkcie końcowym /info można znaleźć w dokumentacji API.
Tryb Boot Mode¶
NetHSM może być używany w trybie Attended Boot lub Unattended Boot.
Tryb Boot Mode |
Opis |
|---|---|
Uczestnik Boot |
NetHSM uruchamia się w stanie _Locked_. Podczas każdego uruchomienia należy wprowadzić Unlock Passphrase, które jest używane do odszyfrowania User Data. Ze względów bezpieczeństwa ten tryb jest zalecany i jest to tryb domyślny dla świeżo udostępnionego systemu. |
Rozruch nienadzorowany |
System uruchamia się w trybie nienadzorowanym bez konieczności wprowadzania Unlock Passphrase do stanu _Operational_. Użyj tego trybu, jeśli wymagania dotyczące dostępności nie mogą być spełnione w trybie Attended Boot. |
Ostrzeżenie
Niezależnie od trybu rozruchu, hasło odblokowujące ** zachowuje swoją ważność i jest wymagane do przywracania kopii zapasowych na innym sprzęcie. Hasło odblokowujące ** należy zawsze przechowywać w bezpiecznym miejscu.
Bieżący tryb rozruchu można uzyskać w następujący sposób.
Przykład
$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
Unattended boot: off
Informacje o punkcie końcowym /config/unattended-boot można znaleźć w dokumentacji API.
Tryb rozruchu można zmienić w następujący sposób. Przy następnym uruchomieniu NetHSM zachowa się odpowiednio.
Argumenty
Argument |
Opis |
|---|---|
Status |
Włącza lub wyłącza Nienadzorowane uruchamianie. Może mieć wartość |
Przykład
$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443
Informacje o punkcie końcowym /config/unattended-boot można znaleźć w dokumentacji API.
Państwo¶
Oprogramowanie NetHSM ma cztery stany: Unprovisioned, Provisioned, Locked i Operational.
Państwo |
Opis |
|---|---|
Niezapisany |
NetHSM bez konfiguracji (domyślne ustawienia fabryczne) |
Zapewnione |
NetHSM z konfiguracją. Stan Provisioned oznacza stan Operational lub Locked. |
Operacja |
NetHSM z konfiguracją i gotowy do wykonywania poleceń. Stan Operational oznacza stan Provisioned. |
Zablokowany |
NetHSM z konfiguracją, ale zaszyfrowanymi i niedostępnymi magazynami danych. Zazwyczaj następnym krokiem jest odblokowanie systemu. Stan Locked implikuje stan Provisioned. |
Stany i przejścia w ramach NetHSM¶
Aktualny stan urządzenia NetHSM można odczytać w następujący sposób.
Przykład
$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned
Informacje o punkcie końcowym /health/state można znaleźć w dokumentacji API.
Nowy moduł NetHSM znajduje się w stanie Unprovisioned, a po aprowizacji przechodzi w stan Operational. Konfiguracja NetHSM została opisana w rozdziale Konfiguracja.
Urządzenie NetHSM w stanie Operational można ponownie zablokować w celu jego ochrony w następujący sposób.
Przykład
$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked
Informacje o punkcie końcowym /lock można znaleźć w dokumentacji API.
Urządzenie NetHSM w stanie Locked można odblokować w następujący sposób. Gdy moduł NetHSM znajduje się w stanie _Locked_, żadne inne operacje nie są możliwe. Następnie NetHSM znajduje się w stanie _Operational_.
Przykład
$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked
Informacje o punkcie końcowym /unlock można znaleźć w dokumentacji API.
Odblokuj hasło¶
Fraza Unlock Passphrase [hasło odblokowujące] służy do uzyskania klucza Unlock Key [klucz odblokowujący], jeśli urządzenie NetHSM jest w stanie Locked [zablokowane]. Passphrase* [hasło odblokowujące] jest ustawiane początkowo podczas tworzenia urządzenia NetHSM.
Ostrzeżenie
Hasła odblokowującego nie można zresetować bez znajomości aktualnej wartości. Jeśli hasło odblokowujące zostanie utracone, nie można go zresetować do nowej wartości ani odblokować NetHSM.
Frazę Unlock Passphrase można ustawić w następujący sposób.
Opcje dodatkowe.
Opcja |
Opis |
|---|---|
|
Nowe hasło odblokowujące |
|
Bieżące hasło odblokowujące |
|
Nie pytaj o potwierdzenie przed zmianą hasła. |
Przykład
$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443
Informacje o punkcie końcowym /config/unlock-passphrase można znaleźć w dokumentacji API.
Certyfikat TLS¶
Certyfikat TLS jest używany dla REST API opartego na protokole HTTPS, a więc również przez nitropy. W trakcie zapisywania tworzony jest samodzielnie podpisany certyfikat. Certyfikat można zastąpić, np. podpisanym certyfikatem z urzędu certyfikacji (CA). W takim przypadku należy wygenerować Certificate Signing Request (CSR). Po podpisaniu certyfikat należy zaimportować do urządzenia NetHSM.
Zmiana jest konieczna tylko wtedy, gdy certyfikat ma zostać zastąpiony. Taką zmianą może być zastąpienie go podpisanym certyfikatem z urzędu certyfikacji (CA).
Certyfikat TLS można pobrać w następujący sposób.
Wymagane opcje.
Opcja |
Opis |
|---|---|
|
Uzyskanie certyfikatu dla interfejsu TLS NetHSM |
Przykład
$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----
Informacje o punkcie końcowym /config/tls/cert.pem można znaleźć w dokumentacji API.
Certyfikat TLS można wygenerować w następujący sposób.
Wymagane opcje.
Opcja |
Opis |
|---|---|
|
Typ dla wygenerowanego klucza |
|
Długość wygenerowanego klucza |
Przykład
$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443
Informacje o punkcie końcowym /config/tls/generate można znaleźć w dokumentacji API.
Certificate Signing Request (CSR) dla certyfikatu można wygenerować w następujący sposób.
Wymagane opcje.
Opcja |
Opis |
|---|---|
|
Generowanie CSR dla certyfikatu NetHSM TLS |
|
Nazwa kraju |
|
Nazwa państwa lub województwa |
|
Nazwa miejscowości |
|
Nazwa organizacji |
|
Nazwa jednostki organizacyjnej |
|
Nazwa zwyczajowa |
|
Adres e-mail. |
Przykład
$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----
Informacje o punkcie końcowym /config/tls/csr.pem można znaleźć w dokumentacji API.
Certyfikat można zastąpić w następujący sposób.
Wymagane opcje.
Opcja |
Opis |
|---|---|
|
Ustawianie certyfikatu dla interfejsu NetHSM TLS |
Argumenty
Argument |
Opis |
|---|---|
|
Plik z certyfikatami |
Przykład
nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate
Informacje o punkcie końcowym /config/tls/csr.pem można znaleźć w dokumentacji API.
Sieć¶
Konfiguracja sieci określa ustawienia używane dla Portu sieciowego.
Informacja
This settings do not configure the BMC Network Port on the NetHSM 1.
Konfigurację sieci można pobrać w następujący sposób.
Wymagane opcje.
Opcja |
Opis |
|---|---|
|
Zapytanie o konfigurację sieci |
Przykład
$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
IP address: 192.168.1.1
Netmask: 255.255.255.0
Gateway: 0.0.0.0
Informacje o punkcie końcowym /config/network można znaleźć w dokumentacji API.
Ustaw konfigurację sieci w następujący sposób.
Informacja
Urządzenie NetHSM nie obsługuje protokołu DHCP (Dynamic Host Configuration Protocol).
Informacja
NetHSM nie obsługuje protokołu IPv6 (Internet Protocol version 6).
Wymagane opcje.
Opcja |
Opis |
|---|---|
|
Nowy adres IP |
|
Nowa maska sieci |
|
Nowa brama |
Przykład
$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443
Informacje o punkcie końcowym /config/network można znaleźć w dokumentacji API.
Czas¶
W konfiguracji czasu ustawia się czas systemowy oprogramowania NetHSM. Zazwyczaj nie jest wymagane ustawianie czasu systemowego, ponieważ jest on ustawiany podczas tworzenia rezerw.
Konfigurację czasu można odzyskać w następujący sposób.
Wymagane opcje.
Opcja |
Opis |
|---|---|
|
Zapytanie o czas systemowy |
Przykład
$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time: 2022-08-17 11:40:00+00:00
Informacje o punkcie końcowym /config/time można znaleźć w dokumentacji API.
Ustawić godzinę pracy urządzenia NetHSM.
Ważne
Upewnij się, że przekazujesz czas w strefie czasowej UTC.
Argumenty
Argument |
Opis |
|---|---|
|
Czas systemowy do ustawienia (Format: YYYY-MM-DDTHH:MM:SSZ) |
Przykład
$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443
Informacje o punkcie końcowym /config/time można znaleźć w dokumentacji API.
Metryki¶
NetHSM rejestruje metryki parametrów systemu. Więcej informacji na temat każdej metryki można znaleźć na stronie Metrics.
Metryki mogą być pobierane w następujący sposób.
Wymagana rola.
Ta operacja wymaga uwierzytelnienia przy użyciu roli Metrics.
Przykład
$ nitropy nethsm -h $NETHSM_HOST metrics
Metric Value
---------------------------- --------
client connections 0
established state 6
external.received bytes 989931
external.received packets 13239
external.transmitted bytes 25908953
external.transmitted packets 22037
free chunk count 322
gc compactions 0
gc major bytes 21348352
gc major collections 35
gc minor collections 2652
http response 200 28
http response 201 1
http response 204 1
http response 400 1
http response 403 1
http response 404 145
http response 412 1
http response time 0.084998
http response total 178
internal.received bytes 66541
internal.received packets 1130
internal.transmitted bytes 63802
internal.transmitted packets 1133
kv write 2
log errors 3
log warnings 3
maximum allocated space 64528384
maximum releasable bytes 1216
mmapped region count 0
new sleeper size 1
non-mmapped allocated bytes 64528384
sleep queue size 11
syn-rcvd state 0
timers 2
total allocated space 43940832
total client 1
total established 515
total free space 20587552
total sleeper size 12
total syn-rcvd 514
total timers 526
uptime 17626
Informacje o punkcie końcowym /metrics można znaleźć w dokumentacji API.
Rejestrowanie¶
Urządzenie NetHSM może rejestrować zdarzenia systemowe na porcie szeregowym lub na serwerze syslog w sieci.
Ważne
W przypadku każdego wdrożenia produkcyjnego dziennik NetHSM powinien być stale monitorowany, aby zapewnić natychmiastowe powiadomienie o wszelkich potencjalnych problemach związanych z bezpieczeństwem.
Konfigurację serwera syslog można pobrać w następujący sposób.
Wymagane opcje.
Opcja |
Opis |
|---|---|
|
Zapytanie o konfigurację logowania |
Przykład
$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
IP address: 0.0.0.0
Port: 514
Log level: info
Informacje o punkcie końcowym /config/logging można znaleźć w dokumentacji API.
Konfiguracja serwera syslog może być ustawiona w następujący sposób.
Wymagane opcje.
Opcja |
Opis |
|---|---|
|
Adres IP nowego miejsca docelowego logowania |
|
Port nowego miejsca docelowego logowania |
|
Nowy poziom dziennika |
Przykład
$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443
Informacje o punkcie końcowym /config/logging można znaleźć w dokumentacji API.
Konsola szeregowa działa od samego początku działania sprzętu NetHSM. Obejmuje zdarzenia z firmware i oprogramowania NetHSM.
Ustawienia połączenia konsoli szeregowej są następujące.
Ustawienie |
Wartość |
|---|---|
Szybkość transmisji |
115200 |
Bity danych |
8 |
Bity stopu |
1 |
Parzystość |
Brak |
Kontrola przepływu |
Brak |
Kopia zapasowa¶
Dane użytkownika NetHSM User Data można zapisać w pliku kopii zapasowej. Plik kopii zapasowej zawiera wszystkie User Data, czyli Configuration Store, Authentication Store, Domain Key Store i Key Store.
Ważne
Oprogramowanie systemowe NetHSM w trybie Unattended Boot będzie wymagało Unlock Passphrase jeśli zostanie przywrócone na innym sprzęcie NetHSM. Więcej informacji można znaleźć w rozdziale Unlock Passphrase.
Ważne
NetHSM pracujący w trybie Unattended Boot będzie pracował w tym samym trybie po przywróceniu systemu.
Przed rozpoczęciem tworzenia kopii zapasowej należy ustawić Backup Passphrase [hasło dostępu do kopii zapasowej]. Służy ona do szyfrowania danych w pliku kopii zapasowej.
Ostrzeżenie
Hasła kopii zapasowej nie można zresetować bez znajomości bieżącej wartości. Jeśli hasło kopii zapasowej zostanie utracone, nie można go zresetować do nowej wartości ani przywrócić utworzonych kopii zapasowych.
Hasło zapasowe można ustawić w następujący sposób.
Opcje dodatkowe.
Opcja |
Opis |
|---|---|
|
Nowa fraza hasła do kopii zapasowej |
|
Bieżące hasło kopii zapasowej (lub pusty ciąg, jeśli nie zostało ustawione). |
|
Nie pytaj o potwierdzenie przed zmianą hasła. |
Przykład
$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443
Informacje o punkcie końcowym /config/backup-passphrase można znaleźć w dokumentacji API.
Kopia zapasowa może być wykonana w następujący sposób.
Wymagana rola.
Ta operacja wymaga uwierzytelnienia przy użyciu roli Backup.
Argumenty
Argument |
Opis |
|---|---|
|
Plik kopii zapasowej |
Przykład
$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup
Informacje o punkcie końcowym /system/backup można znaleźć w dokumentacji API.
Przywróć¶
Program NetHSM można przywrócić z pliku kopii zapasowej.
If the NetHSM is Unprovisioned it will restore all User Data including system configuration and reboot. Therefore the system may get different network settings, TLS certificate and Unlock Passphrase afterwards. The NetHSM ends in a Locked state.
Jeśli NetHSM jest Provisioned przywróci użytkowników i klucze użytkowników, ale nie konfigurację systemu. W takim przypadku wszyscy wcześniej istniejący użytkownicy i klucze użytkowników zostaną usunięte. NetHSM kończy pracę w stanie Operational.
Przywracanie może być stosowane w następujący sposób.
Opcje dodatkowe.
Opcja |
Opis |
|---|---|
|
Hasło Backup Passphrase. |
|
Czas systemowy do ustawienia (Format: |
Ważne
Upewnij się, że czas lokalnego komputera jest prawidłowo ustawiony. Aby ustawić inny czas, należy podać go ręcznie.
Argumenty
Argument |
Opis |
|
|---|---|---|
|
||
Przykład
$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443
Informacje o punkcie końcowym /system/restore można znaleźć w dokumentacji API.
Replication¶
NetHSM is stateless, so that several NetHSM devices can be used to process extremely high throughput and provide high availability. The PKCS#11 module supports round-robin schedule for a cluster of NetHSM instances. Multiple instances of NetHSM can be synchronized via encrypted backups. For this a separate system downloads and uploads backup files between the instances. The synchronization can be easily scripted by using pynitrokey as shown in this example. This separate system doesn’t have access to the backed up data in clear text because the backup files are encrypted twice. The separate system is in possession of the backup passphrase only but not of the Domain Key resp. Unlock Passphrase which is the second layer of encryption. See the system design for further details.
Aktualizacja oprogramowania¶
Aktualizacje oprogramowania można zainstalować w dwuetapowym procesie. Najpierw obraz aktualizacji musi zostać przesłany do Provisioned NetHSM. NetHSM weryfikuje autentyczność, integralność i numer wersji obrazu. Opcjonalnie NetHSM wyświetla informacje o wersji, jeśli takie istnieją.
Ostrzeżenie
Utrata danych może nastąpić w wyniku instalacji aktualizacji beta! Stabilne wersje nie powinny powodować utraty danych. Zaleca się jednak utworzenie kopii zapasowej przed aktualizacją.
Ostrzeżenie
Upewnij się, że zainstalowałeś właściwy plik aktualizacji dla swojego modelu sprzętu NetHSM 1 lub NetHSM 2. Model można sprawdzić w informacjach systemowych ` <administration#system-information>` __.
Plik aktualizacyjny można wgrać w następujący sposób.
Argumenty
Argument |
Opis |
|---|---|
|
Plik aktualizacyjny |
Przykład
$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin
Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443
Informacje o punkcie końcowym /system/update można znaleźć w dokumentacji API.
Następnie aktualizacja może zostać zastosowana lub przerwana. Należy zapoznać się z wybraną opcją poniżej. Jeśli NetHSM zostanie wyłączony przed operacją „commit”, plik aktualizacji musi zostać przesłany ponownie.
Ważne
Jeśli przesyłanie obrazu aktualizacji nie powiedzie się z Error: NetHSM request failed: Bad request -- malformed image, wykonaj poniższe czynności.
Upewnij się, że masz prawidłowy plik aktualizacji, sprawdzając go za pomocą dostarczonego podpisu.
Upewnij się, że nie masz włączonego wysokiego poziomu dziennika, takiego jak
DEBUG. Więcej informacji na temat konfiguracji poziomu dziennika można znaleźć w rozdziale Logowanie.Uruchom ponownie urządzenie, aby zwolnić używaną pamięć.
Aktualizację można zastosować (zatwierdzić) w następujący sposób. Jakakolwiek migracja danych jest wykonywana tylko po NetHSM pomyślnie uruchomił nową wersję oprogramowania systemowego.
Przykład
$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443
Informacje o punkcie końcowym /system/commit-update można znaleźć w dokumentacji API.
Aktualizację można anulować w następujący sposób.
Przykład
$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443
Informacje o punkcie końcowym /system/cancel-update można znaleźć w dokumentacji API.
Informacje o systemie¶
Informacje o systemie, takie jak wersja oprogramowania sprzętowego, wersja oprogramowania i wersja sprzętu, można uzyskać w następujący sposób.
Przykład
$ nitropy nethsm -h $NETHSM_HOST system-info
Host: 192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1
Build tag: v2.0-0-g17ad829
Attestation keys
P256: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEup7z8QYvkzkBuLryG1SgVQjlPhSFW3PzYn1l3uLNd+pSBxX0OBpslcbnmPFr5wSs/iP46+H8MFlEAYUkYv6uuQ==
P384: MHYwEAYHKoZIzj0CAQYFK4EEACIDYgAEfQiurLvEmjsAmumRtIqu70HKehRo8A/nVrqQGiR8Rcr+SUujwgtQByORX5BoRtv4sZNJW4FyLGqvXCIF9IV1puob2+9Qq5oEjz4x4malLbFdyXDmQK8o2NpvcbgOr215
Platform Configuration Registers
0: 0f6064779fba55b102a6ecc20498c2020deaf2aebef23716ec293b25873647f8
2: 2b0d25a4a92b4df5205742954243db9d306a4c3277a6b6958bcbaf3d47def26f
Informacje o punkcie końcowym /system/info można znaleźć w dokumentacji API.
NetHSM 1 identyfikuje się jako wersja sprzętowa prodrive-hermes-1, a NetHSM 2 jako msi-z790-1.
Ponowne uruchomienie i wyłączenie¶
Urządzenie NetHSM można zrestartować i wyłączyć, zarówno zdalnie, jak i za pomocą przycisku restartu i wyłączenia znajdującego się z przodu urządzenia.
Zdalny restart może być zainicjowany w następujący sposób.
Przykład
$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot
Informacje o punkcie końcowym /system/reboot można znaleźć w dokumentacji API.
Zdalne wyłączenie może być zainicjowane w następujący sposób.
Przykład
$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown
Informacje o punkcie końcowym /system/shutdown można znaleźć w dokumentacji API.
Resetowanie do ustawień fabrycznych¶
Urządzenie Provisioned NetHSM można zresetować do domyślnych ustawień fabrycznych. W takim przypadku wszystkie dane użytkownika są bezpiecznie usuwane, a NetHSM uruchamia się w stanie Unprovisioned. Następnie można udostępnić NetHSM.
Przywrócenie ustawień fabrycznych można wykonać w następujący sposób.
Przykład
$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset
Informacje o punkcie końcowym /system/factory-reset można znaleźć w dokumentacji API.
Zarządzanie użytkownikami¶
Role¶
NetHSM umożliwia rozdzielenie obowiązków poprzez zastosowanie różnych ról. Każde konto użytkownika skonfigurowane w NetHSM ma przypisaną jedną z następujących Roles.
Rola |
Opis |
|---|---|
Administrator |
Konto użytkownika z tą rolą ma dostęp do wszystkich operacji wykonywanych przez NetHSM, z wyjątkiem operacji związanych z użyciem kluczy, tj. podpisywania i odszyfrowywania wiadomości. |
Operator |
Konto użytkownika z tą rolą ma dostęp do wszystkich operacji związanych z używaniem kluczy, podzbioru operacji zarządzania kluczami tylko do odczytu oraz operacji zarządzania użytkownikami umożliwiających zmiany tylko na własnym koncie. |
Metryka |
Konto użytkownika z tą Rolą ma dostęp tylko do operacji metryki w trybie read-only. |
Backup |
Konto użytkownika z tą Rolą ma dostęp tylko do operacji wymaganych do zainicjowania kopii zapasowej systemu. |
Zobacz Przestrzenie nazw i Tagi, aby uzyskać bardziej szczegółowe ograniczenia dostępu.
Informacja
W przyszłym wydaniu mogą zostać wprowadzone dodatkowe Role.
Dodaj użytkownika¶
Dodaj konto użytkownika do NetHSM. Każde konto użytkownika posiada rolę Role, którą należy określić.* Więcej informacji na temat ról *można znaleźć w rozdziale Role .
Optionally, a user can be assigned to a Namespace.
Informacja
Identyfikator użytkownika musi być alfanumeryczny. NetHSM przypisuje losowy identyfikator użytkownika, jeśli żaden nie został określony.
Konto użytkownika można dodać w następujący sposób.
Wymagane opcje.
Opcja |
Opis |
|---|---|
|
Prawdziwa nazwa nowego użytkownika |
|
Przestrzeń nazw nowego użytkownika |
|
Rola nowego użytkownika |
|
Hasło dostępu dla nowego użytkownika |
Opcje dodatkowe.
Opcja |
Opis |
|---|---|
|
Identyfikator nowego użytkownika |
Przykład
$ nitropy nethsm --host $NETHSM_HOST add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443
Domyślnie przestrzeń nazw jest dziedziczona po użytkowniku, który dodaje nowego użytkownika. Tylko użytkownicy bez przestrzeni nazw mogą wybrać inną przestrzeń nazw dla nowych użytkowników. Przestrzeń nazw jest używana jako przedrostek nazwy użytkownika, na przykład namespace~user. Dlatego ta sama nazwa użytkownika może być używana w kilku przestrzeniach nazw.
Usuń użytkownika¶
Usuwanie konta użytkownika z systemu NetHSM.
Ostrzeżenie
Usunięcie jest trwałe i nie można go przywrócić.
Konto użytkownika można usunąć w następujący sposób.
Argumenty
Argument |
Opis |
|---|---|
|
Id użytkownika. |
Przykład
$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443
Informacje o punkcie końcowym /users/{UserID} można znaleźć w dokumentacji API.
Lista użytkowników¶
Sporządzić wykaz użytkowników w systemie NetHSM.
Listę można odzyskać w następujący sposób.
Opcje dodatkowe.
Opcja |
Opis |
|---|---|
|
Zapytanie o prawdziwą nazwę i rolę użytkownika |
Przykład
$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:
User ID Real name Role
--------- ----------------- -------------
operator1 Nitrokey Operator Operator
admin admin Administrator
Użytkownicy w przestrzeni nazw mogą widzieć tylko użytkowników w tej samej przestrzeni nazw.
Hasło użytkownika¶
Hasło dla konta użytkownika może zostać zresetowane. Hasło jest początkowo ustawiane podczas dodawania konta użytkownika.
Informacja
Passphrases muszą mieć >= 10 i <= 200 znaków.
Hasło użytkownika można ustawić w następujący sposób.
Wymagane opcje.
Opcja |
Opis |
|---|---|
|
Identyfikator użytkownika |
|
Nowe hasło użytkownika |
Przykład
$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443
Informacje o punkcie końcowym /users/{UserID}/passphrase można znaleźć w dokumentacji API.
Przestrzenie nazw¶
Similarly to the concept of partitions, NetHSM supports the more flexible Namespaces which group keys, administrators, and users on a NetHSM into separate subsets. Users can only see and use keys in the same Namespace and can only see users in the same Namespace. It is not possible to see users and to see and use keys of other Namespaces. When a new user is created, it inherits the Namespace of the user that created it. The available storage capacity is shared between all Namespaces. An practically unlimited amount of Namespaces can be used without requiring additional licenses.
Przestrzenie nazw zostały wprowadzone w wersji 2.0 oprogramowania. Podczas migracji z wcześniejszej wersji oprogramowania wszyscy istniejący użytkownicy i klucze będą bez przestrzeni nazw.
Użytkownicy z rolą Administrator ` <administration#roles>`__ są również określani jako R-Administrator, jeśli nie znajdują się w przestrzeni nazw, lub N-Administrator, jeśli znajdują się w przestrzeni nazw.
Specjalne zasady dotyczą użytkowników R-Administrator: Mogą oni ustawiać przestrzeń nazw dla nowych użytkowników, wyświetlać listę wszystkich użytkowników i odpytywać o przestrzeń nazw użytkownika. Ponadto dostęp do konfiguracji NetHSM mają tylko użytkownicy R-Administrator. R-Administratorzy nie widzą kluczy w przestrzeni nazw.
Aby móc generować klucze i użytkowników w przestrzeni nazw, przestrzeń nazw musi zostać utworzona przez użytkownika R-Administrator. Po utworzeniu przestrzeni nazw użytkownicy R-Administrator nie mogą już tworzyć, usuwać ani modyfikować użytkowników w tej przestrzeni nazw. Pozwala to chronić klucze przestrzeni nazw przed dostępem R-Administratora (również pośrednio poprzez dodanie nowego użytkownika w imieniu lub zresetowanie poświadczeń istniejącego użytkownika lub administratora). Dlatego konieczne jest utworzenie użytkownika N-Administrator dla przestrzeni nazw przed utworzeniem przestrzeni nazw. Użytkownicy R-Administrator mogą również usunąć przestrzeń nazw ze wszystkimi zawartymi w niej kluczami.
Lista przestrzeni nazw¶
Lista przestrzeni nazw w NetHSM.
Listę można odzyskać w następujący sposób.
Przykład
$ nitropy nethsm --host $NETHSM_HOST list-namespaces
Namespaces on NetHSM localhost:8843:
- ns1
- ns2
Informacje na temat punktu końcowego /namespaces można znaleźć w dokumentacji API.
Dodaj przestrzeń nazw¶
Dodaj przestrzeń nazw do NetHSM.
Użytkownicy R-Administrator mogą tworzyć nowe konta w przestrzeni nazw jeszcze przed jej utworzeniem. Po utworzeniu tylko użytkownicy N-Administrator mogą zarządzać użytkownikami w Przestrzeni nazw. Tworzenie i używanie kluczy w Przestrzeni nazw jest możliwe dopiero po jej dodaniu.
Informacja
Identyfikator przestrzeni nazw musi być alfanumeryczny. NetHSM przypisuje losowy identyfikator użytkownika, jeśli żaden nie został określony.
Przestrzeń nazw można dodać w następujący sposób.
Argumenty
Argument |
Opis |
|
|---|---|---|
|
||
Przykład
$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1
Namespace ns1 added to NetHSM localhost:8443
Informacje na temat punktu końcowego /namespaces/{NamespaceID} można znaleźć w dokumentacji API.
Usuń przestrzeń nazw¶
Usunięcie przestrzeni nazw z NetHSM.
Usunięcie przestrzeni nazw powoduje również usunięcie wszystkich kluczy tej przestrzeni. Pozostali użytkownicy w przestrzeni nazw nie mogą dodawać kluczy, dopóki przestrzeń nazw nie zostanie ponownie dodana.
Przestrzeń nazw można usunąć w następujący sposób.
Argumenty
Argument |
Opis |
|---|---|
|
Przestrzeń nazw do usunięcia. |
Przykład
$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1
Namespace ns1 deleted on NetHSM localhost:8443
Informacje na temat punktu końcowego /namespaces/{NamespaceID} można znaleźć w dokumentacji API.