Administrație#

Acest capitol descrie sarcinile administrative pentru utilizatorii cu rolul Administrator. Vă rugăm să consultați capitolul Role pentru a afla mai multe despre acest rol.

Important

Vă rugăm să vă asigurați că ați citit informațiile de la începutul acestui document înainte de a începe să lucrați.

Managementul sistemului#

Informații despre dispozitiv#

Informațiile despre furnizor și produs pentru un NetHSM pot fi obținute după cum urmează.

Exemplu

$ nitropy nethsm --host $NETHSM_HOST info

Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Mod de pornire#

NetHSM poate fi utilizat în modul Attended Boot și Unattended Boot.

Mod de pornire	Descriere
Atenționat Boot	La fiecare pornire trebuie introdusă Unlock Passphrase, care este utilizată pentru decriptarea User Data. Din motive de securitate, acest mod este recomandat.
Unattended Boot	Nu este necesară nicio Unlock Passphrase (frază de deblocare), prin urmare NetHSM poate porni nesupravegheat. Utilizați acest mod dacă cerințele dvs. de disponibilitate nu pot fi îndeplinite cu modul Attended Boot.

Modul de pornire curent poate fi recuperat după cum urmează.

Exemplu

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot

Configuration for NetHSM localhost:8443:
   Unattended boot: off

Modul de pornire poate fi schimbat după cum urmează.

Argumente

Argument	Descriere
Stare	Activați sau dezactivați Unattended Boot. Poate avea valoarea `on` sau off`.

Exemplu

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on

Updated the unattended boot configuration for NetHSM localhost:8443

Stat#

Software-ul NetHSM are patru stări: Unprovisioned, Provisioned, Locked și Operational.

Stat	Descriere
Nu este prevăzut	NetHSM fără configurare (implicit din fabrică)
Aprovizionat	NetHSM cu configurare. Starea Provisioned implică fie starea Operational, fie starea Locked.
Operațional	NetHSM cu configurația și gata să execute comenzi. Starea Operational implică starea Provisioned.
Blocat	NetHSM cu configurație, dar protejat (necesită deblocare). Starea Operational implică starea Provisioned.

Starea actuală a NetHSM poate fi recuperată după cum urmează.

Exemplu

$ nitropy nethsm --host $NETHSM_HOST state

NetHSM localhost:8443 is Unprovisioned

Un nou NetHSM are o stare Unprovisioned și, după aprovizionare, intră în starea Operational. Aprovizionarea unui NetHSM este descrisă în capitolul Aprovizionare.

Un NetHSM în stare Operational poate fi blocat din nou pentru a-l proteja, după cum urmează.

Exemplu

$ nitropy nethsm --host $NETHSM_HOST lock

NetHSM localhost:8443 locked

Un NetHSM în starea Locked poate fi deblocat după cum urmează.

Exemplu

$ nitropy nethsm --host $NETHSM_HOST unlock

NetHSM localhost:8443 unlocked

Deblocarea frazei de acces#

Unlock Passphrase (fraza de deblocare) este utilizată pentru a obține o Unlock Key (cheie de deblocare) în cazul în care NetHSM se află în starea Locked (blocată). Fraza de acces este setată inițial în timpul aprovizionării NetHSM.

Unlock Passphrase poate fi setată după cum urmează.

Opțiuni opționale

Opțiunea	Descriere
`-p`, `--passphrase` `TEXT`	Noua frază de acces pentru deblocare

Exemplu

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase

Passphrase:
Repeat for confirmation:
Updated the unlock passphrase for localhost:8443

Certificat TLS#

Certificatul TLS este utilizat pentru API-ul REST bazat pe HTTPS și, prin urmare, este utilizat și de nitropy. În timpul aprovizionării, se creează un certificat autofirmat. Certificatul poate fi înlocuit, de exemplu, cu un certificat semnat de o autoritate de certificare (CA). În acest caz, trebuie generată o cerere de semnare a certificatului (CSR). După semnare, certificatul trebuie să fie importat în NetHSM.

O modificare este necesară doar atunci când certificatul trebuie înlocuit. O astfel de modificare poate consta în înlocuirea acestuia cu un certificat semnat de o autoritate de certificare (AC).

Certificatul TLS poate fi recuperat după cum urmează.

Opțiuni necesare

Opțiunea	Descriere
-a`, --api`	Setați certificatul pentru interfața TLS NetHSM

Exemplu

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api

Certificatul TLS poate fi generat după cum urmează.

Opțiuni necesare

Opțiunea	Descriere
`-t`, `--type` `[RSA\|Curve25519\|EC_P224\|EC_P256\|EC_P384\|EC_P521]`	Tipul pentru cheia generată
`-l`, `--length` `INTEGER`	Lungimea cheii generate

Exemplu

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519

Key for TLS interface generated on NetHSM localhost:8443

Cererea de semnare a certificatului (CSR) pentru certificat poate fi generată după cum urmează.

Opțiuni necesare

Opțiunea	Descriere
-a`, --api`	Generarea unui CSR pentru certificatul TLS NetHSM
--country` TEXT`	Numele țării
--state-or-province` TEXT`	Numele statului sau al provinciei
--locality` TEXT`	Numele localității
`--organization` TEXT`	Numele organizației
`--organizational-unit` TEXT`	Numele unității organizaționale
--common-name` TEXT`	Denumirea comună
`--email-address` TEXT`	Adresa de e-mail

Exemplu

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"

Certificatul poate fi înlocuit după cum urmează.

Opțiuni necesare

Opțiunea	Descriere
-a`, --api`	Setați certificatul pentru interfața TLS NetHSM

Argumente

Argument	Descriere
FILENAME`	Fișier de certificat

Exemplu

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Rețea#

Configurația rețelei definește setările utilizate pentru Portul de rețea.

Notă

Aceste setări nu configurează BMC Network Port.

Configurația rețelei poate fi recuperată după cum urmează.

Opțiuni necesare

Opțiunea	Descriere
--network`	Interogarea configurației rețelei

Exemplu

$ nitropy nethsm -h $NETHSM_HOST get-config --network

Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Setați configurația rețelei după cum urmează.

Notă

NetHSM nu acceptă DHCP (Dynamic Host Configuration Protocol).

Notă

NetHSM nu acceptă IPv6 (Internet Protocol version 6).

Opțiuni necesare

Opțiunea	Descriere
-a`, --ip-address`	Noua adresă IP
-n`, --netmask`	Noua mască de rețea
-n`, --netmask`	Noua poartă de acces

Exemplu

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0

Updated the network configuration for NetHSM localhost:8443

Timp#

Configurarea orei stabilește ora sistemului pentru software-ul NetHSM. De obicei, nu este necesar să setați ora sistemului, deoarece aceasta este setată în timpul aprovizionării.

Configurația timpului poate fi recuperată după cum urmează.

Opțiuni necesare

Opțiunea	Descriere
--time`	Consultați ora sistemului

Exemplu

$ nitropy nethsm -host $NETHSM_HOST get-config --time

Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Setați ora de funcționare a NetHSM.

Important

Asigurați-vă că treceți ora în fusul orar UTC.

Argumente

Argument	Descriere
time`	Ora sistemului care trebuie setată (Format: AAAA-MM-DDTHH:MM:SSZ)

Exemplu

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z

Updated the system time for NetHSM localhost:8443

Metrici#

NetHSM înregistrează în jurnale metrici ale parametrilor sistemului.

Notă

Această comandă necesită autentificarea unui utilizator cu rolul Metrics. Vă rugăm să consultați capitolul Roluri pentru a afla mai multe despre acest rol.

Măsurătorile pot fi recuperate după cum urmează.

Exemplu

$ nitropy nethsm -h $NETHSM_HOST metrics

Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Înregistrare#

NetHSM poate înregistra evenimentele de sistem la portul serial sau la un server syslog din rețea.

Consola serială funcționează chiar de la începutul hardware-ului NetHSM. Aceasta include evenimente de la firmware-ul NetHSM și de la software-ul NetHSM.

Setările pentru conexiunea la consola serială sunt următoarele.

Setarea	Valoare
Viteza de baud	115200
Biți de date	8
Biți de oprire	1
Paritate	Nici unul
Controlul fluxului	Nici unul

Configurația serverului syslog poate fi recuperată după cum urmează.

Opțiuni necesare

Opțiunea	Descriere
--network`	Consultați configurația de logare

Exemplu

$ nitropy nethsm -h $NETHSM_HOST get-config --logging

Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

Configurația serverului syslog poate fi setată după cum urmează.

Opțiuni necesare

Opțiunea	Descriere
`-p`, `--passphrase` `TEXT`	Adresa IP a noii destinații de logare
`-p`, `--port` `INTEGER`	Portul noii destinații de logare
`-l`, `--log-level` `[debug\|info\|warning\|error]`	Noul nivel de jurnal

Exemplu

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info

Updated the logging configuration for NetHSM localhost:8443

Backup#

NetHSM Datele utilizatorului pot fi salvate într-un fișier de rezervă. Acest fișier de rezervă conține toate User Data, și anume Configuration Store, Authentication Store, Domain Key Store și Key Store.

Important

Un software de sistem NetHSM în modul Unattended Boot va avea nevoie de Unlock Passphrase dacă este restaurat pe un alt hardware NetHSM. Vă rugăm să consultați capitolul Unlock Passphrase pentru a afla mai multe.

Important

Un NetHSM în modul Unattended Boot va fi în același mod după o restaurare.

Înainte de a putea iniția o copie de rezervă, trebuie setată Fraza de rezervă. Backup Passphrase este utilizată pentru a cripta datele din fișierul de backup.

Fraza de rezervă poate fi setată după cum urmează.

Opțiuni opționale

Opțiunea	Descriere
`-p`, `--passphrase` `TEXT`	Noua frază de acces de rezervă

Exemplu

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase

Passphrase:
Repeat for confirmation:
Updated the backup passphrase for NetHSM localhost:8443

Notă

Această comandă necesită autentificarea unui utilizator cu rolul Backup. Vă rugăm să consultați capitolul Roles pentru a afla mai multe informații.

Salvarea poate fi executată după cum urmează.

Argumente

Argument	Descriere
FILENAME`	Fișier de rezervă

Exemplu

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup

Backup for localhost:8443 written to /tmp/backup

Notă

Acest fișier de rezervă poate fi restaurat numai pe o instanță NetHSM neaprovizionată.

Restaurați#

NetHSM poate fi restaurat dintr-un fișier de rezervă.

Notă

NetHSM trebuie să se afle într-o stare Unprovisioned State.

Restaurarea poate fi aplicată după cum urmează.

Opțiuni opționale

Opțiunea	Descriere
`-p`, `--backup-passphrase` `passphrase`	Fraza de rezervă
-t`, --system-time`	Ora sistemului care trebuie setată (Format: `YYYY-MM-DDTHH:MM:SSZ`)

Important

Asigurați-vă că ora computerului local este setată corect. Pentru a seta o oră diferită, vă rugăm să o furnizați manual.

Argumente

Argument		Descriere
FILENAME` \| Restaurați fișierul

Exemplu

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup

Backup passphrase:
Backup restored on NetHSM localhost:8443

Actualizare#

Actualizările pentru NetHSM pot fi instalate printr-un proces în doi pași. Mai întâi, imaginea de actualizare trebuie încărcată pe NetHSM. Imaginea este verificată și validată automat.

Atenționare

Este posibil să apară pierderi de date din cauza instalării unei actualizări beta!

Fișierul de actualizare poate fi încărcat după cum urmează.

Argumente

Argument	Descriere
FILENAME`	Fișier de actualizare

Exemplu

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.cpio

Image /tmp/nethsm-update.img.cpio uploaded to NetHSM localhost:8443

Ulterior, actualizarea poate fi aplicată sau întreruptă. Vă rugăm să consultați opțiunea dorită mai jos.

Actualizarea poate fi aplicată (angajată) după cum urmează.

Exemplu

$ nitropy nethsm --host $NETHSM_HOST commit-update

Update successfully committed on NetHSM localhost:8443

Actualizarea poate fi anulată după cum urmează.

Exemplu

$ nitropy nethsm --host $NETHSM_HOST cancel-update

Update successfully cancelled on NetHSM localhost:8443

Repornire și închidere#

NetHSM poate fi repornit și oprit, fie de la distanță, fie cu ajutorul butonului de repornire și oprire de pe partea frontală a hardware-ului NetHSM.

Repornirea de la distanță poate fi inițiată după cum urmează.

Exemplu

$ nitropy nethsm --host $NETHSM_HOST reboot

NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

Oprirea de la distanță poate fi inițiată după cum urmează.

Exemplu

$ nitropy nethsm --host $NETHSM_HOST shutdown

NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Resetare la valorile implicite din fabrică#

NetHSM poate fi resetat la valorile implicite din fabrică. În timpul acestui proces, toate datele utilizatorului sunt șterse.

Resetarea la valorile implicite din fabrică poate fi efectuată după cum urmează.

Exemplu

$ nitropy nethsm -h $NETHSM_HOST factory-reset

NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Gestionarea utilizatorilor#

Roluri#

NetHSM permite separarea sarcinilor prin utilizarea de roluri diferite. Fiecărui cont de utilizator configurat pe NetHSM îi este atribuit unul dintre următoarele Role.

Rol	Descriere
Administrator	Un cont de utilizator cu acest rol are acces la toate operațiunile furnizate de NetHSM, cu excepția operațiunilor de utilizare a cheilor, adică semnarea și decriptarea mesajelor.
Operator	Un cont de utilizator cu acest rol are acces la toate operațiunile de utilizare a cheilor, la un subset de operațiuni de gestionare a cheilor numai pentru citire și la operațiuni de gestionare a utilizatorilor care permit modificări numai pentru propriul cont.
Metrice	Un cont de utilizator cu acest rol are acces numai la operațiunile de citire a măsurătorilor.
Backup	Un cont de utilizator cu acest rol are acces numai la operațiunile necesare pentru a iniția o copie de rezervă a sistemului.

Notă

Într-o versiune viitoare, pot fi introduse Roles suplimentare.

Adăugați un utilizator#

Adăugați un cont de utilizator la NetHSM. Fiecare cont de utilizator are un Role, care trebuie specificat. Vă rugăm să consultați capitolul Roles pentru a afla mai multe despre Roles.

Notă

NetHSM atribuie un ID de utilizator aleatoriu dacă nu este specificat niciunul.

Un cont de utilizator poate fi adăugat după cum urmează.

Opțiuni necesare

Opțiunea	Descriere
`-n`, `--real-name` `TEXT`	Numele real al utilizatorului
`-r`, `--role` `[Administrator\|Operator\|Metrics\|Backup]`	Rolul noului utilizator
`-p`, `--passphrase` `TEXT`	Fraza de acces a noului utilizator

Opțiuni opționale

Opțiunea	Descriere
`-u`, `--user-id` `TEXT`	ID-ul de utilizator al noului utilizator

Exemplu

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1

Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Ștergeți utilizatorul#

Ștergeți un cont de utilizator din NetHSM.

Atenționare

Ștergerea este permanentă și nu poate fi anulată.

Un cont de utilizator poate fi șters după cum urmează.

Argumente

Argument	Descriere
USER_ID`	ID-ul de utilizator al utilizatorului.

Exemplu

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1

User operator1 deleted on NetHSM localhost:8443

Lista utilizatorilor#

Lista utilizatorilor de pe NetHSM.

Lista poate fi consultată după cum urmează.

Opțiuni opționale

Opțiunea	Descriere
--details`, --no-details`	Consultați numele și rolul real al utilizatorului

Exemplu

$ nitropy nethsm --host $NETHSM_HOST list-users

Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Fraza de acces a utilizatorului#

Se poate reseta fraza de trecere a unui cont de utilizator. O frază de trecere este setată inițial în timpul adăugării unui cont de utilizator.

Notă

Frazele de acces trebuie să aibă >= 10 și <= 200 de caractere.

Fraza de trecere a utilizatorului poate fi setată după cum urmează.

Opțiuni necesare

Opțiunea	Descriere
`-u`, `--user-id` `TEXT`	ID-ul de utilizator al utilizatorului
`-p`, `--passphrase` `TEXT`	Noua frază de acces a utilizatorului

Exemplu

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1

Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Etichete pentru utilizatori#

Tagurile pot fi utilizate pentru a stabili restricții de acces la chei și reprezintă o caracteristică opțională. Ele pot fi atribuite numai conturilor de utilizator cu rolul Operator. Operatorii pot vedea toate cheile, dar le pot utiliza numai pe cele care au cel puțin un Tag corespunzător. O cheie nu poate fi modificată de un utilizator Operator.

Pentru a afla cum se utilizează Tags pe taste, consultați Tags pentru taste.

Tag-ul poate fi adăugat după cum urmează.

Argumente

Argument	Descriere
USER_ID`	ID-ul utilizatorului pentru care se stabilește eticheta.
TAG`	Eticheta care trebuie setată pe ID-ul utilizatorului.

Exemplu

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin

Added tag berlin for user operator1 on the NetHSM localhost:8443

Tag-ul poate fi șters după cum urmează.

Argumente

Argument	Descriere
USER_ID`	ID-ul utilizatorului pentru care se stabilește eticheta.
TAG`	Eticheta care trebuie setată pe ID-ul utilizatorului.

Exemplu

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin

Deleted tag berlin for user operator1 on the NetHSM localhost:8443