Administração¶
This chapter describes administrative tasks for users with the Administrator role. Please refer to chapter Roles to learn more about the role.
Importante
Certifique-se por favor de ler a informação no início de ` este documento <index.html>`__ antes de começar a trabalhar.
Gestão do sistema¶
Informação do dispositivo¶
A informação do fornecedor e do produto para um NetHSM pode ser recuperada da seguinte forma.
Exemplo*
$ nitropy nethsm --host $NETHSM_HOST info
Host: localhost:8443
Vendor: Nitrokey GmbH
Product: NetHSM
Informações sobre o parâmetro /info podem ser encontradas na documentação da API.
Modo Boot¶
NetHSM pode ser usado no modo Attended Boot e Unattended Boot mode.
Modo Boot |
Descrição |
|---|---|
Attended Boot |
O NetHSM arranca num estado _Locked_. A frase-chave de desbloqueio ** tem de ser introduzida durante cada arranque, que é utilizada para desencriptar os dados do utilizador ** . Por motivos de segurança, este modo é recomendado e é o modo padrão para um sistema recém-provisionado. |
Unattended Boot |
O sistema arranca sem supervisão, sem necessidade de introduzir a Unlock Passphrase num estado _Operational_. Utilize este modo se os seus requisitos de disponibilidade não puderem ser cumpridos com o modo Attended Boot. |
Aviso
Independentemente do modo de arranque, a Unlock Passphrase mantém a sua validade e é necessária para restaurar cópias de segurança noutro hardware. Mantenha a frase-chave de desbloqueio ** segura em qualquer altura.
O modo de arranque actual pode ser recuperado da seguinte forma.
Exemplo*
$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
Unattended boot: off
Informações sobre o parâmetro /config/unattended-boot podem ser encontradas na API documentation.
The boot mode can be changed as follows. At next boot, the NetHSM will behave accordingly.
Argumentos*
Argumento |
Descrição |
|---|---|
Estado |
Activar ou desactivar * Bota desacompanhada*. Pode ter valor |
Exemplo*
$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443
Informações sobre o parâmetro /config/unattended-boot podem ser encontradas na API documentation.
Estado¶
O software NetHSM tem quatro estados: Não previsto*, Provisionado, Travado, e Fechado, e Operacional.
Estado |
Descrição |
|---|---|
Não previsto |
NetHSM sem configuração (predefinição de fábrica) |
Provisionado |
NetHSM com configuração. O estado Provisionado implica um estado Operacional ou Fechado. |
Operacional |
NetHSM com configuração e pronto a executar comandos. O estado Operacional implica o estado Provisionado. |
Travado |
NetHSM with configuration but encrypted and inaccessible data stores. Typically, the next step is to unlock the system. The Locked state implies the Provisioned state. |
Estados e transições do NetHSM¶
O estado actual do NetHSM pode ser recuperado da seguinte forma.
Exemplo*
$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned
Informações sobre o parâmetro /saúde/estado podem ser encontradas na documentaçãoAPI.
A new NetHSM has an Unprovisioned state and after provisioning enters the Operational state. The provisioning of a NetHSM is described in the chapter Provisioning.
Um NetHSM em estado Operacional pode ser bloqueado novamente para o proteger da seguinte forma.
Exemplo*
$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked
Informações sobre o ponto final /lock podem ser encontradas na documentaçãoAPI.
Um NetHSM no estado Bloqueado pode ser desbloqueado da seguinte forma. Enquanto o NetHSM estiver no estado _Locked_ não são possíveis outras operações. Depois, o NetHSM está num estado _Operacional_.
Exemplo*
$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked
Informações sobre o ponto final /unlock podem ser encontradas na documentaçãoAPI.
Desbloquear frase-senha¶
A Senha de Bloqueio é utilizada para obter uma * Chave de Bloqueio* se o NetHSM estiver no estado Travado. A frase-senha é inicialmente definida durante o aprovisionamento do NetHSM.
Aviso
A frase-chave de desbloqueio não pode ser reposta sem conhecer o valor atual. Se a frase-chave de desbloqueio se perder, não pode ser reposta para um novo valor nem o NetHSM pode ser desbloqueado.
A Pasfrásica de Bloqueio pode ser definida como se segue.
Opções opcionais*
Opção |
Descrição |
|---|---|
|
A nova frase-senha de desbloqueio |
|
The current unlock passphrase |
|
Não pedir confirmação antes de alterar a frase-chave |
Exemplo*
$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443
Informações sobre o ponto final /config/unlock-passphrase podem ser encontradas na API documentation.
Certificado TLS¶
O certificado TLS é utilizado para o HTTPS baseado em REST API, e portanto também utilizado pela nitropia. Durante o aprovisionamento, é criado um certificado autoassinado. O certificado pode ser substituído, por exemplo, por um certificado assinado por uma autoridade certificadora (AC). Neste caso, deve ser gerado um Pedido de Assinatura de Certificado (CSR). Depois de assinado o certificado deve ser importado para o NetHSM.
Uma alteração só é necessária quando o certificado tiver de ser substituído. Tal alteração pode ser para a substituir por um certificado assinado por uma autoridade certificadora (AC).
O certificado do TLS pode ser recuperado da seguinte forma.
Opções requeridas*
Opção |
Descrição |
|---|---|
|
Get the certificate for the NetHSM TLS interface |
Exemplo*
$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----
Informações sobre o parâmetro /config/tls/cert.pem podem ser encontradas na documentação da API.
O certificado TLS pode ser gerado da seguinte forma.
Opções requeridas*
Opção |
Descrição |
|---|---|
|
O tipo para a chave gerada |
|
O comprimento da chave gerada |
Exemplo*
$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443
Informações sobre o parâmetro /config/tls/generate podem ser encontradas na documentação API.
O Pedido de Assinatura de Certificado (CSR) para o certificado pode ser gerado da seguinte forma.
Opções requeridas*
Opção |
Descrição |
|---|---|
|
Gerar um CSR para o certificado NetHSM TLS |
|
O nome do país |
|
O nome do estado ou província |
|
O nome da localidade |
|
O nome da organização |
|
O nome da unidade organizacional |
|
O nome comum |
|
O endereço de correio electrónico |
Exemplo*
$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----
Informações sobre o parâmetro /config/tls/csr.pem podem ser encontradas na documentação da API.
O certificado pode ser substituído como se segue.
Opções requeridas*
Opção |
Descrição |
|---|---|
|
Definir o certificado para a interface NetHSM TLS |
Argumentos*
Argumento |
Descrição |
|---|---|
|
Ficheiro do certificado |
Exemplo*
nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate
Informações sobre o parâmetro /config/tls/csr.pem podem ser encontradas na documentação da API.
Rede¶
A configuração da rede define as definições utilizadas para a Porta de rede.
Nota
This settings do not configure the BMC Network Port on the NetHSM 1.
A configuração da rede pode ser recuperada da seguinte forma.
Opções requeridas*
Opção |
Descrição |
|---|---|
|
Consultar a configuração da rede |
Exemplo*
$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
IP address: 192.168.1.1
Netmask: 255.255.255.0
Gateway: 0.0.0.0
Informações sobre o parâmetro /config/network podem ser encontradas na documentaçãoAPI.
Definir a configuração da rede da seguinte forma.
Nota
O NetHSM não suporta DHCP (Dynamic Host Configuration Protocol).
Nota
O NetHSM não suporta IPv6 (Internet Protocol versão 6).
Opções requeridas*
Opção |
Descrição |
|---|---|
|
O novo endereço IP |
|
A nova máscara de rede |
|
A nova porta de entrada |
Exemplo*
$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443
Informações sobre o parâmetro /config/network podem ser encontradas na documentaçãoAPI.
Hora¶
A configuração temporal define a hora do sistema do software NetHSM. Normalmente não é necessário definir a hora do sistema, uma vez que é definida durante o aprovisionamento.
A configuração do tempo pode ser recuperada da seguinte forma.
Opções requeridas*
Opção |
Descrição |
|---|---|
|
Consultar o tempo do sistema |
Exemplo*
$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time: 2022-08-17 11:40:00+00:00
Informações sobre o parâmetro /config/time podem ser encontradas na documentação API.
Definir o tempo do NetHSM.
Importante
Certifique-se de que passa o tempo no fuso horário UTC.
Argumentos*
Argumento |
Descrição |
|---|---|
|
O tempo do sistema a definir (Formato: AAAA-MM-DDTHH:MM:SSZ) |
Exemplo*
$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443
Informações sobre o parâmetro /config/time podem ser encontradas na documentação API.
Métricas¶
O NetHSM regista as métricas dos parâmetros do sistema. Consulte Métricas para saber mais sobre cada métrica.
A métrica pode ser recuperada da seguinte forma.
Papel requerido*
This operation requires an authentication with the Metrics role.
Exemplo*
$ nitropy nethsm -h $NETHSM_HOST metrics
Metric Value
---------------------------- --------
client connections 0
established state 6
external.received bytes 989931
external.received packets 13239
external.transmitted bytes 25908953
external.transmitted packets 22037
free chunk count 322
gc compactions 0
gc major bytes 21348352
gc major collections 35
gc minor collections 2652
http response 200 28
http response 201 1
http response 204 1
http response 400 1
http response 403 1
http response 404 145
http response 412 1
http response time 0.084998
http response total 178
internal.received bytes 66541
internal.received packets 1130
internal.transmitted bytes 63802
internal.transmitted packets 1133
kv write 2
log errors 3
log warnings 3
maximum allocated space 64528384
maximum releasable bytes 1216
mmapped region count 0
new sleeper size 1
non-mmapped allocated bytes 64528384
sleep queue size 11
syn-rcvd state 0
timers 2
total allocated space 43940832
total client 1
total established 515
total free space 20587552
total sleeper size 12
total syn-rcvd 514
total timers 526
uptime 17626
Informações sobre o parâmetro /metrics podem ser encontradas na documentação da API.
Logging¶
O NetHSM pode registar eventos do sistema na porta série ou num servidor syslog na rede.
Importante
Para qualquer implementação de produção, o registo do NetHSM deve ser monitorizado continuamente para fornecer uma notificação imediata de quaisquer potenciais problemas de segurança.
A configuração do servidor syslog pode ser recuperada da seguinte forma.
Opções requeridas*
Opção |
Descrição |
|---|---|
|
Consultar a configuração do registo |
Exemplo*
$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
IP address: 0.0.0.0
Port: 514
Log level: info
Informações sobre o parâmetro /config/logging podem ser encontradas na documentaçãoAPI.
A configuração do servidor syslog pode ser definida da seguinte forma.
Opções requeridas*
Opção |
Descrição |
|---|---|
|
O endereço IP do novo destino de registo |
|
O porto do novo destino da exploração madeireira |
|
O novo nível de registo |
Exemplo*
$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443
Informações sobre o parâmetro /config/logging podem ser encontradas na documentaçãoAPI.
A consola em série funciona logo desde o início do hardware NetHSM. Ela inclui eventos do firmware NetHSM e do software NetHSM.
As configurações de ligação da consola em série são as seguintes.
Configuração |
Valor |
|---|---|
Taxa de Baud |
115200 |
Bocados de dados |
8 |
Pedaços de paragem |
1 |
Paridade |
Nenhum |
Controlo de fluxo |
Nenhum |
Cópia de segurança¶
O NetHSM User Data pode ser guardado num ficheiro de cópia de segurança. Este ficheiro de cópia de segurança contém todos os Dados do Utilizador, nomeadamente Lojas de Configuração, Lojas de Autenticação, Lojas de Chaves do Domínio e Lojas Chave.
Importante
A NetHSM system software in Unattended Boot mode will require the Unlock Passphrase if restored on a different NetHSM hardware. Please refer to chapter Unlock Passphrase to learn more.
Importante
Uma NetHSM em modo Bot desacompanhada estará no mesmo modo após uma restauração.
Antes de se poder iniciar uma cópia de segurança, a Backup Passphrase deve ser definida. A Backup Passphrase é utilizada para encriptar os dados no ficheiro de cópia de segurança.
Aviso
confirmar
A frase-senha de reserva pode ser definida da seguinte forma.
Opções opcionais*
Opção |
Descrição |
|---|---|
|
A nova frase-senha de segurança |
|
A frase-chave de cópia de segurança atual (ou uma cadeia vazia se não estiver definida) |
|
Não pedir confirmação antes de alterar a frase-chave |
Exemplo*
$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443
Informações sobre o parâmetro /config/backup-passphrase podem ser encontradas na documentaçãoAPI.
A cópia de segurança pode ser executada da seguinte forma.
Papel requerido*
This operation requires an authentication with the Backup role.
Argumentos*
Argumento |
Descrição |
|---|---|
|
Ficheiro de cópia de segurança |
Exemplo*
$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup
Informações sobre o parâmetro /system/backup podem ser encontradas na documentação API.
Restaurar¶
O NetHSM pode ser restaurado a partir de um ficheiro de cópia de segurança.
If the NetHSM is Unprovisioned it will restore all User Data including system configuration and reboot. Therefore the system may get different network settings, TLS certificate and Unlock Passphrase afterwards. The NetHSM ends in a Locked state.
Se o NetHSM for Provisioned, irá restaurar os utilizadores e as chaves de utilizador, mas não a configuração do sistema. Neste caso, todos os utilizadores e chaves de utilizador existentes anteriormente serão eliminados. O NetHSM termina num estado Operacional.
A restauração pode ser aplicada da seguinte forma.
Opções opcionais*
Opção |
Descrição |
|---|---|
|
A Frasesa-Passe de Backup |
|
O tempo do sistema a definir (Formato: |
Importante
Certifique-se de que a hora do seu computador local está correctamente definida. Para definir uma hora diferente, por favor forneça-a manualmente.
Argumentos*
Argumento |
Descrição |
|
|---|---|---|
|
||
Exemplo*
$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443
Informações sobre o parâmetro /system/restore podem ser encontradas na documentaçãoAPI.
Replication¶
NetHSM is stateless, so that several NetHSM devices can be used to process extremely high throughput and provide high availability. The PKCS#11 module supports round-robin schedule for a cluster of NetHSM instances. Multiple instances of NetHSM can be synchronized via encrypted backups. For this a separate system downloads and uploads backup files between the instances. The synchronization can be easily scripted by using pynitrokey as shown in this example. This separate system doesn’t have access to the backed up data in clear text because the backup files are encrypted twice. The separate system is in possession of the backup passphrase only but not of the Domain Key resp. Unlock Passphrase which is the second layer of encryption. See the system design for further details.
Software Update¶
As actualizações de software podem ser instaladas num processo de duas etapas. Primeiro, a imagem de atualização tem de ser carregada para um Provisioned NetHSM. O NetHSM verifica a autenticidade, a integridade e o número da versão da imagem. Opcionalmente, o NetHSM apresenta notas de versão, se existirem.
Aviso
Pode ocorrer perda de dados devido à instalação de uma atualização beta! As versões estáveis não devem causar perda de dados. No entanto, recomenda-se a criação de uma cópia de segurança antes da atualização.
Aviso
Certifique-se de que instala o ficheiro de atualização correto para o seu modelo de hardware NetHSM 1 ou NetHSM 2. Pode verificar o seu modelo nas informações do sistema ` <administration#system-information>` __.
O ficheiro de actualização pode ser carregado da seguinte forma.
Argumentos*
Argumento |
Descrição |
|---|---|
|
Ficheiro de actualização |
Exemplo*
$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin
Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443
Informações sobre o parâmetro /system/update podem ser encontradas na documentação API.
Afterwards the update can be applied or aborted. Please refer to the desired option below. If the NetHSM is powered down before the «commit» operation, the update file has to be uploaded again.
Importante
Se o carregamento da imagem de atualização falhar com Error: NetHSM request failed: Bad request -- malformed image, siga os passos abaixo.
Certifique-se de que tem um ficheiro de atualização válido, verificando-o com a assinatura fornecida.
Certifique-se de que não tem um nível de registo elevado, como
DEBUGativado. Consulte o capítulo Logging para saber mais sobre a configuração do nível de log.Reinicie o aparelho para libertar a memória utilizada.
A atualização pode ser aplicada (confirmada) da seguinte forma. Qualquer migração de dados só é efectuada depois de o NetHSM ter arrancado com sucesso a nova versão do software do sistema.
Exemplo*
$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443
Informações sobre o parâmetro /system/commit-update podem ser encontradas na documentaçãoAPI.
A actualização pode ser cancelada da seguinte forma.
Exemplo*
$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443
Informações sobre o parâmetro /system/cancel-update podem ser encontradas na documentaçãoAPI.
System Information¶
As informações do sistema, como a versão do firmware, a versão do software e a versão do hardware, podem ser obtidas da seguinte forma.
Exemplo*
$ nitropy nethsm -h $NETHSM_HOST system-info
Host: 192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1
Build tag: v2.0-0-g17ad829
Attestation keys
P256: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEup7z8QYvkzkBuLryG1SgVQjlPhSFW3PzYn1l3uLNd+pSBxX0OBpslcbnmPFr5wSs/iP46+H8MFlEAYUkYv6uuQ==
P384: MHYwEAYHKoZIzj0CAQYFK4EEACIDYgAEfQiurLvEmjsAmumRtIqu70HKehRo8A/nVrqQGiR8Rcr+SUujwgtQByORX5BoRtv4sZNJW4FyLGqvXCIF9IV1puob2+9Qq5oEjz4x4malLbFdyXDmQK8o2NpvcbgOr215
Platform Configuration Registers
0: 0f6064779fba55b102a6ecc20498c2020deaf2aebef23716ec293b25873647f8
2: 2b0d25a4a92b4df5205742954243db9d306a4c3277a6b6958bcbaf3d47def26f
Information about the /system/info endpoint can be found in the API documentation.
Um NetHSM 1 identifica-se como versão de hardware prodrive-hermes-1 e um NetHSM 2 como msi-z790-1.
Reinício e Encerramento¶
O NetHSM pode ser reiniciado e desligado, quer remotamente, quer com o botão de reiniciar e desligar na parte frontal do hardware NetHSM.
A reinicialização remota pode ser iniciada da seguinte forma.
Exemplo*
$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot
Informações sobre o parâmetro /system/reboot podem ser encontradas na documentação API.
O desligamento remoto pode ser iniciado da seguinte forma.
Exemplo*
$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown
Informações sobre o parâmetro /system/shutdown podem ser encontradas na `documentaçãoAPI <https://nethsmdemo.nitrokey.com/api_docs/index.html#/default/POST_system-shutdown>>x id=»172»></x>__.
Repor para Padrões de Fábrica¶
Um Provisionado NetHSM pode ser reposto para as predefinições de fábrica. Neste caso, todos os dados do utilizador são eliminados de forma segura e o NetHSM arranca num estado não provisionado. Posteriormente, o utilizador pode querer provisionar o NetHSM.
A reposição para os padrões de fábrica pode ser executada da seguinte forma.
Exemplo*
$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset
Informações sobre o parâmetro /system/factory-reset podem ser encontradas na documentaçãoAPI.
Gestão de usuários¶
Papéis¶
O NetHSM permite a separação de funções através da utilização de diferentes papéis. Cada conta de utilizador configurada no NetHSM tem uma das seguintes Roles que lhe é atribuída.
Papel |
Descrição |
|---|---|
Administrador |
Uma conta de utilizador com esta função tem acesso a todas as operações fornecidas pela NetHSM, excepto para operações de utilização chave, ou seja, assinatura e desencriptação de mensagens. |
Operador |
Uma conta de utilizador com esta Função tem acesso a todas as operações-chave de utilização, um subconjunto de operações de gestão de chaves apenas de leitura e operações de gestão de utilizadores permitindo apenas alterações à sua própria conta. |
Metrics |
Uma conta de utilizador com esta Função tem acesso apenas a operações só de leitura de métricas. |
Backup |
Uma conta de utilizador com esta Função tem acesso apenas às operações necessárias para iniciar uma cópia de segurança do sistema. |
Consulte Namespaces e Tags para obter restrições de acesso mais detalhadas.
Nota
Num lançamento futuro, poderão ser introduzidas Roles adicionais.
Adicionar Utilizador¶
Add a user account to the NetHSM. Each user account has a Role, which needs to be specified. Please refer to chapter Roles to learn more about Roles.
Optionally, a user can be assigned to a Namespace.
Nota
The user ID must be alphanumeric. The NetHSM assigns a random user ID if none is specified.
Uma conta de utilizador pode ser adicionada da seguinte forma.
Opções requeridas*
Opção |
Descrição |
|---|---|
|
The real name of the new user |
|
The Namespace of the new user |
|
O Role do novo utilizador |
|
A frase-senha do novo utilizador |
Opções opcionais*
Opção |
Descrição |
|---|---|
|
O ID de utilizador do novo utilizador |
Exemplo*
$ nitropy nethsm --host $NETHSM_HOST add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443
Informações sobre o parâmetro /user endpoint, para criar um utilizador sem especificar o ID do utilizador, podem ser encontradas na documentação da API.
Informações sobre o parâmetro /users/{UserID}, para criar um utilizador com especificação do ID de utilizador, podem ser encontradas na documentaçãoAPI.
Por predefinição, o Namespace é herdado do utilizador que adiciona o novo utilizador. Apenas os utilizadores sem um Namespace podem escolher um Namespace diferente para os novos utilizadores. O Namespace é utilizado como um prefixo para o nome do utilizador, por exemplo namespace~user. Assim, o mesmo nome de utilizador pode ser utilizado em vários Namespaces.
Eliminar Utilizador¶
Eliminar uma conta de utilizador do NetHSM.
Aviso
A eliminação é permanente e não pode ser revertida.
Uma conta de utilizador pode ser apagada da seguinte forma.
Argumentos*
Argumento |
Descrição |
|---|---|
|
O ID de utilizador do utilizador. |
Exemplo*
$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443
Informações sobre o parâmetro /users/{UserID} podem ser encontradas na documentação API.
Lista de Utilizadores¶
Faça uma lista dos utilizadores no NetHSM.
A lista pode ser recuperada da seguinte forma.
Opções opcionais*
Opção |
Descrição |
|---|---|
|
Consultar o verdadeiro nome e papel do utilizador |
Exemplo*
$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:
User ID Real name Role
--------- ----------------- -------------
operator1 Nitrokey Operator Operator
admin admin Administrator
Informações sobre o parâmetro /user endpoint podem ser encontradas na documentaçãoAPI.
Informações sobre o parâmetro /users/{UserID} podem ser encontradas na documentação API.
Os utilizadores de um espaço de nome só podem ver os utilizadores do mesmo espaço de nome.
Palavra-passe de utilizador¶
A frase-senha de uma conta de utilizador pode ser reposta. Uma frase-chave é definida inicialmente durante a adição de uma conta de utilizador.
Nota
As frases-chave devem ter >= 10 e <= 200 caracteres.
A senha de utilizador pode ser definida da seguinte forma.
Opções requeridas*
Opção |
Descrição |
|---|---|
|
O ID de utilizador do utilizador |
|
A nova frase-senha do utilizador |
Exemplo*
$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443
Informações sobre o parâmetro /users/{UserID}/passphrase podem ser encontradas na `documentaçãoAPI <https://nethsmdemo.nitrokey.com/api_docs/index.html#/default/POST_users-UserID-passphrase>>x id=»190»></x>__.
Namespaces¶
Similarly to the concept of partitions, NetHSM supports the more flexible Namespaces which group keys, administrators, and users on a NetHSM into separate subsets. Users can only see and use keys in the same Namespace and can only see users in the same Namespace. It is not possible to see users and to see and use keys of other Namespaces. When a new user is created, it inherits the Namespace of the user that created it. The available storage capacity is shared between all Namespaces. An practically unlimited amount of Namespaces can be used without requiring additional licenses.
Os Namespaces foram introduzidos na versão 2.0 do software. Ao migrar de uma versão anterior do software, todos os utilizadores e chaves existentes ficarão sem um Namespace.
Os utilizadores com a função Administrator ` <administration#roles>` __ são também referidos como R-Administrator se não estiverem num Namespace, ou N-Administrator se estiverem num Namespace.
Aplicam-se regras especiais aos utilizadores do R-Administrator: Podem definir o Namespace para novos utilizadores, listar todos os utilizadores e consultar o Namespace de um utilizador. Além disso, a configuração do NetHSM só pode ser acedida pelos utilizadores R-Administrator. Os R-Administradores não podem ver as chaves de um Namespace.
Para poder gerar chaves e utilizadores num Namespace, o Namespace tem de ser criado por um utilizador R-Administrator. Depois de o Namespace ter sido criado, os utilizadores R-Administrator já não podem criar, eliminar ou modificar utilizadores nesse Namespace. Isto permite proteger as chaves dos Namespaces que são acedidas pelo R-Administrator (também indiretamente, adicionando um novo utilizador em nome ou redefinindo as credenciais do utilizador ou administrador existente). Por conseguinte, é necessário criar um utilizador N-Administrator para o Namespace antes de criar o Namespace. Os utilizadores R-Administrator também podem eliminar um Namespace com todas as chaves contidas.
Listar espaços de nome¶
List the Namespaces on the NetHSM.
A lista pode ser recuperada da seguinte forma.
Exemplo*
$ nitropy nethsm --host $NETHSM_HOST list-namespaces
Namespaces on NetHSM localhost:8843:
- ns1
- ns2
Information about the /namespaces endpoint can be found in the API documentation.
Adicionar espaço de nome¶
Adicionar um espaço de nome ao NetHSM.
Adicionar um espaço de nome ao NetHSM.
Nota
The Namespace ID must be alphanumeric. The NetHSM assigns a random user ID if none is specified.
A Namespace can be added as follows.
Argumentos*
Argumento |
Descrição |
|
|---|---|---|
|
||
Exemplo*
$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1
Namespace ns1 added to NetHSM localhost:8443
Information about the /namespaces/{NamespaceID} endpoint can be found in the API documentation.
Eliminar o espaço de nome¶
Delete a Namespace from the NetHSM.
A eliminação de um Namespace também elimina todas as chaves desse Namespace. Os restantes utilizadores do Namespace não podem adicionar chaves até que o Namespace tenha sido adicionado novamente.
A Namespace can be deleted as follows.
Argumentos*
Argumento |
Descrição |
|---|---|
|
The Namespace to delete. |
Exemplo*
$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1
Namespace ns1 deleted on NetHSM localhost:8443
Information about the /namespaces/{NamespaceID} endpoint can be found in the API documentation.