Administrație¶
Acest capitol descrie sarcinile administrative pentru utilizatorii cu rolul Administrator. Vă rugăm să consultați capitolul Roluri pentru a afla mai multe despre rol.
Important
Vă rugăm să vă asigurați că ați citit informațiile de la începutul acestui document înainte de a începe să lucrați.
Managementul sistemului¶
Informații despre dispozitiv¶
Informațiile despre furnizor și produs pentru un NetHSM pot fi obținute după cum urmează.
Exemplu
$ nitropy nethsm --host $NETHSM_HOST info
Host: localhost:8443
Vendor: Nitrokey GmbH
Product: NetHSM
Informații despre punctul final /info pot fi găsite în documentația API.
Mod de pornire¶
NetHSM poate fi utilizat în modul Attended Boot și Unattended Boot.
Mod de pornire |
Descriere |
|---|---|
A participat la Boot |
NetHSM pornește în starea _Locked_ (blocat). La fiecare pornire trebuie introdusă fraza de deblocare Unlock Passphrase, care este utilizată pentru a decripta datele utilizatorului ** . Din motive de securitate, acest mod este recomandat și este modul implicit pentru un sistem proaspăt provizionat. |
Pornirea nesupravegheată |
Sistemul pornește nesupravegheat, fără a fi nevoie să introduceți Unlock Passphrase într-o stare _Operational_. Utilizați acest mod dacă cerințele de disponibilitate nu pot fi îndeplinite cu modul Attended Boot. |
Atenționare
Indiferent de modul de pornire, Unlock Passphrase își păstrează valabilitatea și este necesară pentru restaurarea copiilor de rezervă pe alt hardware. Păstrați Unlock Passphrase în siguranță în orice moment.
Modul de pornire curent poate fi recuperat după cum urmează.
Exemplu
$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
Unattended boot: off
Informații despre punctul final /config/unattended-boot pot fi găsite în documentația API.
Modul de pornire poate fi schimbat după cum urmează. La următoarea pornire, NetHSM se va comporta în consecință.
Argumente
Argument |
Descriere |
|---|---|
Stare |
Activați sau dezactivați Unattended Boot. Poate avea valoarea |
Exemplu
$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443
Informații despre punctul final /config/unattended-boot pot fi găsite în documentația API.
Stat¶
Software-ul NetHSM are patru stări: Unprovisioned, Provisioned, Locked și Operational.
Stat |
Descriere |
|---|---|
Nu este prevăzut |
NetHSM fără configurare (implicit din fabrică) |
Aprovizionat |
NetHSM cu configurare. Starea Provisioned implică fie starea Operational, fie starea Locked. |
Operațional |
NetHSM cu configurația și gata să execute comenzi. Starea Operational implică starea Provisioned. |
Blocat |
NetHSM cu configurare, dar cu stocuri de date criptate și inaccesibile. În mod obișnuit, următorul pas este deblocarea sistemului. Starea Locked implică starea Provisioned. |
Stări și tranziții ale NetHSM¶
Starea actuală a NetHSM poate fi recuperată după cum urmează.
Exemplu
$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned
Informații despre punctul final /health/state pot fi găsite în documentația API.
Un NetHSM nou are o stare Neaprovizionat și după aprovizionare intră în starea Operațional. Aprovizionarea unui NetHSM este descrisă în capitolul Provisionare.
Un NetHSM în stare Operational poate fi blocat din nou pentru a-l proteja, după cum urmează.
Exemplu
$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked
Informații despre punctul final /lock pot fi găsite în documentația API.
Un NetHSM aflat în starea Locked poate fi deblocat după cum urmează. În timp ce NetHSM se află în starea _Locked_ (Blocat), nu sunt posibile alte operațiuni. Ulterior, NetHSM se află în starea _Operational_.
Exemplu
$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked
Informații despre punctul final /unlock pot fi găsite în documentația API.
Deblocarea frazei de acces¶
Unlock Passphrase (fraza de deblocare) este utilizată pentru a obține o Unlock Key (cheie de deblocare) în cazul în care NetHSM se află în starea Locked (blocată). Fraza de acces este setată inițial în timpul aprovizionării NetHSM.
Atenționare
Fraza de deblocare nu poate fi resetată fără a cunoaște valoarea curentă. În cazul în care fraza de deblocare se pierde, nu poate fi resetată la o nouă valoare și nici nu poate fi deblocat NetHSM.
Unlock Passphrase poate fi setată după cum urmează.
Opțiuni opționale
Opțiunea |
Descriere |
|---|---|
|
Noua frază de acces pentru deblocare |
|
Fraza de deblocare curentă |
|
Nu cereți confirmarea înainte de a schimba fraza de acces. |
Exemplu
$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443
Informații despre punctul final /config/unlock-passphrase pot fi găsite în documentația API.
Certificat TLS¶
Certificatul TLS este utilizat pentru API-ul REST bazat pe HTTPS și, prin urmare, este utilizat și de nitropy. În timpul aprovizionării, se creează un certificat autofirmat. Certificatul poate fi înlocuit, de exemplu, cu un certificat semnat de o autoritate de certificare (CA). În acest caz, trebuie generată o cerere de semnare a certificatului (CSR). După semnare, certificatul trebuie să fie importat în NetHSM.
O modificare este necesară doar atunci când certificatul trebuie înlocuit. O astfel de modificare poate consta în înlocuirea acestuia cu un certificat semnat de o autoritate de certificare (AC).
Certificatul TLS poate fi recuperat după cum urmează.
Opțiuni necesare
Opțiunea |
Descriere |
|---|---|
|
Get the certificate for the NetHSM TLS interface |
Exemplu
$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----
Informații despre punctul final /config/tls/cert.pem pot fi găsite în documentația API.
Certificatul TLS poate fi generat după cum urmează.
Opțiuni necesare
Opțiunea |
Descriere |
|---|---|
|
Tipul pentru cheia generată |
|
Lungimea cheii generate |
Exemplu
$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443
Informații despre punctul final /config/tls/generate pot fi găsite în documentația API.
Cererea de semnare a certificatului (CSR) pentru certificat poate fi generată după cum urmează.
Opțiuni necesare
Opțiunea |
Descriere |
|---|---|
|
Generarea unui CSR pentru certificatul TLS NetHSM |
|
Numele țării |
|
Numele statului sau al provinciei |
|
Numele localității |
|
Numele organizației |
|
Numele unității organizaționale |
|
Denumirea comună |
|
Adresa de e-mail |
Exemplu
$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----
Informații despre punctul final /config/tls/csr.pem pot fi găsite în documentația API.
Certificatul poate fi înlocuit după cum urmează.
Opțiuni necesare
Opțiunea |
Descriere |
|---|---|
|
Setați certificatul pentru interfața TLS NetHSM |
Argumente
Argument |
Descriere |
|---|---|
|
Fișier de certificat |
Exemplu
nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate
Informații despre punctul final /config/tls/csr.pem pot fi găsite în documentația API.
Rețea¶
Configurația rețelei definește setările utilizate pentru Portul de rețea.
Notă
This settings do not configure the BMC Network Port on the NetHSM 1.
Configurația rețelei poate fi recuperată după cum urmează.
Opțiuni necesare
Opțiunea |
Descriere |
|---|---|
|
Interogarea configurației rețelei |
Exemplu
$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
IP address: 192.168.1.1
Netmask: 255.255.255.0
Gateway: 0.0.0.0
Informații despre punctul final /config/network pot fi găsite în documentația API.
Setați configurația rețelei după cum urmează.
Notă
NetHSM nu acceptă DHCP (Dynamic Host Configuration Protocol).
Notă
NetHSM nu acceptă IPv6 (Internet Protocol version 6).
Opțiuni necesare
Opțiunea |
Descriere |
|---|---|
|
Noua adresă IP |
|
Noua mască de rețea |
|
Noua poartă de acces |
Exemplu
$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443
Informații despre punctul final /config/network pot fi găsite în documentația API.
Timp¶
Configurarea orei stabilește ora sistemului pentru software-ul NetHSM. De obicei, nu este necesar să setați ora sistemului, deoarece aceasta este setată în timpul aprovizionării.
Configurația timpului poate fi recuperată după cum urmează.
Opțiuni necesare
Opțiunea |
Descriere |
|---|---|
|
Consultați ora sistemului |
Exemplu
$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time: 2022-08-17 11:40:00+00:00
Informații despre endpoint-ul /config/time pot fi găsite în documentația API.
Setați ora de funcționare a NetHSM.
Important
Asigurați-vă că treceți ora în fusul orar UTC.
Argumente
Argument |
Descriere |
|---|---|
|
Ora sistemului care trebuie setată (Format: AAAA-MM-DDTHH:MM:SSZ) |
Exemplu
$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443
Informații despre endpoint-ul /config/time pot fi găsite în documentația API.
Metrici¶
The NetHSM logs metrics of system parameters. Please refer to Metrics to learn more about each metric.
Măsurătorile pot fi recuperate după cum urmează.
Rolul necesar
This operation requires an authentication with the Metrics role.
Exemplu
$ nitropy nethsm -h $NETHSM_HOST metrics
Metric Value
---------------------------- --------
client connections 0
established state 6
external.received bytes 989931
external.received packets 13239
external.transmitted bytes 25908953
external.transmitted packets 22037
free chunk count 322
gc compactions 0
gc major bytes 21348352
gc major collections 35
gc minor collections 2652
http response 200 28
http response 201 1
http response 204 1
http response 400 1
http response 403 1
http response 404 145
http response 412 1
http response time 0.084998
http response total 178
internal.received bytes 66541
internal.received packets 1130
internal.transmitted bytes 63802
internal.transmitted packets 1133
kv write 2
log errors 3
log warnings 3
maximum allocated space 64528384
maximum releasable bytes 1216
mmapped region count 0
new sleeper size 1
non-mmapped allocated bytes 64528384
sleep queue size 11
syn-rcvd state 0
timers 2
total allocated space 43940832
total client 1
total established 515
total free space 20587552
total sleeper size 12
total syn-rcvd 514
total timers 526
uptime 17626
Informații despre punctul final /metrics pot fi găsite în documentația API.
Înregistrare¶
NetHSM poate înregistra evenimentele de sistem la portul serial sau la un server syslog din rețea.
Important
În cazul oricărei implementări de producție, jurnalul NetHSM trebuie monitorizat în permanență pentru a oferi o notificare imediată cu privire la orice potențiale probleme de securitate.
Configurația serverului syslog poate fi recuperată după cum urmează.
Opțiuni necesare
Opțiunea |
Descriere |
|---|---|
|
Consultați configurația de logare |
Exemplu
$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
IP address: 0.0.0.0
Port: 514
Log level: info
Informații despre punctul final /config/logging pot fi găsite în documentația API.
Configurația serverului syslog poate fi setată după cum urmează.
Opțiuni necesare
Opțiunea |
Descriere |
|---|---|
|
Adresa IP a noii destinații de logare |
|
Portul noii destinații de logare |
|
Noul nivel de jurnal |
Exemplu
$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443
Informații despre punctul final /config/logging pot fi găsite în documentația API.
Consola serială funcționează chiar de la începutul hardware-ului NetHSM. Aceasta include evenimente de la firmware-ul NetHSM și de la software-ul NetHSM.
Setările pentru conexiunea la consola serială sunt următoarele.
Setarea |
Valoare |
|---|---|
Viteza de baud |
115200 |
Biți de date |
8 |
Biți de oprire |
1 |
Paritate |
Nici unul |
Controlul fluxului |
Nici unul |
Backup¶
NetHSM Datele utilizatorului pot fi salvate într-un fișier de rezervă. Acest fișier de rezervă conține toate User Data, și anume Configuration Store, Authentication Store, Domain Key Store și Key Store.
Important
Un software de sistem NetHSM în modul Unattended Boot va necesita Unlock Passphrase dacă este restaurat pe un hardware NetHSM diferit. Pentru a afla mai multe, consultați capitolul Deblocare a frazei de acces.
Important
Un NetHSM în modul Unattended Boot va fi în același mod după o restaurare.
Înainte de a putea iniția o copie de rezervă, trebuie setată Fraza de rezervă. Backup Passphrase este utilizată pentru a cripta datele din fișierul de backup.
Atenționare
Fraza de rezervă nu poate fi resetată fără a cunoaște valoarea curentă. În cazul în care fraza de rezervă se pierde, nu poate fi resetată la o nouă valoare și nici nu pot fi restaurate copiile de rezervă create.
Fraza de rezervă poate fi setată după cum urmează.
Opțiuni opționale
Opțiunea |
Descriere |
|---|---|
|
Noua frază de acces de rezervă |
|
Fraza de trecere curentă a copiei de rezervă (sau un șir gol dacă nu este setată) |
|
Nu cereți confirmarea înainte de a schimba fraza de acces. |
Exemplu
$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443
Informații despre punctul final /config/backup-passphrase pot fi găsite în documentația API.
Salvarea poate fi executată după cum urmează.
Rolul necesar
This operation requires an authentication with the Backup role.
Argumente
Argument |
Descriere |
|---|---|
|
Fișier de rezervă |
Exemplu
$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup
Informații despre punctul final /system/backup pot fi găsite în documentația API.
Restaurați¶
NetHSM poate fi restaurat dintr-un fișier de rezervă.
If the NetHSM is Unprovisioned it will restore all User Data including system configuration and reboot. Therefore the system may get different network settings, TLS certificate and Unlock Passphrase afterwards. The NetHSM ends in a Locked state.
Dacă NetHSM este Provisioned, se vor restaura utilizatorii și cheile de utilizator, dar nu și configurația sistemului. În acest caz, toți utilizatorii și cheile de utilizator existente anterior vor fi șterse. NetHSM se încheie într-o stare Operational.
Restaurarea poate fi aplicată după cum urmează.
Opțiuni opționale
Opțiunea |
Descriere |
|---|---|
|
Fraza de rezervă |
|
Ora sistemului care trebuie setată (Format: |
Important
Asigurați-vă că ora computerului local este setată corect. Pentru a seta o oră diferită, vă rugăm să o furnizați manual.
Argumente
Argument |
Descriere |
|
|---|---|---|
|
||
Exemplu
$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443
Informații despre punctul final /system/restore pot fi găsite în documentația API.
Replication¶
NetHSM is stateless, so that several NetHSM devices can be used to process extremely high throughput and provide high availability. The PKCS#11 module supports round-robin schedule for a cluster of NetHSM instances. Multiple instances of NetHSM can be synchronized via encrypted backups. For this a separate system downloads and uploads backup files between the instances. The synchronization can be easily scripted by using pynitrokey as shown in this example. This separate system doesn’t have access to the backed up data in clear text because the backup files are encrypted twice. The separate system is in possession of the backup passphrase only but not of the Domain Key resp. Unlock Passphrase which is the second layer of encryption. See the system design for further details.
Actualizare software¶
Actualizările de software pot fi instalate printr-un proces în doi pași. În primul rând, imaginea de actualizare trebuie încărcată pe un Provisioned NetHSM. NetHSM verifică autenticitatea, integritatea și numărul de versiune al imaginii. Opțional, NetHSM afișează notele de lansare, dacă există.
Atenționare
Este posibil să apară pierderi de date din cauza instalării unei actualizări beta! Versiunile stabile nu ar trebui să provoace pierderi de date. Cu toate acestea, se recomandă să creați o copie de rezervă înainte de actualizare.
Fișierul de actualizare poate fi încărcat după cum urmează.
Argumente
Argument |
Descriere |
|---|---|
|
Fișier de actualizare |
Exemplu
$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin
Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443
Informații despre punctul final /system/update pot fi găsite în documentația API.
Ulterior, actualizarea poate fi aplicată sau întreruptă. Vă rugăm să consultați opțiunea dorită mai jos. În cazul în care NetHSM este oprit înainte de operațiunea „commit”, fișierul de actualizare trebuie încărcat din nou.
Important
Dacă încărcarea imaginii de actualizare eșuează cu Error: NetHSM request failed: Bad request -- malformed image, vă rugăm să urmați pașii de mai jos.
Asigurați-vă că aveți un fișier de actualizare valid prin verificarea cu semnătura furnizată.
Asigurați-vă că nu aveți activat un nivel de jurnalizare ridicat, cum ar fi
DEBUG. Consultați capitolul Logging pentru a afla mai multe despre configurarea nivelului de log.Reporniți aparatul pentru a elibera memoria utilizată.
Actualizarea poate fi aplicată (angajată) după cum urmează. Orice migrare de date se efectuează numai după ce NetHSM a inițializat cu succes noua versiune de software de sistem.
Exemplu
$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443
Informații despre punctul final /system/commit-update pot fi găsite în documentația API.
Actualizarea poate fi anulată după cum urmează.
Exemplu
$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443
Informații despre punctul final /system/cancel-update pot fi găsite în documentația API.
Informații despre sistem¶
Informațiile despre sistem, cum ar fi versiunea firmware, versiunea software și versiunea hardware pot fi recuperate după cum urmează.
Exemplu
$ nitropy nethsm -h $NETHSM_HOST system-info
Host: 192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1.0
Build tag: v2.0-0-g17ad829
Attestation keys
P256: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEup7z8QYvkzkBuLryG1SgVQjlPhSFW3PzYn1l3uLNd+pSBxX0OBpslcbnmPFr5wSs/iP46+H8MFlEAYUkYv6uuQ==
P384: MHYwEAYHKoZIzj0CAQYFK4EEACIDYgAEfQiurLvEmjsAmumRtIqu70HKehRo8A/nVrqQGiR8Rcr+SUujwgtQByORX5BoRtv4sZNJW4FyLGqvXCIF9IV1puob2+9Qq5oEjz4x4malLbFdyXDmQK8o2NpvcbgOr215
Platform Configuration Registers
0: 0f6064779fba55b102a6ecc20498c2020deaf2aebef23716ec293b25873647f8
2: 2b0d25a4a92b4df5205742954243db9d306a4c3277a6b6958bcbaf3d47def26f
Informații despre punctul final /system/info pot fi găsite în Documentația API.
Repornire și închidere¶
NetHSM poate fi repornit și oprit, fie de la distanță, fie cu ajutorul butonului de repornire și oprire de pe partea frontală a hardware-ului NetHSM.
Repornirea de la distanță poate fi inițiată după cum urmează.
Exemplu
$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot
Informații despre punctul final /system/reboot pot fi găsite în documentația API.
Oprirea de la distanță poate fi inițiată după cum urmează.
Exemplu
$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown
Informații despre punctul final /system/shutdown pot fi găsite în documentația API.
Resetare la valorile implicite din fabrică¶
Un Provisioned NetHSM poate fi resetat la valorile implicite din fabrică. În acest caz, toate datele utilizatorului sunt șterse în siguranță, iar NetHSM pornește în starea Unprovisioned. Ulterior, este posibil să doriți să provizionați NetHSM-ul.
Resetarea la valorile implicite din fabrică poate fi efectuată după cum urmează.
Exemplu
$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset
Informații despre punctul final /system/factory-reset pot fi găsite în documentația API.
Gestionarea utilizatorilor¶
Roluri¶
NetHSM permite separarea sarcinilor prin utilizarea de roluri diferite. Fiecărui cont de utilizator configurat pe NetHSM îi este atribuit unul dintre următoarele Role.
Rol |
Descriere |
|---|---|
Administrator |
Un cont de utilizator cu acest rol are acces la toate operațiunile furnizate de NetHSM, cu excepția operațiunilor de utilizare a cheilor, adică semnarea și decriptarea mesajelor. |
Operator |
Un cont de utilizator cu acest rol are acces la toate operațiunile de utilizare a cheilor, la un subset de operațiuni de gestionare a cheilor numai pentru citire și la operațiuni de gestionare a utilizatorilor care permit modificări numai pentru propriul cont. |
Metrice |
Un cont de utilizator cu acest rol are acces numai la operațiunile de citire a măsurătorilor. |
*Backup * |
Un cont de utilizator cu acest rol are acces numai la operațiunile necesare pentru a iniția o copie de rezervă a sistemului. |
Consultați Spații de nume și Etichete pentru restricții de acces mai precise.
Notă
Într-o versiune viitoare, pot fi introduse Roles suplimentare.
Adăugați un utilizator¶
Adăugați un cont de utilizator la NetHSM. Fiecare cont de utilizator are un Rol, care trebuie să fie specificat. Vă rugăm să consultați capitolul Roluri pentru a afla mai multe despre Roluri.
Opțional, un utilizator poate fi atribuit unui *Namespace*.
Notă
ID-ul utilizatorului trebuie să fie alfanumeric. NetHSM atribuie un ID de utilizator aleatoriu dacă nu este specificat niciunul.
Un cont de utilizator poate fi adăugat după cum urmează.
Opțiuni necesare
Opțiunea |
Descriere |
|---|---|
|
Numele real al noului utilizator |
|
Spațiul de nume al noului utilizator |
|
Rolul noului utilizator |
|
Fraza de acces a noului utilizator |
Opțiuni opționale
Opțiunea |
Descriere |
|---|---|
|
ID-ul de utilizator al noului utilizator |
Exemplu
$ nitropy nethsm --host $NETHSM_HOST add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443
În mod implicit, spațiul de nume este moștenit de la utilizatorul care adaugă noul utilizator. Numai utilizatorii fără un Namespace pot alege un Namespace diferit pentru noii utilizatori. Namespace este utilizat ca prefix pentru numele de utilizator, de exemplu namespace~user. Prin urmare, același nume de utilizator poate fi utilizat în mai multe Namespace-uri.
Ștergeți utilizatorul¶
Ștergeți un cont de utilizator din NetHSM.
Atenționare
Ștergerea este permanentă și nu poate fi anulată.
Un cont de utilizator poate fi șters după cum urmează.
Argumente
Argument |
Descriere |
|---|---|
|
ID-ul de utilizator al utilizatorului. |
Exemplu
$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443
Informații despre punctul final /users/{UserID}` pot fi găsite în documentația API.
Lista utilizatorilor¶
Lista utilizatorilor de pe NetHSM.
Lista poate fi consultată după cum urmează.
Opțiuni opționale
Opțiunea |
Descriere |
|---|---|
|
Consultați numele și rolul real al utilizatorului |
Exemplu
$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:
User ID Real name Role
--------- ----------------- -------------
operator1 Nitrokey Operator Operator
admin admin Administrator
Utilizatorii din cadrul unui spațiu de nume pot vedea numai utilizatorii din același spațiu de nume.
Fraza de acces a utilizatorului¶
Se poate reseta fraza de trecere a unui cont de utilizator. O frază de trecere este setată inițial în timpul adăugării unui cont de utilizator.
Notă
Frazele de acces trebuie să aibă >= 10 și <= 200 de caractere.
Fraza de trecere a utilizatorului poate fi setată după cum urmează.
Opțiuni necesare
Opțiunea |
Descriere |
|---|---|
|
ID-ul de utilizator al utilizatorului |
|
Noua frază de acces a utilizatorului |
Exemplu
$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443
Informații despre punctul final /users/{UserID}/passphrase pot fi găsite în documentația API.
Spații de nume¶
Spațiile de nume au fost introduse în versiunea 2.0 a software-ului. La migrarea de la o versiune anterioară a software-ului, toți utilizatorii și cheile existente vor fi lipsite de un Namespace.
În mod similar conceptului de partiții, NetHSM suportă mai flexibilul Namespace care grupează cheile, administratorii și utilizatorii de pe un NetHSM în subseturi separate. Utilizatorii pot vedea și utiliza numai cheile din același Namespace și pot vedea numai utilizatorii din același Namespace. Nu este posibil să se vadă utilizatori și să se vadă și să se utilizeze chei din alte Namespace-uri. Atunci când este creat un utilizator nou, acesta moștenește spațiul de nume al utilizatorului care l-a creat. Capacitatea de stocare disponibilă este împărțită între toate Namespace-urile.
Utilizatorii cu rolul Administrator ` <administration#roles>`__ sunt denumiți, de asemenea, R-Administrator dacă nu se află într-un Namespace, sau N-Administrator dacă se află într-un Namespace.
Utilizatorilor R-Administrator li se aplică reguli speciale: Aceștia pot seta spațiul de nume pentru utilizatorii noi, pot lista toți utilizatorii și pot consulta spațiul de nume al unui utilizator. De asemenea, configurația NetHSM poate fi accesată numai de către utilizatorii R-Administrator. R-Administratorii nu pot vedea cheile dintr-un Namespace.
Pentru a putea genera chei și utilizatori într-un spațiu de nume, spațiul de nume trebuie să fie creat de un utilizator R-Administrator. Odată ce spațiul de nume a fost creat, utilizatorii R-Administrator nu mai pot crea, șterge sau modifica utilizatori în spațiul de nume respectiv. Acest lucru permite protejarea cheilor Namespace-urilor care sunt accesate de R-Administrator (de asemenea, indirect, prin adăugarea unui nou utilizator în numele său sau prin resetarea credențialelor utilizatorului sau administratorului existent). Prin urmare, este necesar să se creeze un utilizator N-Administrator pentru spațiul de nume înainte de crearea spațiului de nume. Utilizatorii R-Administrator pot, de asemenea, șterge un Namespace cu toate cheile conținute.
Lista spațiilor de nume¶
Enumerați spațiile de nume de pe NetHSM.
Lista poate fi consultată după cum urmează.
Exemplu
$ nitropy nethsm --host $NETHSM_HOST list-namespaces
Namespaces on NetHSM localhost:8843:
- ns1
- ns2
Informații despre punctul final /namespaces pot fi găsite în Documentația API.
Adăugarea spațiului de nume¶
Adăugați un spațiu de nume la NetHSM.
Utilizatorii R-Administrator pot crea deja conturi noi în spațiul de nume înainte ca acesta să fie creat. După creare, numai utilizatorii N-Administrator pot gestiona utilizatorii din spațiul de nume. Crearea și utilizarea cheilor în spațiul de nume este posibilă numai după ce acesta a fost adăugat.
Notă
ID-ul spațiului de nume trebuie să fie alfanumeric. NetHSM atribuie un ID de utilizator aleatoriu dacă nu este specificat niciunul.
Un spațiu de nume poate fi adăugat după cum urmează.
Argumente
Argument |
Descriere |
|
|---|---|---|
|
||
Exemplu
$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1
Namespace ns1 added to NetHSM localhost:8443
Informații despre punctul final /namespaces/{NamespaceID} pot fi găsite în Documentația API.
Ștergerea spațiului de nume¶
Ștergeți un spațiu de nume din NetHSM.
Ștergerea unui spațiu de nume șterge, de asemenea, toate cheile spațiului de nume respectiv. Utilizatorii rămași în spațiul de nume nu pot adăuga chei până când spațiul de nume nu a fost adăugat din nou.
Un spațiu de nume poate fi șters după cum urmează.
Argumente
Argument |
Descriere |
|---|---|
|
Spațiul de nume care urmează să fie șters. |
Exemplu
$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1
Namespace ns1 deleted on NetHSM localhost:8443
Informații despre punctul final /namespaces/{NamespaceID} pot fi găsite în Documentația API.