Администрация#

В этой главе описаны административные задачи для пользователей с ролью Администратор. Пожалуйста, обратитесь к главе Роли, чтобы узнать больше об этой роли.

Важно

Пожалуйста, убедитесь, что вы прочитали информацию в начале этого документа перед началом работы.

Управление системой#

Информация об устройстве#

Информация о поставщике и продукте для NetHSM может быть получена следующим образом.

Пример.

$ nitropy nethsm --host $NETHSM_HOST info

Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Режим загрузки#

NetHSM может быть использован в режиме Attended Boot и Unattended Boot.

Режим загрузки	Описание
Сапог	При каждом запуске необходимо вводить парольную фразу разблокировки, которая используется для расшифровки данных пользователя. В целях безопасности рекомендуется использовать этот режим.
Управляемая загрузка	Не требуется Unlock Passphrase, поэтому NetHSM может запускаться без посторонней помощи. Используйте этот режим, если ваши требования к доступности не могут быть выполнены в режиме Attended Boot.

Текущий режим загрузки можно получить следующим образом.

Пример.

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot

Configuration for NetHSM localhost:8443:
   Unattended boot: off

Режим загрузки можно изменить следующим образом.

Аргументы

Аргумент	Описание
Статус	Включить или отключить Unattended Boot. Может иметь значение `on` или `off`.

Пример.

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on

Updated the unattended boot configuration for NetHSM localhost:8443

Государство#

Программное обеспечение NetHSM имеет четыре состояния: Unprovisioned, Provisioned, Locked и Operational.

Государство	Описание
Непровизированный	NetHSM без конфигурации (заводское значение по умолчанию)
Обеспечено	NetHSM с конфигурацией. Состояние Provisioned подразумевает состояние Operational или Locked.
Операция	NetHSM с конфигурацией и готов к выполнению команд. Состояние Operational подразумевает состояние Provisioned.
Заперто	NetHSM с конфигурацией, но защищенный (требуется разблокировка). Состояние Operational подразумевает состояние Provisioned.

Текущее состояние NetHSM можно получить следующим образом.

Пример.

$ nitropy nethsm --host $NETHSM_HOST state

NetHSM localhost:8443 is Unprovisioned

Новый NetHSM имеет состояние Unprovisioned, а после инициализации переходит в состояние Operational. Предоставление NetHSM описано в главе Provisioning.

NetHSM в рабочем состоянии может быть снова заблокирован для защиты следующим образом.

Пример.

$ nitropy nethsm --host $NETHSM_HOST lock

NetHSM localhost:8443 locked

NetHSM в состоянии Locked можно разблокировать следующим образом.

Пример.

$ nitropy nethsm --host $NETHSM_HOST unlock

NetHSM localhost:8443 unlocked

Разблокировать парольную фразу#

Парольная фраза Unlock Passphrase используется для получения ключа Unlock Key, если NetHSM находится в состоянии Locked. Парольная фраза первоначально задается во время инициализации NetHSM.

Пассфраза разблокировки может быть установлена следующим образом.

Опциональные опции

Вариант	Описание
`-p`, `--passphrase` `TEXT`.	Новая парольная фраза для разблокировки

Пример.

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase

Passphrase:
Repeat for confirmation:
Updated the unlock passphrase for localhost:8443

Сертификат TLS#

Сертификат TLS используется для REST API на базе HTTPS и, таким образом, также используется nitropy. Во время инициализации создается самоподписанный сертификат. Сертификат может быть заменен, например, подписанным сертификатом центра сертификации (ЦС). В этом случае необходимо сгенерировать запрос на подписание сертификата (CSR). После подписания сертификат должен быть импортирован в NetHSM.

Изменение необходимо только в том случае, если сертификат подлежит замене. Такое изменение может заключаться в замене сертификата подписанным сертификатом центра сертификации (ЦС).

Сертификат TLS можно получить следующим образом.

Требуемые параметры

Вариант	Описание
`-a`, `--api`.	Установите сертификат для интерфейса TLS NetHSM

Пример.

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api

Сертификат TLS может быть создан следующим образом.

Требуемые параметры

Вариант	Описание
`-t`, `--type` `[RSA\|Curve25519\|EC_P224\|EC_P256\|EC_P384\|EC_P521]`.	Тип для сгенерированного ключа
`-l`, `--length` `INTEGER`.	Длина сгенерированного ключа

Пример.

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519

Key for TLS interface generated on NetHSM localhost:8443

Запрос на подписание сертификата (CSR) для сертификата может быть создан следующим образом.

Требуемые параметры

Вариант	Описание
`-a`, `--api`.	Создайте CSR для сертификата TLS NetHSM
`--country` `TEXT`	Название страны
`--state-or-province` `TEXT`	Название штата или провинции
`--locality` `TEXT`	Название населенного пункта
`--organization` `TEXT`	Название организации
`--organizational-unit` `TEXT`	Название подразделения организации
`--common-name` `TEXT`	Общее название
`--email-address` `TEXT`	Адрес электронной почты

Пример.

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"

Сертификат можно заменить следующим образом.

Требуемые параметры

Вариант	Описание
`-a`, `--api`.	Установите сертификат для интерфейса TLS NetHSM

Аргументы

Аргумент	Описание
FILENAME`	Файл сертификата

Пример.

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Сеть#

Сетевая конфигурация определяет настройки, используемые для Сетевого порта.

Примечание

Эти параметры не настраивают Сетевой порт BMC.

Конфигурация сети может быть получена следующим образом.

Требуемые параметры

Вариант	Описание
--network`	Запрос конфигурации сети

Пример.

$ nitropy nethsm -h $NETHSM_HOST get-config --network

Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Настройте конфигурацию сети следующим образом.

Примечание

NetHSM не поддерживает протокол DHCP (Dynamic Host Configuration Protocol).

Примечание

NetHSM не поддерживает IPv6 (протокол Интернета версии 6).

Требуемые параметры

Вариант	Описание
`-a`, `--ip-address`.	Новый IP-адрес
`-n`, `--netmask`.	Новая сетевая маска
`-n`, `--netmask`.	Новый шлюз

Пример.

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0

Updated the network configuration for NetHSM localhost:8443

Время#

Конфигурация времени устанавливает системное время программного обеспечения NetHSM. Обычно не требуется устанавливать системное время, так как оно устанавливается во время инициализации.

Конфигурация времени может быть получена следующим образом.

Требуемые параметры

Вариант	Описание
--time`	Запрос системного времени

Пример.

$ nitropy nethsm -host $NETHSM_HOST get-config --time

Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Установите время работы NetHSM.

Важно

Обязательно передайте время в часовом поясе UTC.

Аргументы

Аргумент	Описание
time`	Системное время для установки (Формат: YYYY-MM-DDTHH:MM:SSZ)

Пример.

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z

Updated the system time for NetHSM localhost:8443

Метрика#

NetHSM регистрирует метрики параметров системы.

Примечание

Эта команда требует аутентификации пользователя с ролью Metrics. Пожалуйста, обратитесь к главе Роли, чтобы узнать больше об этой роли.

Метрики могут быть получены следующим образом.

Пример.

$ nitropy nethsm -h $NETHSM_HOST metrics

Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Ведение журнала#

NetHSM может регистрировать системные события на последовательном порту или на сервере syslog в сети.

Последовательная консоль работает с самого начала работы оборудования NetHSM. Она включает события из микропрограммы NetHSM и программного обеспечения NetHSM.

Настройки подключения последовательной консоли следующие.

Настройка	Значение
Скорость передачи данных	115200
Биты данных	8
Стоповые биты	1
Паритет	Нет
Управление потоком	Нет

Конфигурация сервера syslog может быть получена следующим образом.

Требуемые параметры

Вариант	Описание
--network`	Запрос конфигурации протоколирования

Пример.

$ nitropy nethsm -h $NETHSM_HOST get-config --logging

Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

Конфигурация сервера syslog может быть настроена следующим образом.

Требуемые параметры

Вариант	Описание
`-p`, `--passphrase` `TEXT`.	IP-адрес нового места назначения регистрации
`-p`, `--port` `INTEGER`.	Порт нового места назначения регистрации
`-l`, `--log-level` `[debug\|info\|warning\|error]`.	Новый уровень журнала

Пример.

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info

Updated the logging configuration for NetHSM localhost:8443

Резервное копирование#

NetHSM Данные пользователя можно сохранить в файл резервной копии. Этот резервный файл содержит все Данные пользователя, а именно Хранилище конфигурации, Хранилище аутентификации, Хранилище доменных ключей и Хранилище ключей.

Важно

Системное программное обеспечение NetHSM в режиме Unattended Boot потребует Unlock Passphrase при восстановлении на другом оборудовании NetHSM. Подробнее см. в главе Unlock Passphrase.

Важно

NetHSM в режиме Unattended Boot будет находиться в том же режиме после восстановления.

Перед началом резервного копирования необходимо задать Парольную фразу резервного копирования. Пароль Backup Passphrase используется для шифрования данных в файле резервной копии.

Резервная парольная фраза может быть установлена следующим образом.

Опциональные опции

Вариант	Описание
`-p`, `--passphrase` `TEXT`.	Новая парольная фраза для резервного копирования

Пример.

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase

Passphrase:
Repeat for confirmation:
Updated the backup passphrase for NetHSM localhost:8443

Примечание

Эта команда требует аутентификации пользователя с ролью Backup. Для получения дополнительной информации обратитесь к главе Роли.

Резервное копирование может быть выполнено следующим образом.

Аргументы

Аргумент	Описание
FILENAME`	Резервный файл

Пример.

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup

Backup for localhost:8443 written to /tmp/backup

Примечание

Этот резервный файл может быть восстановлен на экземпляре NetHSM, не прошедшем ревизию:

Восстановить#

NetHSM можно восстановить из файла резервной копии.

Примечание

NetHSM должен находиться в состоянии Unprovisioned State.

Восстановление может быть применено следующим образом.

Дополнительные опции

Вариант	Описание
`-p`, `--backup-passphrase` `passphrase`.	Парольная фраза резервного копирования.
`-t`, `--system-time`.	Системное время для установки (Формат: `YYYY-MM-DDTHH:MM:SSZ`)

Важно

Убедитесь, что время на локальном компьютере установлено правильно. Чтобы установить другое время, укажите его вручную.

Аргументы

Аргумент		Описание
`FILENAME` \| Восстановить файл

Пример.

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup

Backup passphrase:
Backup restored on NetHSM localhost:8443

Обновление#

Обновления для NetHSM можно установить в два этапа. Сначала образ обновления должен быть загружен в NetHSM. Образ проверяется и подтверждается автоматически.

Предупреждение

Потеря данных может произойти из-за установки бета-версии обновления!

Файл обновления можно загрузить следующим образом.

Аргументы

Аргумент	Описание
FILENAME`	Обновить файл

Пример.

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.cpio

Image /tmp/nethsm-update.img.cpio uploaded to NetHSM localhost:8443

После этого обновление может быть применено или отменено. Пожалуйста, обратитесь к желаемому варианту ниже.

Обновление может быть применено (зафиксировано) следующим образом.

Пример.

$ nitropy nethsm --host $NETHSM_HOST commit-update

Update successfully committed on NetHSM localhost:8443

Обновление можно отменить следующим образом.

Пример.

$ nitropy nethsm --host $NETHSM_HOST cancel-update

Update successfully cancelled on NetHSM localhost:8443

Перезагрузка и выключение#

NetHSM можно перезагрузить и выключить либо удаленно, либо с помощью кнопки перезагрузки и выключения питания на передней панели оборудования NetHSM.

Удаленную перезагрузку можно инициировать следующим образом.

Пример.

$ nitropy nethsm --host $NETHSM_HOST reboot

NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

Удаленное отключение может быть инициировано следующим образом.

Пример.

$ nitropy nethsm --host $NETHSM_HOST shutdown

NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Сброс к заводским настройкам по умолчанию#

NetHSM может быть сброшен к заводским настройкам по умолчанию. Во время этого процесса все данные пользователя удаляются.

Сброс к заводским настройкам по умолчанию можно выполнить следующим образом.

Пример.

$ nitropy nethsm -h $NETHSM_HOST factory-reset

NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Управление пользователями#

Роли#

NetHSM позволяет разделить обязанности с помощью различных ролей. Каждой учетной записи пользователя, настроенной на NetHSM, назначается одна из следующих ролей.

Роль	Описание
Администратор	Учетная запись пользователя с этой ролью имеет доступ ко всем операциям, предоставляемым NetHSM, за исключением операций использования ключей, т.е. подписания и расшифровки сообщений.
Оператор	R-Operator: Учетная запись пользователя с этой ролью имеет доступ ко всем операциям использования ключей, подмножеству операций управления ключами только для чтения и операциям управления пользователями, позволяющим вносить изменения только для своей учетной записи.
Метрики	Учетная запись пользователя с этой ролью имеет доступ только к операциям с метриками только для чтения.
Бэкап	Учетная запись пользователя с этой ролью имеет доступ только к операциям, необходимым для инициирования резервного копирования системы.

Примечание

В будущем выпуске могут быть введены дополнительные роли.

Добавить пользователя#

Добавьте учетную запись пользователя в NetHSM. Каждая учетная запись пользователя имеет роль, которую необходимо указать. Подробнее о ролях читайте в главе Роли.

Примечание

NetHSM назначает случайный идентификатор пользователя, если он не указан.

Учетную запись пользователя можно добавить следующим образом.

Требуемые параметры

Вариант	Описание
`-n`, `--real-name` `TEXT`.	Настоящее имя пользователя
`-r`, `--role` `[Administrator\|Operator\|Metrics\|Backup]`.	Роль нового пользователя
`-p`, `--passphrase` `TEXT`.	Парольная фраза нового пользователя

Опциональные опции

Вариант	Описание
`-u`, `--user-id` `TEXT`.	Идентификатор пользователя нового пользователя

Пример.

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1

Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Удалить пользователя#

Удаление учетной записи пользователя из NetHSM.

Предупреждение

Удаление является постоянным и не может быть восстановлено.

Учетную запись пользователя можно удалить следующим образом.

Аргументы

Аргумент	Описание
USER_ID`	Идентификатор пользователя.

Пример.

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1

User operator1 deleted on NetHSM localhost:8443

Список пользователей#

Составьте список пользователей NetHSM.

Список можно получить следующим образом.

Опциональные опции

Вариант	Описание
`--details`, `--no-details`.	Запрос настоящего имени и роли пользователя

Пример.

$ nitropy nethsm --host $NETHSM_HOST list-users

Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Парольная фраза пользователя#

Парольная фраза учетной записи пользователя может быть сброшена. Парольная фраза изначально задается при добавлении учетной записи пользователя.

Примечание

Парольные фразы должны содержать >= 10 и <= 200 символов.

Парольная фраза пользователя может быть задана следующим образом.

Требуемые параметры

Вариант	Описание
`-u`, `--user-id` `TEXT`.	Идентификатор пользователя
`-p`, `--passphrase` `TEXT`.	Новая парольная фраза пользователя

Пример.

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1

Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Теги для пользователей#

Теги Tags могут использоваться для установки ограничений доступа к ключам и являются необязательной функцией. Они могут быть назначены только учетным записям пользователей с ролью Оператор. Операторы* могут видеть все ключи, но использовать только те, у которых есть хотя бы один соответствующий Tag. Ключ не может быть изменен пользователем Оператор.

Чтобы узнать, как использовать Тэги на клавишах, обратитесь к статье Тэги для клавиш.

Метка Tag может быть добавлена следующим образом.

Аргументы

Аргумент	Описание
USER_ID`	Идентификатор пользователя для установки метки.
TAG`	Метка, которую нужно установить на идентификатор пользователя.

Пример.

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin

Added tag berlin for user operator1 on the NetHSM localhost:8443

Тег Tag может быть удален следующим образом.

Аргументы

Аргумент	Описание
USER_ID`	Идентификатор пользователя для установки метки.
TAG`	Метка, которую нужно установить на идентификатор пользователя.

Пример.

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin

Deleted tag berlin for user operator1 on the NetHSM localhost:8443