Administracja

Ten rozdział opisuje zadania administracyjne dla użytkowników z rolą Administrator. Proszę zapoznać się z rozdziałem Role, aby dowiedzieć się więcej o tej roli.

Ważne

Upewnij się, że przeczytałeś informacje zawarte na początku ` tego dokumentu <index.html>`__ przed rozpoczęciem pracy.

Zarządzanie systemem

Informacje o urządzeniu

Informacje o sprzedawcy i produkcie NetHSM można uzyskać w następujący sposób.

nitropyREST API

Przykład

$ nitropy nethsm --host $NETHSM_HOST info

Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Tryb Boot Mode

NetHSM może być używany w trybie Attended Boot lub Unattended Boot.

Tryb Boot Mode	Opis
Przygotowany Boot	Podczas każdego uruchomienia należy wprowadzić Unlock Passphrase, który jest wykorzystywany do odszyfrowania Danych użytkownika. Ze względów bezpieczeństwa ten tryb jest zalecany.
Niezależny Boot	Nie jest wymagana fraza Unlock Passphrase, dlatego NetHSM może uruchamiać się bez nadzoru. Użyj tego trybu, jeśli wymagania dotyczące dostępności nie mogą być spełnione w trybie Attended Boot.

Bieżący tryb rozruchu można uzyskać w następujący sposób.

nitropyREST API

Przykład

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot

Configuration for NetHSM localhost:8443:
   Unattended boot: off

Tryb startowy można zmienić w następujący sposób.

nitropyREST API

Argumenty

Argument	Opis
Status	Włącza lub wyłącza Nienadzorowane uruchamianie. Może mieć wartość on lub off.

Przykład

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on

Updated the unattended boot configuration for NetHSM localhost:8443

Państwo

Oprogramowanie NetHSM ma cztery stany: Unprovisioned, Provisioned, Locked i Operational.

Państwo	Opis
Niezapisany	NetHSM bez konfiguracji (domyślne ustawienia fabryczne)
Zapewnione	NetHSM z konfiguracją. Stan Provisioned oznacza stan Operational lub Locked.
Operacja	NetHSM z konfiguracją i gotowy do wykonywania poleceń. Stan Operational oznacza stan Provisioned.
Zablokowany	NetHSM z konfiguracją, ale zabezpieczony (wymaga odblokowania). Stan Operational oznacza stan Provisioned.

Stany i przejścia w ramach NetHSM

Aktualny stan urządzenia NetHSM można odczytać w następujący sposób.

nitropyREST API

Przykład

$ nitropy nethsm --host $NETHSM_HOST state

NetHSM localhost:8443 is Unprovisioned

Nowy NetHSM ma stan Unprovisioned, a po zaopatrzeniu wchodzi w stan Operational. Sposób tworzenia rezerw NetHSM został opisany w rozdziale Provisioning.

Urządzenie NetHSM w stanie Operational można ponownie zablokować w celu jego ochrony w następujący sposób.

nitropyREST API

Przykład

$ nitropy nethsm --host $NETHSM_HOST lock

NetHSM localhost:8443 locked

NetHSM w stanie Locked można odblokować w następujący sposób.

nitropyREST API

Przykład

$ nitropy nethsm --host $NETHSM_HOST unlock

NetHSM localhost:8443 unlocked

Odblokuj hasło

Fraza Unlock Passphrase [hasło odblokowujące] służy do uzyskania klucza Unlock Key [klucz odblokowujący], jeśli urządzenie NetHSM jest w stanie Locked [zablokowane]. Passphrase* [hasło odblokowujące] jest ustawiane początkowo podczas tworzenia urządzenia NetHSM.

Frazę Unlock Passphrase można ustawić w następujący sposób.

nitropyREST API

Opcje dodatkowe.

Opcja	Opis
-p, --passphrase TEXT	Nowe hasło odblokowujące

Przykład

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase

Passphrase:
Repeat for confirmation:
Updated the unlock passphrase for localhost:8443

Certyfikat TLS

Certyfikat TLS jest używany dla REST API opartego na protokole HTTPS, a więc również przez nitropy. W trakcie zapisywania tworzony jest samodzielnie podpisany certyfikat. Certyfikat można zastąpić, np. podpisanym certyfikatem z urzędu certyfikacji (CA). W takim przypadku należy wygenerować Certificate Signing Request (CSR). Po podpisaniu certyfikat należy zaimportować do urządzenia NetHSM.

Zmiana jest konieczna tylko wtedy, gdy certyfikat ma zostać zastąpiony. Taką zmianą może być zastąpienie go podpisanym certyfikatem z urzędu certyfikacji (CA).

Certyfikat TLS można pobrać w następujący sposób.

nitropyREST API

Wymagane opcje.

Opcja	Opis
-a, --api.	Ustawianie certyfikatu dla interfejsu NetHSM TLS

Przykład

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api

-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----

Certyfikat TLS można wygenerować w następujący sposób.

nitropyREST API

Wymagane opcje.

Opcja	Opis
-t, --type [RSA|Curve25519|EC_P224|EC_P256|EC_P384|EC_P521]	Typ dla wygenerowanego klucza
-l, --length INTEGER	Długość wygenerowanego klucza

Przykład

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519

Key for TLS interface generated on NetHSM localhost:8443

Certificate Signing Request (CSR) dla certyfikatu można wygenerować w następujący sposób.

nitropyREST API

Wymagane opcje.

Opcja	Opis
-a, --api.	Generowanie CSR dla certyfikatu NetHSM TLS
--country TEXT	Nazwa kraju
--state-or-province TEXT	Nazwa państwa lub województwa
--locality TEXT	Nazwa miejscowości
--organization TEXT	Nazwa organizacji
--organizational-unit TEXT	Nazwa jednostki organizacyjnej
--common-name TEXT	Nazwa zwyczajowa
--email-address TEXT	Adres e-mail.

Przykład

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"

-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----

Certyfikat można zastąpić w następujący sposób.

nitropyREST API

Wymagane opcje.

Opcja	Opis
-a, --api.	Ustawianie certyfikatu dla interfejsu NetHSM TLS

Argumenty

Argument	Opis
FILENAME	Plik z certyfikatami

Przykład

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Sieć

Konfiguracja sieci określa ustawienia używane dla Portu sieciowego.

Informacja

To ustawienie nie konfiguruje Portu sieciowego BMC.

Konfigurację sieci można pobrać w następujący sposób.

nitropyREST API

Wymagane opcje.

Opcja	Opis
--network	Zapytanie o konfigurację sieci

Przykład

$ nitropy nethsm -h $NETHSM_HOST get-config --network

Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Ustaw konfigurację sieci w następujący sposób.

Informacja

Urządzenie NetHSM nie obsługuje protokołu DHCP (Dynamic Host Configuration Protocol).

Informacja

NetHSM nie obsługuje protokołu IPv6 (Internet Protocol version 6).

nitropyREST API

Wymagane opcje.

Opcja	Opis
-a, --ip-address.	Nowy adres IP
-n, --netmask.	Nowa maska sieci
-n, --netmask.	Nowa brama

Przykład

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0

Updated the network configuration for NetHSM localhost:8443

Czas

W konfiguracji czasu ustawia się czas systemowy oprogramowania NetHSM. Zazwyczaj nie jest wymagane ustawianie czasu systemowego, ponieważ jest on ustawiany podczas tworzenia rezerw.

Konfigurację czasu można odzyskać w następujący sposób.

nitropyREST API

Wymagane opcje.

Opcja	Opis
--time	Zapytanie o czas systemowy

Przykład

$ nitropy nethsm -host $NETHSM_HOST get-config --time

Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Ustawić godzinę pracy urządzenia NetHSM.

Ważne

Upewnij się, że przekazujesz czas w strefie czasowej UTC.

nitropyREST API

Argumenty

Argument	Opis
time	Czas systemowy do ustawienia (Format: YYYY-MM-DDTHH:MM:SSZ)

Przykład

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z

Updated the system time for NetHSM localhost:8443

Metryki

NetHSM rejestruje metryki parametrów systemu.

Informacja

To polecenie wymaga uwierzytelnienia użytkownika z rolą Metrics. Proszę zapoznać się z rozdziałem Role, aby dowiedzieć się więcej o roli.

Metryki mogą być pobierane w następujący sposób.

nitropyREST API

Przykład

$ nitropy nethsm -h $NETHSM_HOST metrics

Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Rejestrowanie

Urządzenie NetHSM może rejestrować zdarzenia systemowe na porcie szeregowym lub na serwerze syslog w sieci.

Konsola szeregowa działa od samego początku działania sprzętu NetHSM. Obejmuje zdarzenia z firmware i oprogramowania NetHSM.

Ustawienia połączenia konsoli szeregowej są następujące.

Ustawienie	Wartość
Szybkość transmisji	115200
Bity danych	8
Bity stopu	1
Parzystość	Brak
Kontrola przepływu	Brak

Konfigurację serwera syslog można pobrać w następujący sposób.

nitropyREST API

Wymagane opcje.

Opcja	Opis
--network	Zapytanie o konfigurację logowania

Przykład

$ nitropy nethsm -h $NETHSM_HOST get-config --logging

Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

Konfiguracja serwera syslog może być ustawiona w następujący sposób.

nitropyREST API

Wymagane opcje.

Opcja	Opis
-p, --passphrase TEXT	Adres IP nowego miejsca docelowego logowania
-p, --port INTEGER	Port nowego miejsca docelowego logowania
-l, --log-level [debug|info|warning|error].	Nowy poziom dziennika

Przykład

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info

Updated the logging configuration for NetHSM localhost:8443

Kopia zapasowa

Dane użytkownika NetHSM User Data można zapisać w pliku kopii zapasowej. Plik kopii zapasowej zawiera wszystkie User Data, czyli Configuration Store, Authentication Store, Domain Key Store i Key Store.

Ważne

Oprogramowanie systemowe NetHSM w trybie Unattended Boot [nienadzorowanego rozruchu] będzie wymagało podania Unlock Passphrase [frazy odblokowania], jeśli zostanie przywrócone na innym sprzęcie NetHSM. Więcej informacji można znaleźć w rozdziale Unlock Passphrase.

Ważne

NetHSM pracujący w trybie Unattended Boot będzie pracował w tym samym trybie po przywróceniu systemu.

Przed rozpoczęciem tworzenia kopii zapasowej należy ustawić Backup Passphrase [hasło dostępu do kopii zapasowej]. Służy ona do szyfrowania danych w pliku kopii zapasowej.

Hasło zapasowe można ustawić w następujący sposób.

nitropyREST API

Opcje dodatkowe.

Opcja	Opis
-p, --passphrase TEXT	Nowa fraza hasła do kopii zapasowej

Przykład

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase

Passphrase:
Repeat for confirmation:
Updated the backup passphrase for NetHSM localhost:8443

Informacja

To polecenie wymaga uwierzytelnienia użytkownika z rolą Backup. Proszę zapoznać się z rozdziałem Role, aby dowiedzieć się więcej.

Kopia zapasowa może być wykonana w następujący sposób.

nitropyREST API

Argumenty

Argument	Opis
FILENAME	Plik kopii zapasowej

Przykład

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup

Backup for localhost:8443 written to /tmp/backup

Informacja

Ten plik kopii zapasowej można przywrócić tylko na instancji NetHSM bez wizji.

Przywróć

Program NetHSM można przywrócić z pliku kopii zapasowej.

Informacja

NetHSM musi znajdować się w stanie Unprovisioned State.

Przywracanie może być stosowane w następujący sposób.

nitropyREST API

Opcje dodatkowe.

Opcja	Opis
-p, --backup-passphrase passphrase	Hasło Backup Passphrase.
-t, --system-time.	Czas systemowy do ustawienia (Format: YYYY-MM-DDTHH:MM:SSZ).

Ważne

Upewnij się, że czas lokalnego komputera jest prawidłowo ustawiony. Aby ustawić inny czas, należy podać go ręcznie.

Argumenty

Argument		Opis
FILENAME` | Przywrócenie pliku

Przykład

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup

Backup passphrase:
Backup restored on NetHSM localhost:8443

Aktualizacja

Aktualizacje dla NetHSM można instalować w dwóch etapach. Najpierw należy przesłać obraz aktualizacji do urządzenia NetHSM. Obraz jest sprawdzany i zatwierdzany automatycznie.

Ostrzeżenie

Instalacja aktualizacji w wersji beta może spowodować utratę danych!

Plik aktualizacyjny można wgrać w następujący sposób.

nitropyREST API

Argumenty

Argument	Opis
FILENAME	Plik aktualizacyjny

Przykład

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.cpio

Image /tmp/nethsm-update.img.cpio uploaded to NetHSM localhost:8443

Następnie można zastosować aktualizację lub ją przerwać. Proszę zapoznać się z żądaną opcją poniżej.

Aktualizacja może być zastosowana (popełniona) w następujący sposób.

nitropyREST API

Przykład

$ nitropy nethsm --host $NETHSM_HOST commit-update

Update successfully committed on NetHSM localhost:8443

Aktualizację można anulować w następujący sposób.

nitropyREST API

Przykład

$ nitropy nethsm --host $NETHSM_HOST cancel-update

Update successfully cancelled on NetHSM localhost:8443

Ponowne uruchomienie i wyłączenie

Urządzenie NetHSM można zrestartować i wyłączyć, zarówno zdalnie, jak i za pomocą przycisku restartu i wyłączenia znajdującego się z przodu urządzenia.

Zdalny restart może być zainicjowany w następujący sposób.

nitropyREST API

Przykład

$ nitropy nethsm --host $NETHSM_HOST reboot

NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

Zdalne wyłączenie może być zainicjowane w następujący sposób.

nitropyREST API

Przykład

$ nitropy nethsm --host $NETHSM_HOST shutdown

NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Resetowanie do ustawień fabrycznych

Urządzenie NetHSM można przywrócić do ustawień fabrycznych. Podczas tego procesu wszystkie dane użytkownika zostają usunięte.

Przywrócenie ustawień fabrycznych można wykonać w następujący sposób.

nitropyREST API

Przykład

$ nitropy nethsm -h $NETHSM_HOST factory-reset

NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Zarządzanie użytkownikami

Role

NetHSM umożliwia rozdzielenie obowiązków poprzez zastosowanie różnych ról. Każde konto użytkownika skonfigurowane w NetHSM ma przypisaną jedną z następujących Roles.

Rola	Opis
Administrator	Konto użytkownika z tą rolą ma dostęp do wszystkich operacji wykonywanych przez NetHSM, z wyjątkiem operacji związanych z użyciem kluczy, tj. podpisywania i odszyfrowywania wiadomości.
Operator	Konto użytkownika z tą rolą ma dostęp do wszystkich operacji związanych z używaniem kluczy, podzbioru operacji zarządzania kluczami tylko do odczytu oraz operacji zarządzania użytkownikami umożliwiających zmiany tylko na własnym koncie.
Metryka	Konto użytkownika z tą Rolą ma dostęp tylko do operacji metryki w trybie read-only.
Backup	Konto użytkownika z tą Rolą ma dostęp tylko do operacji wymaganych do zainicjowania kopii zapasowej systemu.

Informacja

W przyszłym wydaniu mogą zostać wprowadzone dodatkowe Role.

Dodaj użytkownika

Dodaj konto użytkownika do NetHSM. Każde konto użytkownika ma przypisaną Rolę, którą należy określić. Więcej informacji na temat Role można znaleźć w rozdziale Roles.

Informacja

NetHSM przypisuje losowy identyfikator użytkownika, jeśli nie został on określony.

Konto użytkownika można dodać w następujący sposób.

nitropyREST API

Wymagane opcje.

Opcja	Opis
-n, --real-name TEXT	Prawdziwa nazwa użytkownika
-r, --role [Administrator|Operator|Metrics|Backup]	Rola nowego użytkownika
-p, --passphrase TEXT	Hasło dostępu dla nowego użytkownika

Opcje dodatkowe.

Opcja	Opis
-u, --user-id TEXT	Identyfikator nowego użytkownika

Przykład

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1

Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Usuń użytkownika

Usuwanie konta użytkownika z systemu NetHSM.

Ostrzeżenie

Usunięcie jest trwałe i nie można go przywrócić.

Konto użytkownika można usunąć w następujący sposób.

nitropyREST API

Argumenty

Argument	Opis
USER_ID	Id użytkownika.

Przykład

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1

User operator1 deleted on NetHSM localhost:8443

Lista użytkowników

Sporządzić wykaz użytkowników w systemie NetHSM.

Listę można odzyskać w następujący sposób.

nitropyREST API

Opcje dodatkowe.

Opcja	Opis
--details, --no-details.	Zapytanie o prawdziwą nazwę i rolę użytkownika

Przykład

$ nitropy nethsm --host $NETHSM_HOST list-users

Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Hasło użytkownika

Hasło dla konta użytkownika może zostać zresetowane. Hasło jest początkowo ustawiane podczas dodawania konta użytkownika.

Informacja

Passphrases muszą mieć >= 10 i <= 200 znaków.

Hasło użytkownika można ustawić w następujący sposób.

nitropyREST API

Wymagane opcje.

Opcja	Opis
-u, --user-id TEXT	Identyfikator użytkownika
-p, --passphrase TEXT	Nowe hasło użytkownika

Przykład

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1

Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Tagi dla użytkowników

Tagi mogą być używane do ustawiania ograniczeń dostępu do kluczy i są funkcją opcjonalną. Można je przypisać tylko do kont użytkowników z rolą Operator. Operatorzy* widzą wszystkie klucze, ale używają tylko tych, które mają przynajmniej jeden odpowiadający im Tag. Klucz nie może być modyfikowany przez użytkownika Operator.

Aby dowiedzieć się, jak używać Tags na kluczach, zapoznaj się z Tags for Keys.

Tag można dodać w następujący sposób.

nitropyREST API

Argumenty

Argument	Opis
USER_ID	ID użytkownika, na którym ma być ustawiony tag.
TAG	Znacznik, który ma być ustawiony na identyfikatorze użytkownika.

Przykład

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin

Added tag berlin for user operator1 on the NetHSM localhost:8443

Tag można usunąć w następujący sposób.

nitropyREST API

Argumenty

Argument	Opis
USER_ID	ID użytkownika, na którym ma być ustawiony tag.
TAG	Znacznik, który ma być ustawiony na identyfikatorze użytkownika.

Przykład

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin

Deleted tag berlin for user operator1 on the NetHSM localhost:8443