Administração

This chapter describes administrative tasks for users with the Administrator role. Please refer to chapter Roles to learn more about the role.

Importante

Certifique-se por favor de ler a informação no início de ` este documento <index.html>`__ antes de começar a trabalhar.

Gestão do sistema

Informação do dispositivo

A informação do fornecedor e do produto para um NetHSM pode ser recuperada da seguinte forma.

nitropyREST API

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST info

Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Modo Boot

NetHSM pode ser usado no modo Attended Boot e Unattended Boot mode.

Modo Boot	Descrição
Attended Boot	The NetHSM boots up into a _Locked_ state. The Unlock Passphrase needs to be entered during each start, which is used to decrypt the User Data. For security reasons, this mode is recommended and it’s the default mode for a freshly provisioned system.
Unattended Boot	The system starts unattended without the need to enter the Unlock Passphrase into an _Operational_ state. Use this mode if your availability requirements can not be fulfilled with Attended Boot mode.

Aviso

Regardless of the boot mode, the Unlock Passphrase retains its validity and is required for restoring backups on other hardware. Keep the Unlock Passphrase safe at any time.

O modo de arranque actual pode ser recuperado da seguinte forma.

nitropyREST API

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot

Configuration for NetHSM localhost:8443:
   Unattended boot: off

The boot mode can be changed as follows. At next boot, the NetHSM will behave accordingly.

nitropyREST API

Argumentos*

Argumento	Descrição
Estado	Activar ou desactivar * Bota desacompanhada*. Pode ter valor on ou `x id="64"></x>`.

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on

Updated the unattended boot configuration for NetHSM localhost:8443

Estado

O software NetHSM tem quatro estados: Não previsto*, Provisionado, Travado, e Fechado, e Operacional.

Estado	Descrição
Não previsto	NetHSM sem configuração (predefinição de fábrica)
Provisionado	NetHSM com configuração. O estado Provisionado implica um estado Operacional ou Fechado.
Operacional	NetHSM com configuração e pronto a executar comandos. O estado Operacional implica o estado Provisionado.
Travado	NetHSM with configuration but encrypted and inaccessible data stores. Typically, the next step is to unlock the system. The Locked state implies the Provisioned state.

Estados e transições do NetHSM

O estado actual do NetHSM pode ser recuperado da seguinte forma.

nitropyREST API

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST state

NetHSM localhost:8443 is Unprovisioned

A new NetHSM has an Unprovisioned state and after provisioning enters the Operational state. The provisioning of a NetHSM is described in the chapter Provisioning.

Um NetHSM em estado Operacional pode ser bloqueado novamente para o proteger da seguinte forma.

nitropyREST API

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST lock

NetHSM localhost:8443 locked

A NetHSM in Locked state can be unlocked as follows. While the NetHSM is in the _Locked_ state no other operations are possible. Afterwards the NetHSM is in an _Operational_ state.

nitropyREST API

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST unlock

NetHSM localhost:8443 unlocked

Desbloquear frase-senha

A Senha de Bloqueio é utilizada para obter uma * Chave de Bloqueio* se o NetHSM estiver no estado Travado. A frase-senha é inicialmente definida durante o aprovisionamento do NetHSM.

Aviso

The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.

A Pasfrásica de Bloqueio pode ser definida como se segue.

nitropyREST API

Opções opcionais*

Opção	Descrição
-n, --new-passphrase TEXT	A nova frase-senha de desbloqueio
-p, --current-passphrase TEXT	The current unlock passphrase
-f, --force	Do not ask for confirmation before changing the passphrase

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase

New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443

Certificado TLS

O certificado TLS é utilizado para o HTTPS baseado em REST API, e portanto também utilizado pela nitropia. Durante o aprovisionamento, é criado um certificado autoassinado. O certificado pode ser substituído, por exemplo, por um certificado assinado por uma autoridade certificadora (AC). Neste caso, deve ser gerado um Pedido de Assinatura de Certificado (CSR). Depois de assinado o certificado deve ser importado para o NetHSM.

Uma alteração só é necessária quando o certificado tiver de ser substituído. Tal alteração pode ser para a substituir por um certificado assinado por uma autoridade certificadora (AC).

O certificado do TLS pode ser recuperado da seguinte forma.

nitropyREST API

Opções requeridas*

Opção	Descrição
-a`, `x id="10"></x>`	Get the certificate for the NetHSM TLS interface

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api

-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----

O certificado TLS pode ser gerado da seguinte forma.

nitropyREST API

Opções requeridas*

Opção	Descrição
-t`, `x id="10"></x>` >`x id=»21»></x>``	O tipo para a chave gerada
-l`, `x id="10"></x>` x id="23"></x>``	O comprimento da chave gerada

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519

Key for TLS interface generated on NetHSM localhost:8443

O Pedido de Assinatura de Certificado (CSR) para o certificado pode ser gerado da seguinte forma.

nitropyREST API

Opções requeridas*

Opção	Descrição
-a`, `x id="10"></x>`	Gerar um CSR para o certificado NetHSM TLS
--country` `x id="16"></x>`	O nome do país
--state-or-province` `x id="26"></x>`	O nome do estado ou província
--locality` `x id="17"></x>`	O nome da localidade
--organization` `x id="21"></x>`	O nome da organização
--organizational-unit` `x id="28"></x>`	O nome da unidade organizacional
--common-name` `x id="20"></x>`	O nome comum
--email-address` `x id="22"></x>`	O endereço de correio electrónico

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"

-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----

O certificado pode ser substituído como se segue.

nitropyREST API

Opções requeridas*

Opção	Descrição
-a`, `x id="10"></x>`	Definir o certificado para a interface NetHSM TLS

Argumentos*

Argumento	Descrição
FILENAME``	Ficheiro do certificado

Exemplo*

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Rede

A configuração da rede define as definições utilizadas para a Porta de rede.

Nota

Esta configuração não configura a BMC Network Port.

A configuração da rede pode ser recuperada da seguinte forma.

nitropyREST API

Opções requeridas*

Opção	Descrição
--network`	Consultar a configuração da rede

Exemplo*

$ nitropy nethsm -h $NETHSM_HOST get-config --network

Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Definir a configuração da rede da seguinte forma.

Nota

O NetHSM não suporta DHCP (Dynamic Host Configuration Protocol).

Nota

O NetHSM não suporta IPv6 (Internet Protocol versão 6).

nitropyREST API

Opções requeridas*

Opção	Descrição
-a`, `x id="10"></x>`	O novo endereço IP
-n`, `x id="10"></x>`	A nova máscara de rede
-n`, `x id="10"></x>`	A nova porta de entrada

Exemplo*

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0

Updated the network configuration for NetHSM localhost:8443

Hora

A configuração temporal define a hora do sistema do software NetHSM. Normalmente não é necessário definir a hora do sistema, uma vez que é definida durante o aprovisionamento.

A configuração do tempo pode ser recuperada da seguinte forma.

nitropyREST API

Opções requeridas*

Opção	Descrição
--time`	Consultar o tempo do sistema

Exemplo*

$ nitropy nethsm -host $NETHSM_HOST get-config --time

Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Definir o tempo do NetHSM.

Importante

Certifique-se de que passa o tempo no fuso horário UTC.

nitropyREST API

Argumentos*

Argumento	Descrição
time`	O tempo do sistema a definir (Formato: AAAA-MM-DDTHH:MM:SSZ)

Exemplo*

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z

Updated the system time for NetHSM localhost:8443

Métricas

The NetHSM logs metrics of system parameters. Please refer to Metrics to learn more about each metric.

A métrica pode ser recuperada da seguinte forma.

nitropyREST API

Papel requerido*

This operation requires an authentication with the Metrics role.

Exemplo*

$ nitropy nethsm -h $NETHSM_HOST metrics

Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Logging

O NetHSM pode registar eventos do sistema na porta série ou num servidor syslog na rede.

Importante

For any production deployment, the NetHSM log should be monitored continuously to provide immediate notification of any potential security issues.

A configuração do servidor syslog pode ser recuperada da seguinte forma.

nitropyREST API

Opções requeridas*

Opção	Descrição
--network`	Consultar a configuração do registo

Exemplo*

$ nitropy nethsm -h $NETHSM_HOST get-config --logging

Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

A configuração do servidor syslog pode ser definida da seguinte forma.

nitropyREST API

Opções requeridas*

Opção	Descrição
-p`, `x id="10"></x>` >`x id=»27»></x>>>x id=»31»></x>`	O endereço IP do novo destino de registo
-p`, `x id="10"></x>` >`x id=»21»></x>``	O porto do novo destino da exploração madeireira
-l`, `x id="10"></x>` >`x id=»26»></x>``	O novo nível de registo

Exemplo*

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info

Updated the logging configuration for NetHSM localhost:8443

A consola em série funciona logo desde o início do hardware NetHSM. Ela inclui eventos do firmware NetHSM e do software NetHSM.

As configurações de ligação da consola em série são as seguintes.

Configuração	Valor
Taxa de Baud	115200
Bocados de dados	8
Pedaços de paragem	1
Paridade	Nenhum
Controlo de fluxo	Nenhum

Cópia de segurança

O NetHSM User Data pode ser guardado num ficheiro de cópia de segurança. Este ficheiro de cópia de segurança contém todos os Dados do Utilizador, nomeadamente Lojas de Configuração, Lojas de Autenticação, Lojas de Chaves do Domínio e Lojas Chave.

Importante

A NetHSM system software in Unattended Boot mode will require the Unlock Passphrase if restored on a different NetHSM hardware. Please refer to chapter Unlock Passphrase to learn more.

Importante

Uma NetHSM em modo Bot desacompanhada estará no mesmo modo após uma restauração.

Antes de se poder iniciar uma cópia de segurança, a Backup Passphrase deve ser definida. A Backup Passphrase é utilizada para encriptar os dados no ficheiro de cópia de segurança.

Aviso

The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.

A frase-senha de reserva pode ser definida da seguinte forma.

nitropyREST API

Opções opcionais*

Opção	Descrição
-n, --new-passphrase TEXT	A nova frase-senha de segurança
-p, --current-passphrase TEXT	The current backup passphrase (or an empty string if not set)
-f, --force	Do not ask for confirmation before changing the passphrase

Exemplo*

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase

New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443

A cópia de segurança pode ser executada da seguinte forma.

nitropyREST API

Papel requerido*

This operation requires an authentication with the Backup role.

Argumentos*

Argumento	Descrição
FILENAME``	Ficheiro de cópia de segurança

Exemplo*

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup

Backup for localhost:8443 written to /tmp/backup

Restaurar

O NetHSM pode ser restaurado a partir de um ficheiro de cópia de segurança.

• If the NetHSM is Unprovisioned it will restore all User Data including system configuration and reboot. Therefore the system may get different network settings, TLS certificate and Unlock Passphrase afterwards.

• If the NetHSM is Provisioned it will restore users and user keys but not system configuration. In this case all previously existing users and user keys will be deleted. The NetHSM ends in an Operational state.

A restauração pode ser aplicada da seguinte forma.

nitropyREST API

Opções opcionais*

Opção	Descrição
-p`, `x id="10"></x>` >`x id=»34»></x>``	A Frasesa-Passe de Backup
-t`, `x id="10"></x>`	O tempo do sistema a definir (Formato: YYYY-MM-DDTHH:MM:SSZ)

Importante

Certifique-se de que a hora do seu computador local está correctamente definida. Para definir uma hora diferente, por favor forneça-a manualmente.

Argumentos*

Argumento		Descrição
FILENAME` | Restaurar ficheiro

Exemplo*

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup

Backup passphrase:
Backup restored on NetHSM localhost:8443

Clustering

NetHSM is stateless, so that several NetHSM devices can be used to process extremely high throughput and provide high availability. The PKCS#11 module supports round-robin schedule for a cluster of NetHSM instances. Multiple instances of NetHSM can be synchronized via encrypted backups. For this a separate system downloads and uploads backup files between the instances. This separate system doesn’t have access to the backup data in clear text because the backup files are encrypted. The synchronization can be easily scripted by using pynitrokey as shown in this example.

Software Update

Software updates can be installed in a two-step process. First the update image needs to be uploaded to a Provisioned NetHSM. The NetHSM verifies image authenticity, integrity, and version number. Optionally, the NetHSM displays release notes, if any.

Aviso

Data loss may occur due to the installation of a beta update! Stable versions should not cause data loss. However, it’s recommended to create a backup before updating.

O ficheiro de actualização pode ser carregado da seguinte forma.

nitropyREST API

Argumentos*

Argumento	Descrição
FILENAME``	Ficheiro de actualização

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin

Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443

Afterwards the update can be applied or aborted. Please refer to the desired option below. If the NetHSM is powered down before the «commit» operation, the update file has to be uploaded again.

Importante

If the upload of the update image fails with Error: NetHSM request failed: Bad request -- malformed image, please follow the steps below.

1. Make sure you have a valid update file by checking with the provided signature.

2. Make sure you don’t have a high log level, such as DEBUG enabled. Please refer to chapter Logging to learn more about the log level configuration.

3. Reboot the appliance to free up used memory.

The update can be applied (committed) as follows. Any data migration is only performed after the NetHSM has successfully booted the new system software version.

nitropyREST API

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST commit-update

Update successfully committed on NetHSM localhost:8443

A actualização pode ser cancelada da seguinte forma.

nitropyREST API

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST cancel-update

Update successfully cancelled on NetHSM localhost:8443

System Information

System information such as firmware version, software version, and hardware version can be retrieved as follows.

nitropyREST API

Exemplo*

$ nitropy nethsm -h $NETHSM_HOST system-info

Host:             192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1.0
Build tag:        v2.0-0-g17ad829

Reinício e Encerramento

O NetHSM pode ser reiniciado e desligado, quer remotamente, quer com o botão de reiniciar e desligar na parte frontal do hardware NetHSM.

A reinicialização remota pode ser iniciada da seguinte forma.

nitropyREST API

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST reboot

NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

O desligamento remoto pode ser iniciado da seguinte forma.

nitropyREST API

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST shutdown

NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Repor para Padrões de Fábrica

A Provisioned NetHSM can be reset to factory defaults. In this case all user data is securely deleted and the NetHSM boots into an Unprovisioned state. Afterwards, you may want to provision the NetHSM.

A reposição para os padrões de fábrica pode ser executada da seguinte forma.

nitropyREST API

Exemplo*

$ nitropy nethsm -h $NETHSM_HOST factory-reset

NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Gestão de usuários

Papéis

O NetHSM permite a separação de funções através da utilização de diferentes papéis. Cada conta de utilizador configurada no NetHSM tem uma das seguintes Roles que lhe é atribuída.

Papel	Descrição
Administrador	Uma conta de utilizador com esta função tem acesso a todas as operações fornecidas pela NetHSM, excepto para operações de utilização chave, ou seja, assinatura e desencriptação de mensagens.
Operador	Uma conta de utilizador com esta Função tem acesso a todas as operações-chave de utilização, um subconjunto de operações de gestão de chaves apenas de leitura e operações de gestão de utilizadores permitindo apenas alterações à sua própria conta.
Metrics	Uma conta de utilizador com esta Função tem acesso apenas a operações só de leitura de métricas.
Backup	Uma conta de utilizador com esta Função tem acesso apenas às operações necessárias para iniciar uma cópia de segurança do sistema.

See Namespaces and Tags for more fine-grained access restricions.

Nota

Num lançamento futuro, poderão ser introduzidas Roles adicionais.

Adicionar Utilizador

Add a user account to the NetHSM. Each user account has a Role, which needs to be specified. Please refer to chapter Roles to learn more about Roles.

Optionally, a user can be assigned to a *Namespace*.

Nota

The user ID must be alphanumeric. The NetHSM assigns a random user ID if none is specified.

Uma conta de utilizador pode ser adicionada da seguinte forma.

nitropyREST API

Opções requeridas*

Opção	Descrição
-n`, `x id="10"></x>` >`x id=»26»></x>>>x id=»30»></x>`	The real name of the new user
-N, --namespace TEXT	The Namespace of the new user
-r`, `x id="10"></x>` >`x id=»21»></x>``	O Role do novo utilizador
-p`, `x id="10"></x>` >`x id=»27»></x>>>x id=»31»></x>`	A frase-senha do novo utilizador

Opções opcionais*

Opção	Descrição
-u`, `x id="10"></x> `x id="24"></x>`	O ID de utilizador do novo utilizador

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1

Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

By default, the Namespace is inherited from the user that adds the new user. Only users without a Namespace can choose a different Namespace for new users. The Namespace is used as a prefix for the user name, for example namespace~user. Therefore, the same user name can be used in several Namespaces.

Eliminar Utilizador

Eliminar uma conta de utilizador do NetHSM.

Aviso

A eliminação é permanente e não pode ser revertida.

Uma conta de utilizador pode ser apagada da seguinte forma.

nitropyREST API

Argumentos*

Argumento	Descrição
USER_ID`	O ID de utilizador do utilizador.

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1

User operator1 deleted on NetHSM localhost:8443

Lista de Utilizadores

Faça uma lista dos utilizadores no NetHSM.

A lista pode ser recuperada da seguinte forma.

nitropyREST API

Opções opcionais*

Opção	Descrição
--details`, `x id="17"></x>`	Consultar o verdadeiro nome e papel do utilizador

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST list-users

Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Users within a Namespace can only see users in the same Namespace.

Palavra-passe de utilizador

A frase-senha de uma conta de utilizador pode ser reposta. Uma frase-chave é definida inicialmente durante a adição de uma conta de utilizador.

Nota

As frases-chave devem ter >= 10 e <= 200 caracteres.

A senha de utilizador pode ser definida da seguinte forma.

nitropyREST API

Opções requeridas*

Opção	Descrição
-u`, `x id="10"></x> `x id="24"></x>`	O ID de utilizador do utilizador
-p`, `x id="10"></x>` >`x id=»27»></x>>>x id=»31»></x>`	A nova frase-senha do utilizador

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1

Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Namespaces

Namespaces were introduced in software version 2.0. When migrating from an earlier version of the software, all existing users and keys will be without a Namespace.

Similarly to the concept of partitions, NetHSM supports the more flexible Namespaces which group keys, administrators, and users on a NetHSM into separate subsets. Users can only see and use keys in the same Namespace and can only see users in the same Namespace. It is not possible to see users and to see and use keys of other Namespaces. When a new user is created, it inherits the Namespace of the user that created it. The available storage capacity is shared between all Namespaces.

Users with the Administrator Role are also referred to as R-Administrator if they are not in a Namespace, or N-Administrator if they are in a Namespace.

Special rules apply to R-Administrator users: They can set the Namespace for new users, list all users and query the Namespace of a user. Also, the NetHSM configuration can only be accessed by R-Administrator users. R-Administrators can not see keys in a Namespace.

To be able to generate keys and users in a Namespace, the Namespace needs to be created by an R-Administrator user. Once the Namespace has been created, R-Administrator users can no longer create, delete or modify users in that Namespace. This allows to protect Namespaces” keys being accessed by R-Administrator (also indirectly by adding a new user on behalf or resetting existing user’s or administrator’s credentials). Therefore, it is necessary to create an N-Administrator user for the Namespace before creating the Namespace. R-Administrator users can also delete a Namespace with all contained keys.

List Namespaces

List the Namespaces on the NetHSM.

A lista pode ser recuperada da seguinte forma.

nitropyREST API

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST list-namespaces

Namespaces on NetHSM localhost:8843:
- ns1
- ns2

Add Namespace

Add a Namespace to the NetHSM.

R-Administrator users can already create new accounts in the Namespace before it is created. After the creation, only N-Administrator users can manage the users in the Namespace. The creation and usage of keys in the Namespace is only possible after it has been added.

Nota

The Namespace ID must be alphanumeric. The NetHSM assigns a random user ID if none is specified.

A Namespace can be added as follows.

nitropyREST API

Argumentos*

Argumento		Descrição
NAMESPACE | The new Namespace.

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1

Namespace ns1 added to NetHSM localhost:8443

Delete Namespace

Delete a Namespace from the NetHSM.

Deleting a Namespace also deletes all keys of that Namespace. Remaining users in the Namespace cannot add keys until the Namespace has been added again.

A Namespace can be deleted as follows.

nitropyREST API

Argumentos*

Argumento	Descrição
NAMESPACE	The Namespace to delete.

Exemplo*

$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1

Namespace ns1 deleted on NetHSM localhost:8443

Etiquetas para utilizadores

Tags can be used to set fine-grained access restrictions on keys, and are an optional feature. One or more Tags can be assigned to user accounts with the Operator role only. The Operators can see all keys, but only use those with at least one corresponding Tag. A key can not be modified by an Operator user.

To learn about how to use Tags on keys, please refer to Tags for Keys.

A Tag can be added as follows.

nitropyREST API

Argumentos*

Argumento	Descrição
USER_ID`	A identificação do utilizador para colocar a etiqueta.
TAG``	A etiqueta a definir no ID do utilizador.

Exemplo*

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin

Added tag berlin for user operator1 on the NetHSM localhost:8443

A Tag pode ser apagada da seguinte forma.

nitropyREST API

Argumentos*

Argumento	Descrição
USER_ID`	A identificação do utilizador para colocar a etiqueta.
TAG``	A etiqueta a definir no ID do utilizador.

Exemplo*

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin

Deleted tag berlin for user operator1 on the NetHSM localhost:8443