Administração#

Este capítulo descreve tarefas administrativas para utilizadores com o papel de Administrador. Consulte o capítulo Roles para saber mais sobre o papel.

Importante

Certifique-se por favor de ler a informação no início de ` este documento <index.html>`__ antes de começar a trabalhar.

Gestão do sistema#

Informação do dispositivo#

A informação do fornecedor e do produto para um NetHSM pode ser recuperada da seguinte forma.

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST info
Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Modo Boot#

NetHSM pode ser usado no modo Attended Boot e Unattended Boot mode.

Modo Boot

Descrição

Bota de apoio

A Frases de Desbloqueio precisa de ser introduzida durante cada início, que é utilizada para decifrar os Dados do Utilizador. Por razões de segurança, este modo é recomendado.

Bota desacompanhada

Não é necessária uma Frases de Desbloqueio, pelo que o NetHSM pode começar sem vigilância. Utilize este modo se os seus requisitos de disponibilidade não puderem ser satisfeitos com o modo Attended Boot.

O modo de arranque actual pode ser recuperado da seguinte forma.

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
   Unattended boot: off

O modo de arranque pode ser alterado como se segue.

Argumentos*

Argumento

Descrição

Estado

Activar ou desactivar * Bota desacompanhada*. Pode ter valor on ou `x id="64"></x>`.

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443

Estado#

O software NetHSM tem quatro estados: Não previsto*, Provisionado, Travado, e Fechado, e Operacional.

Estado

Descrição

Não previsto

NetHSM sem configuração (predefinição de fábrica)

Provisionado

NetHSM com configuração. O estado Provisionado implica um estado Operacional ou Fechado.

Operacional

NetHSM com configuração e pronto a executar comandos. O estado Operacional implica o estado Provisionado.

Travado

NetHSM com configuração mas protegido (requer desbloqueio). O estado Operacional implica o estado Provisionado.

Estados e transições do NetHSM

Estados e transições do NetHSM#


O estado actual do NetHSM pode ser recuperado da seguinte forma.

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned

Um novo NetHSM tem um estado Não previsto e após o aprovisionamento entra no estado Operacional. O aprovisionamento de um NetHSM é descrito no capítulo Provisionamento.

Um NetHSM em estado Operacional pode ser bloqueado novamente para o proteger da seguinte forma.

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked

Um NetHSM em estado Lock pode ser desbloqueado da seguinte forma.

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked

Desbloquear frase-senha#

A Senha de Bloqueio é utilizada para obter uma * Chave de Bloqueio* se o NetHSM estiver no estado Travado. A frase-senha é inicialmente definida durante o aprovisionamento do NetHSM.

A Pasfrásica de Bloqueio pode ser definida como se segue.

Opções opcionais*

Opção

Descrição

-p`, `x id="10"></x>` >`x id=»27»></x>>>x id=»31»></x>`

A nova frase-senha de desbloqueio

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
Passphrase:
Repeat for confirmation:
Updated the unlock passphrase for localhost:8443

Certificado TLS#

O certificado TLS é utilizado para o HTTPS baseado em REST API, e portanto também utilizado pela nitropia. Durante o aprovisionamento, é criado um certificado autoassinado. O certificado pode ser substituído, por exemplo, por um certificado assinado por uma autoridade certificadora (AC). Neste caso, deve ser gerado um Pedido de Assinatura de Certificado (CSR). Depois de assinado o certificado deve ser importado para o NetHSM.

Uma alteração só é necessária quando o certificado tiver de ser substituído. Tal alteração pode ser para a substituir por um certificado assinado por uma autoridade certificadora (AC).

O certificado do TLS pode ser recuperado da seguinte forma.

Opções requeridas*

Opção

Descrição

-a`, `x id="10"></x>`

Definir o certificado para a interface NetHSM TLS

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----

O certificado TLS pode ser gerado da seguinte forma.

Opções requeridas*

Opção

Descrição

-t`, `x id="10"></x>` >`x id=»21»></x>``

O tipo para a chave gerada

-l`, `x id="10"></x>` x id="23"></x>``

O comprimento da chave gerada

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443

O Pedido de Assinatura de Certificado (CSR) para o certificado pode ser gerado da seguinte forma.

Opções requeridas*

Opção

Descrição

-a`, `x id="10"></x>`

Gerar um CSR para o certificado NetHSM TLS

--country` `x id="16"></x>`

O nome do país

--state-or-province` `x id="26"></x>`

O nome do estado ou província

--locality` `x id="17"></x>`

O nome da localidade

--organization` `x id="21"></x>`

O nome da organização

--organizational-unit` `x id="28"></x>`

O nome da unidade organizacional

--common-name` `x id="20"></x>`

O nome comum

--email-address` `x id="22"></x>`

O endereço de correio electrónico

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----

O certificado pode ser substituído como se segue.

Opções requeridas*

Opção

Descrição

-a`, `x id="10"></x>`

Definir o certificado para a interface NetHSM TLS

Argumentos*

Argumento

Descrição

FILENAME``

Ficheiro do certificado

Exemplo*

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Rede#

A configuração da rede define as definições utilizadas para a Porta de rede.

Nota

Esta configuração não configura a BMC Network Port.

A configuração da rede pode ser recuperada da seguinte forma.

Opções requeridas*

Opção

Descrição

--network`

Consultar a configuração da rede

Exemplo*

$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Definir a configuração da rede da seguinte forma.

Nota

O NetHSM não suporta DHCP (Dynamic Host Configuration Protocol).

Nota

O NetHSM não suporta IPv6 (Internet Protocol versão 6).

Opções requeridas*

Opção

Descrição

-a`, `x id="10"></x>`

O novo endereço IP

-n`, `x id="10"></x>`

A nova máscara de rede

-n`, `x id="10"></x>`

A nova porta de entrada

Exemplo*

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443

Hora#

A configuração temporal define a hora do sistema do software NetHSM. Normalmente não é necessário definir a hora do sistema, uma vez que é definida durante o aprovisionamento.

A configuração do tempo pode ser recuperada da seguinte forma.

Opções requeridas*

Opção

Descrição

--time`

Consultar o tempo do sistema

Exemplo*

$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Definir o tempo do NetHSM.

Importante

Certifique-se de que passa o tempo no fuso horário UTC.

Argumentos*

Argumento

Descrição

time`

O tempo do sistema a definir (Formato: AAAA-MM-DDTHH:MM:SSZ)

Exemplo*

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443

Métricas#

O NetHSM regista as métricas dos parâmetros do sistema.

Nota

Este comando requer a autenticação de um utilizador com a função Metrics. Consulte o capítulo Roles para saber mais sobre a função.

A métrica pode ser recuperada da seguinte forma.

Exemplo*

$ nitropy nethsm -h $NETHSM_HOST metrics
Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Logging#

O NetHSM pode registar eventos do sistema na porta série ou num servidor syslog na rede.

A consola em série funciona logo desde o início do hardware NetHSM. Ela inclui eventos do firmware NetHSM e do software NetHSM.

As configurações de ligação da consola em série são as seguintes.

Configuração

Valor

Taxa de Baud

115200

Bocados de dados

8

Pedaços de paragem

1

Paridade

Nenhum

Controlo de fluxo

Nenhum

A configuração do servidor syslog pode ser recuperada da seguinte forma.

Opções requeridas*

Opção

Descrição

--network`

Consultar a configuração do registo

Exemplo*

$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

A configuração do servidor syslog pode ser definida da seguinte forma.

Opções requeridas*

Opção

Descrição

-p`, `x id="10"></x>` >`x id=»27»></x>>>x id=»31»></x>`

O endereço IP do novo destino de registo

-p`, `x id="10"></x>` >`x id=»21»></x>``

O porto do novo destino da exploração madeireira

-l`, `x id="10"></x>` >`x id=»26»></x>``

O novo nível de registo

Exemplo*

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443

Cópia de segurança#

O NetHSM User Data pode ser guardado num ficheiro de cópia de segurança. Este ficheiro de cópia de segurança contém todos os Dados do Utilizador, nomeadamente Lojas de Configuração, Lojas de Autenticação, Lojas de Chaves do Domínio e Lojas Chave.

Importante

Um software de sistema NetHSM em modo de Bot desacompanhado exigirá a Frases de Desbloqueio se restaurada num hardware NetHSM diferente. Consulte por favor o capítulo `Frasess-Frasess-Frases de Desbloqueio <administration.html#unlock-passphrase>>x id=»214»></x>__ para saber mais.

Importante

Uma NetHSM em modo Bot desacompanhada estará no mesmo modo após uma restauração.

Antes de se poder iniciar uma cópia de segurança, a Backup Passphrase deve ser definida. A Backup Passphrase é utilizada para encriptar os dados no ficheiro de cópia de segurança.

A frase-senha de reserva pode ser definida da seguinte forma.

Opções opcionais*

Opção

Descrição

-p`, `x id="10"></x>` >`x id=»27»></x>>>x id=»31»></x>`

A nova frase-senha de segurança

Exemplo*

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
Passphrase:
Repeat for confirmation:
Updated the backup passphrase for NetHSM localhost:8443

Nota

Este comando requer a autenticação de um utilizador com a função Backup. Consulte o capítulo Roles para saber mais.

A cópia de segurança pode ser executada da seguinte forma.

Argumentos*

Argumento

Descrição

FILENAME``

Ficheiro de cópia de segurança

Exemplo*

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup

Nota

Este ficheiro de cópia de segurança pode ser restaurado apenas numa instância não prevista da NetHSM.

Restaurar#

O NetHSM pode ser restaurado a partir de um ficheiro de cópia de segurança.

Nota

O NetHSM deve estar num Estado não abastecido.

A restauração pode ser aplicada da seguinte forma.

Opções opcionais*

Opção

Descrição

-p`, `x id="10"></x>` >`x id=»34»></x>``

A Frasesa-Passe de Backup

-t`, `x id="10"></x>`

O tempo do sistema a definir (Formato: YYYY-MM-DDTHH:MM:SSZ)

Importante

Certifique-se de que a hora do seu computador local está correctamente definida. Para definir uma hora diferente, por favor forneça-a manualmente.

Argumentos*

Argumento

Descrição

FILENAME` | Restaurar ficheiro

Exemplo*

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443

Actualização#

As actualizações para o NetHSM podem ser instaladas num processo em duas etapas. Primeiro a imagem de actualização precisa de ser carregada no NetHSM. A imagem é verificada e validada automaticamente.

Aviso

A perda de dados pode ocorrer devido à instalação de uma actualização beta!

O ficheiro de actualização pode ser carregado da seguinte forma.

Argumentos*

Argumento

Descrição

FILENAME``

Ficheiro de actualização

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.cpio
Image /tmp/nethsm-update.img.cpio uploaded to NetHSM localhost:8443

Posteriormente, a actualização pode ser aplicada ou abortada. Consulte por favor a opção desejada abaixo.

A actualização pode ser aplicada (comprometida) da seguinte forma.

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443

A actualização pode ser cancelada da seguinte forma.

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443

Reinício e Encerramento#

O NetHSM pode ser reiniciado e desligado, quer remotamente, quer com o botão de reiniciar e desligar na parte frontal do hardware NetHSM.

A reinicialização remota pode ser iniciada da seguinte forma.

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

O desligamento remoto pode ser iniciado da seguinte forma.

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Repor para Padrões de Fábrica#

O NetHSM pode ser reajustado para os padrões de fábrica. Durante este processo, todos os dados do utilizador são apagados.

A reposição para os padrões de fábrica pode ser executada da seguinte forma.

Exemplo*

$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Gestão de usuários#

Papéis#

O NetHSM permite a separação de funções através da utilização de diferentes papéis. Cada conta de utilizador configurada no NetHSM tem uma das seguintes Roles que lhe é atribuída.

Papel

Descrição

Administrador

Uma conta de utilizador com esta função tem acesso a todas as operações fornecidas pela NetHSM, excepto para operações de utilização chave, ou seja, assinatura e desencriptação de mensagens.

Operador

Uma conta de utilizador com esta Função tem acesso a todas as operações-chave de utilização, um subconjunto de operações de gestão de chaves apenas de leitura e operações de gestão de utilizadores permitindo apenas alterações à sua própria conta.

Metrics

Uma conta de utilizador com esta Função tem acesso apenas a operações só de leitura de métricas.

Backup

Uma conta de utilizador com esta Função tem acesso apenas às operações necessárias para iniciar uma cópia de segurança do sistema.

Nota

Num lançamento futuro, poderão ser introduzidas Roles adicionais.

Adicionar Utilizador#

Acrescentar uma conta de utilizador ao NetHSM. Cada conta de utilizador tem um Role, que precisa de ser especificado. Consultar o capítulo Roles para saber mais sobre Roles.

Nota

O NetHSM atribui um ID de utilizador aleatório se nenhum for especificado.

Uma conta de utilizador pode ser adicionada da seguinte forma.

Opções requeridas*

Opção

Descrição

-n`, `x id="10"></x>` >`x id=»26»></x>>>x id=»30»></x>`

O verdadeiro nome do utilizador

-r`, `x id="10"></x>` >`x id=»21»></x>``

O Role do novo utilizador

-p`, `x id="10"></x>` >`x id=»27»></x>>>x id=»31»></x>`

A frase-senha do novo utilizador

Opções opcionais*

Opção

Descrição

-u`, `x id="10"></x> `x id="24"></x>`

O ID de utilizador do novo utilizador

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Eliminar Utilizador#

Eliminar uma conta de utilizador do NetHSM.

Aviso

A eliminação é permanente e não pode ser revertida.

Uma conta de utilizador pode ser apagada da seguinte forma.

Argumentos*

Argumento

Descrição

USER_ID`

O ID de utilizador do utilizador.

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443

Lista de Utilizadores#

Faça uma lista dos utilizadores no NetHSM.

A lista pode ser recuperada da seguinte forma.

Opções opcionais*

Opção

Descrição

--details`, `x id="17"></x>`

Consultar o verdadeiro nome e papel do utilizador

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Palavra-passe de utilizador#

A frase-senha de uma conta de utilizador pode ser reposta. Uma frase-chave é definida inicialmente durante a adição de uma conta de utilizador.

Nota

As frases-chave devem ter >= 10 e <= 200 caracteres.

A senha de utilizador pode ser definida da seguinte forma.

Opções requeridas*

Opção

Descrição

-u`, `x id="10"></x> `x id="24"></x>`

O ID de utilizador do utilizador

-p`, `x id="10"></x>` >`x id=»27»></x>>>x id=»31»></x>`

A nova frase-senha do utilizador

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Etiquetas para utilizadores#

Tags podem ser usadas para definir restrições de acesso às chaves, e são uma característica opcional. Só podem ser atribuídas a contas de utilizador com a função Operador. Os Operadores podem ver todas as chaves, mas só podem utilizar aquelas com pelo menos uma Tag correspondente. Uma chave não pode ser modificada por um utilizador Operador.

Para saber como utilizar Tags em chaves, consulte por favor Tags para chaves.

A Tag pode ser acrescentada como se segue.

Argumentos*

Argumento

Descrição

USER_ID`

A identificação do utilizador para colocar a etiqueta.

TAG``

A etiqueta a definir no ID do utilizador.

Exemplo*

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin
Added tag berlin for user operator1 on the NetHSM localhost:8443

A Tag pode ser apagada da seguinte forma.

Argumentos*

Argumento

Descrição

USER_ID`

A identificação do utilizador para colocar a etiqueta.

TAG``

A etiqueta a definir no ID do utilizador.

Exemplo*

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin
Deleted tag berlin for user operator1 on the NetHSM localhost:8443