Administracja#

Ten rozdział opisuje zadania administracyjne dla użytkowników z rolą Administrator. Proszę zapoznać się z rozdziałem Role, aby dowiedzieć się więcej o tej roli.

Ważne

Upewnij się, że przeczytałeś informacje zawarte na początku ` tego dokumentu <index.html>`__ przed rozpoczęciem pracy.

Zarządzanie systemem#

Informacje o urządzeniu#

Informacje o sprzedawcy i produkcie NetHSM można uzyskać w następujący sposób.

Przykład

$ nitropy nethsm --host $NETHSM_HOST info
Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Tryb Boot Mode#

NetHSM może być używany w trybie Attended Boot lub Unattended Boot.

Tryb Boot Mode

Opis

Przygotowany Boot

Podczas każdego uruchomienia należy wprowadzić Unlock Passphrase, który jest wykorzystywany do odszyfrowania Danych użytkownika. Ze względów bezpieczeństwa ten tryb jest zalecany.

Niezależny Boot

Nie jest wymagana fraza Unlock Passphrase, dlatego NetHSM może uruchamiać się bez nadzoru. Użyj tego trybu, jeśli wymagania dotyczące dostępności nie mogą być spełnione w trybie Attended Boot.

Bieżący tryb rozruchu można uzyskać w następujący sposób.

Przykład

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
   Unattended boot: off

Tryb startowy można zmienić w następujący sposób.

Argumenty

Argument

Opis

Status

Włącza lub wyłącza Nienadzorowane uruchamianie. Może mieć wartość on lub off.

Przykład

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443

Państwo#

Oprogramowanie NetHSM ma cztery stany: Unprovisioned, Provisioned, Locked i Operational.

Państwo

Opis

Niezapisany

NetHSM bez konfiguracji (domyślne ustawienia fabryczne)

Zapewnione

NetHSM z konfiguracją. Stan Provisioned oznacza stan Operational lub Locked.

Operacja

NetHSM z konfiguracją i gotowy do wykonywania poleceń. Stan Operational oznacza stan Provisioned.

Zablokowany

NetHSM z konfiguracją, ale zabezpieczony (wymaga odblokowania). Stan Operational oznacza stan Provisioned.

Stany i przejścia w ramach NetHSM

Stany i przejścia w ramach NetHSM#


Aktualny stan urządzenia NetHSM można odczytać w następujący sposób.

Przykład

$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned

Nowy NetHSM ma stan Unprovisioned, a po zaopatrzeniu wchodzi w stan Operational. Sposób tworzenia rezerw NetHSM został opisany w rozdziale Provisioning.

Urządzenie NetHSM w stanie Operational można ponownie zablokować w celu jego ochrony w następujący sposób.

Przykład

$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked

NetHSM w stanie Locked można odblokować w następujący sposób.

Przykład

$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked

Odblokuj hasło#

Fraza Unlock Passphrase [hasło odblokowujące] służy do uzyskania klucza Unlock Key [klucz odblokowujący], jeśli urządzenie NetHSM jest w stanie Locked [zablokowane]. Passphrase* [hasło odblokowujące] jest ustawiane początkowo podczas tworzenia urządzenia NetHSM.

Frazę Unlock Passphrase można ustawić w następujący sposób.

Opcje dodatkowe.

Opcja

Opis

-p, --passphrase TEXT

Nowe hasło odblokowujące

Przykład

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
Passphrase:
Repeat for confirmation:
Updated the unlock passphrase for localhost:8443

Certyfikat TLS#

Certyfikat TLS jest używany dla REST API opartego na protokole HTTPS, a więc również przez nitropy. W trakcie zapisywania tworzony jest samodzielnie podpisany certyfikat. Certyfikat można zastąpić, np. podpisanym certyfikatem z urzędu certyfikacji (CA). W takim przypadku należy wygenerować Certificate Signing Request (CSR). Po podpisaniu certyfikat należy zaimportować do urządzenia NetHSM.

Zmiana jest konieczna tylko wtedy, gdy certyfikat ma zostać zastąpiony. Taką zmianą może być zastąpienie go podpisanym certyfikatem z urzędu certyfikacji (CA).

Certyfikat TLS można pobrać w następujący sposób.

Wymagane opcje.

Opcja

Opis

-a, --api.

Ustawianie certyfikatu dla interfejsu NetHSM TLS

Przykład

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----

Certyfikat TLS można wygenerować w następujący sposób.

Wymagane opcje.

Opcja

Opis

-t, --type [RSA|Curve25519|EC_P224|EC_P256|EC_P384|EC_P521]

Typ dla wygenerowanego klucza

-l, --length INTEGER

Długość wygenerowanego klucza

Przykład

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443

Certificate Signing Request (CSR) dla certyfikatu można wygenerować w następujący sposób.

Wymagane opcje.

Opcja

Opis

-a, --api.

Generowanie CSR dla certyfikatu NetHSM TLS

--country TEXT

Nazwa kraju

--state-or-province TEXT

Nazwa państwa lub województwa

--locality TEXT

Nazwa miejscowości

--organization TEXT

Nazwa organizacji

--organizational-unit TEXT

Nazwa jednostki organizacyjnej

--common-name TEXT

Nazwa zwyczajowa

--email-address TEXT

Adres e-mail.

Przykład

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----

Certyfikat można zastąpić w następujący sposób.

Wymagane opcje.

Opcja

Opis

-a, --api.

Ustawianie certyfikatu dla interfejsu NetHSM TLS

Argumenty

Argument

Opis

FILENAME

Plik z certyfikatami

Przykład

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Sieć#

Konfiguracja sieci określa ustawienia używane dla Portu sieciowego.

Informacja

To ustawienie nie konfiguruje Portu sieciowego BMC.

Konfigurację sieci można pobrać w następujący sposób.

Wymagane opcje.

Opcja

Opis

--network

Zapytanie o konfigurację sieci

Przykład

$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Ustaw konfigurację sieci w następujący sposób.

Informacja

Urządzenie NetHSM nie obsługuje protokołu DHCP (Dynamic Host Configuration Protocol).

Informacja

NetHSM nie obsługuje protokołu IPv6 (Internet Protocol version 6).

Wymagane opcje.

Opcja

Opis

-a, --ip-address.

Nowy adres IP

-n, --netmask.

Nowa maska sieci

-n, --netmask.

Nowa brama

Przykład

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443

Czas#

W konfiguracji czasu ustawia się czas systemowy oprogramowania NetHSM. Zazwyczaj nie jest wymagane ustawianie czasu systemowego, ponieważ jest on ustawiany podczas tworzenia rezerw.

Konfigurację czasu można odzyskać w następujący sposób.

Wymagane opcje.

Opcja

Opis

--time

Zapytanie o czas systemowy

Przykład

$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Ustawić godzinę pracy urządzenia NetHSM.

Ważne

Upewnij się, że przekazujesz czas w strefie czasowej UTC.

Argumenty

Argument

Opis

time

Czas systemowy do ustawienia (Format: YYYY-MM-DDTHH:MM:SSZ)

Przykład

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443

Metryki#

NetHSM rejestruje metryki parametrów systemu.

Informacja

To polecenie wymaga uwierzytelnienia użytkownika z rolą Metrics. Proszę zapoznać się z rozdziałem Role, aby dowiedzieć się więcej o roli.

Metryki mogą być pobierane w następujący sposób.

Przykład

$ nitropy nethsm -h $NETHSM_HOST metrics
Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Rejestrowanie#

Urządzenie NetHSM może rejestrować zdarzenia systemowe na porcie szeregowym lub na serwerze syslog w sieci.

Konsola szeregowa działa od samego początku działania sprzętu NetHSM. Obejmuje zdarzenia z firmware i oprogramowania NetHSM.

Ustawienia połączenia konsoli szeregowej są następujące.

Ustawienie

Wartość

Szybkość transmisji

115200

Bity danych

8

Bity stopu

1

Parzystość

Brak

Kontrola przepływu

Brak

Konfigurację serwera syslog można pobrać w następujący sposób.

Wymagane opcje.

Opcja

Opis

--network

Zapytanie o konfigurację logowania

Przykład

$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

Konfiguracja serwera syslog może być ustawiona w następujący sposób.

Wymagane opcje.

Opcja

Opis

-p, --passphrase TEXT

Adres IP nowego miejsca docelowego logowania

-p, --port INTEGER

Port nowego miejsca docelowego logowania

-l, --log-level [debug|info|warning|error].

Nowy poziom dziennika

Przykład

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443

Kopia zapasowa#

Dane użytkownika NetHSM User Data można zapisać w pliku kopii zapasowej. Plik kopii zapasowej zawiera wszystkie User Data, czyli Configuration Store, Authentication Store, Domain Key Store i Key Store.

Ważne

Oprogramowanie systemowe NetHSM w trybie Unattended Boot [nienadzorowanego rozruchu] będzie wymagało podania Unlock Passphrase [frazy odblokowania], jeśli zostanie przywrócone na innym sprzęcie NetHSM. Więcej informacji można znaleźć w rozdziale Unlock Passphrase.

Ważne

NetHSM pracujący w trybie Unattended Boot będzie pracował w tym samym trybie po przywróceniu systemu.

Przed rozpoczęciem tworzenia kopii zapasowej należy ustawić Backup Passphrase [hasło dostępu do kopii zapasowej]. Służy ona do szyfrowania danych w pliku kopii zapasowej.

Hasło zapasowe można ustawić w następujący sposób.

Opcje dodatkowe.

Opcja

Opis

-p, --passphrase TEXT

Nowa fraza hasła do kopii zapasowej

Przykład

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
Passphrase:
Repeat for confirmation:
Updated the backup passphrase for NetHSM localhost:8443

Informacja

To polecenie wymaga uwierzytelnienia użytkownika z rolą Backup. Proszę zapoznać się z rozdziałem Role, aby dowiedzieć się więcej.

Kopia zapasowa może być wykonana w następujący sposób.

Argumenty

Argument

Opis

FILENAME

Plik kopii zapasowej

Przykład

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup

Informacja

Ten plik kopii zapasowej można przywrócić tylko na instancji NetHSM bez wizji.

Przywróć#

Program NetHSM można przywrócić z pliku kopii zapasowej.

Informacja

NetHSM musi znajdować się w stanie Unprovisioned State.

Przywracanie może być stosowane w następujący sposób.

Opcje dodatkowe.

Opcja

Opis

-p, --backup-passphrase passphrase

Hasło Backup Passphrase.

-t, --system-time.

Czas systemowy do ustawienia (Format: YYYY-MM-DDTHH:MM:SSZ).

Ważne

Upewnij się, że czas lokalnego komputera jest prawidłowo ustawiony. Aby ustawić inny czas, należy podać go ręcznie.

Argumenty

Argument

Opis

FILENAME` | Przywrócenie pliku

Przykład

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443

Aktualizacja#

Aktualizacje dla NetHSM można instalować w dwóch etapach. Najpierw należy przesłać obraz aktualizacji do urządzenia NetHSM. Obraz jest sprawdzany i zatwierdzany automatycznie.

Ostrzeżenie

Instalacja aktualizacji w wersji beta może spowodować utratę danych!

Plik aktualizacyjny można wgrać w następujący sposób.

Argumenty

Argument

Opis

FILENAME

Plik aktualizacyjny

Przykład

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.cpio
Image /tmp/nethsm-update.img.cpio uploaded to NetHSM localhost:8443

Następnie można zastosować aktualizację lub ją przerwać. Proszę zapoznać się z żądaną opcją poniżej.

Aktualizacja może być zastosowana (popełniona) w następujący sposób.

Przykład

$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443

Aktualizację można anulować w następujący sposób.

Przykład

$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443

Ponowne uruchomienie i wyłączenie#

Urządzenie NetHSM można zrestartować i wyłączyć, zarówno zdalnie, jak i za pomocą przycisku restartu i wyłączenia znajdującego się z przodu urządzenia.

Zdalny restart może być zainicjowany w następujący sposób.

Przykład

$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

Zdalne wyłączenie może być zainicjowane w następujący sposób.

Przykład

$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Resetowanie do ustawień fabrycznych#

Urządzenie NetHSM można przywrócić do ustawień fabrycznych. Podczas tego procesu wszystkie dane użytkownika zostają usunięte.

Przywrócenie ustawień fabrycznych można wykonać w następujący sposób.

Przykład

$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Zarządzanie użytkownikami#

Role#

NetHSM umożliwia rozdzielenie obowiązków poprzez zastosowanie różnych ról. Każde konto użytkownika skonfigurowane w NetHSM ma przypisaną jedną z następujących Roles.

Rola

Opis

Administrator

Konto użytkownika z tą rolą ma dostęp do wszystkich operacji wykonywanych przez NetHSM, z wyjątkiem operacji związanych z użyciem kluczy, tj. podpisywania i odszyfrowywania wiadomości.

Operator

Konto użytkownika z tą rolą ma dostęp do wszystkich operacji związanych z używaniem kluczy, podzbioru operacji zarządzania kluczami tylko do odczytu oraz operacji zarządzania użytkownikami umożliwiających zmiany tylko na własnym koncie.

Metryka

Konto użytkownika z tą Rolą ma dostęp tylko do operacji metryki w trybie read-only.

Backup

Konto użytkownika z tą Rolą ma dostęp tylko do operacji wymaganych do zainicjowania kopii zapasowej systemu.

Informacja

W przyszłym wydaniu mogą zostać wprowadzone dodatkowe Role.

Dodaj użytkownika#

Dodaj konto użytkownika do NetHSM. Każde konto użytkownika ma przypisaną Rolę, którą należy określić. Więcej informacji na temat Role można znaleźć w rozdziale Roles.

Informacja

NetHSM przypisuje losowy identyfikator użytkownika, jeśli nie został on określony.

Konto użytkownika można dodać w następujący sposób.

Wymagane opcje.

Opcja

Opis

-n, --real-name TEXT

Prawdziwa nazwa użytkownika

-r, --role [Administrator|Operator|Metrics|Backup]

Rola nowego użytkownika

-p, --passphrase TEXT

Hasło dostępu dla nowego użytkownika

Opcje dodatkowe.

Opcja

Opis

-u, --user-id TEXT

Identyfikator nowego użytkownika

Przykład

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Usuń użytkownika#

Usuwanie konta użytkownika z systemu NetHSM.

Ostrzeżenie

Usunięcie jest trwałe i nie można go przywrócić.

Konto użytkownika można usunąć w następujący sposób.

Argumenty

Argument

Opis

USER_ID

Id użytkownika.

Przykład

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443

Lista użytkowników#

Sporządzić wykaz użytkowników w systemie NetHSM.

Listę można odzyskać w następujący sposób.

Opcje dodatkowe.

Opcja

Opis

--details, --no-details.

Zapytanie o prawdziwą nazwę i rolę użytkownika

Przykład

$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Hasło użytkownika#

Hasło dla konta użytkownika może zostać zresetowane. Hasło jest początkowo ustawiane podczas dodawania konta użytkownika.

Informacja

Passphrases muszą mieć >= 10 i <= 200 znaków.

Hasło użytkownika można ustawić w następujący sposób.

Wymagane opcje.

Opcja

Opis

-u, --user-id TEXT

Identyfikator użytkownika

-p, --passphrase TEXT

Nowe hasło użytkownika

Przykład

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Tagi dla użytkowników#

Tagi mogą być używane do ustawiania ograniczeń dostępu do kluczy i są funkcją opcjonalną. Można je przypisać tylko do kont użytkowników z rolą Operator. Operatorzy* widzą wszystkie klucze, ale używają tylko tych, które mają przynajmniej jeden odpowiadający im Tag. Klucz nie może być modyfikowany przez użytkownika Operator.

Aby dowiedzieć się, jak używać Tags na kluczach, zapoznaj się z Tags for Keys.

Tag można dodać w następujący sposób.

Argumenty

Argument

Opis

USER_ID

ID użytkownika, na którym ma być ustawiony tag.

TAG

Znacznik, który ma być ustawiony na identyfikatorze użytkownika.

Przykład

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin
Added tag berlin for user operator1 on the NetHSM localhost:8443

Tag można usunąć w następujący sposób.

Argumenty

Argument

Opis

USER_ID

ID użytkownika, na którym ma być ustawiony tag.

TAG

Znacznik, który ma być ustawiony na identyfikatorze użytkownika.

Przykład

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin
Deleted tag berlin for user operator1 on the NetHSM localhost:8443