Uprava¶
V tem poglavju so opisana upravna opravila za uporabnike z vlogo Administrator. Za več informacij o vlogi si oglejte poglavje Vloge.
Pomembno
Pred začetkom dela preberite informacije na začetku tega dokumenta.
Upravljanje sistema¶
Informacije o napravi¶
Informacije o prodajalcu in izdelku za NetHSM lahko pridobite na naslednji način.
Primer
$ nitropy nethsm --host $NETHSM_HOST info
Host: localhost:8443
Vendor: Nitrokey GmbH
Product: NetHSM
Informacije o končni točki /info so na voljo v dokumentaciji API.
Način zagona¶
NetHSM se lahko uporablja v načinu Attended Boot in Unattended Boot.
Način zagona |
Opis |
|---|---|
Udeleženi Boot |
NetHSM se zažene v stanju _Locked_. Med vsakim zagonom je treba vnesti geslo Unlock Passphrase, ki se uporablja za dešifriranje uporabniških podatkov. Iz varnostnih razlogov je ta način priporočljiv in je privzeti način za sveže nameščen sistem. |
Nenadzorovan zagon |
Sistem se zažene brez nadzora, ne da bi bilo treba vnesti geslo Unlock Passphrase v stanje _Operational_. Ta način uporabite, če vaših zahtev glede razpoložljivosti ni mogoče izpolniti z načinom Attended Boot. |
Opozorilo
Ne glede na način zagona geslo Unlock Passphrase ohrani svojo veljavnost in je potrebno za obnovitev varnostnih kopij na drugi strojni opremi. Geslo Unlock Passphrase imejte vedno na varnem.
Trenutni način zagona lahko prikličete na naslednji način.
Primer
$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
Unattended boot: off
Informacije o končni točki /config/unattended-boot so na voljo v dokumentaciji API.
Način zagona lahko spremenite na naslednji način. Pri naslednjem zagonu se bo NetHSM obnašal ustrezno.
Argumenti
Argument |
Opis |
|---|---|
Status |
Omogočite ali onemogočite Neprimerno zagonsko delovanje. Lahko ima vrednost |
Primer
$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443
Informacije o končni točki /config/unattended-boot so na voljo v dokumentaciji API.
Država¶
Programska oprema NetHSM ima štiri stanja: Neopredeljeno, opredeljeno, zaprto in delujoče.
Država |
Opis |
|---|---|
Neprovizirano |
NetHSM brez konfiguracije (tovarniške nastavitve) |
Provizionirano |
NetHSM s konfiguracijo. Stanje Provisioned pomeni stanje Operational ali Locked. |
Operativno |
NetHSM s konfiguracijo in pripravljen za izvajanje ukazov. Stanje Operational pomeni stanje Provisioned. |
Zaklenjeno |
NetHSM s konfiguracijo, vendar šifriranimi in nedostopnimi podatkovnimi shrambami. Običajno je naslednji korak odklepanje sistema. Stanje Locked pomeni stanje Provisioned. |
Stanje in prehodi NetHSM¶
Trenutno stanje NetHSM lahko pridobite na naslednji način.
Primer
$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned
Informacije o končni točki /health/state so na voljo v dokumentaciji API.
Nov NetHSM ima stanje Unprovisioned in po zagotovitvi preide v stanje Operational. Zagotavljanje delovanja NetHSM je opisano v poglavju Zagotavljanje delovanja.
NetHSM v stanju Operational lahko ponovno zaklenete in ga zaščitite na naslednji način.
Primer
$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked
Informacije o končni točki /lock so na voljo v dokumentaciji API.
NetHSM v stanju Locked lahko odklenete na naslednji način. Ko je NetHSM v stanju _Locked_, druge operacije niso mogoče. Nato je NetHSM v stanju _Operational_.
Primer
$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked
Informacije o končni točki /unlock so na voljo v dokumentaciji API.
geslo za odklepanje¶
Geslo Unlock Passphrase se uporablja za izpeljavo ključa Unlock Key, če je NetHSM v stanju Locked. Pasfraza se na začetku nastavi med zagotavljanjem NetHSM.
Opozorilo
Gesla za odklepanje ni mogoče ponastaviti, če ne poznate trenutne vrednosti. Če se geslo za odklepanje izgubi, ga ni mogoče ponastaviti na novo vrednost niti ni mogoče odkleniti naprave NetHSM.
Geslo Unlock Passphrase lahko nastavite na naslednji način.
Volitivne možnosti
Možnost |
Opis |
|---|---|
|
Nova geslo za odklepanje |
|
Trenutna geselska fraza za odklepanje |
|
Pred spreminjanjem gesla ne zahtevajte potrditve. |
Primer
$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
New passphrase:
Repeat for confirmation:
Current passphrase:
Warning: The unlock passphrase cannot be reset without knowing the current value. If the unlock passphrase is lost, neither can it be reset to a new value nor can the NetHSM be unlocked.
Do you want to continue? [y/N]: y
Updated the unlock passphrase for NetHSM localhost:8443
Informacije o končni točki /config/unlock-passphrase so na voljo v dokumentaciji API.
Potrdilo TLS¶
Potrdilo TLS se uporablja za API REST, ki temelji na protokolu HTTPS, zato ga uporablja tudi nitropy. Med zagotavljanjem se ustvari samopodpisano potrdilo. Potrdilo lahko nadomestite, na primer s podpisanim potrdilom organa za izdajo potrdil (CA). V tem primeru je treba ustvariti zahtevek za podpis potrdila (CSR). Po podpisu je treba potrdilo uvoziti v sistem NetHSM.
Sprememba je potrebna le, če je treba potrdilo zamenjati. Takšna sprememba je lahko zamenjava s podpisanim potrdilom organa za izdajo potrdil (CA).
Potrdilo TLS lahko pridobite na naslednji način.
Potrebne možnosti
Možnost |
Opis |
|---|---|
|
Get the certificate for the NetHSM TLS interface |
Primer
$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----
Informacije o končni točki /config/tls/cert.pem so na voljo v dokumentaciji API.
Potrdilo TLS lahko ustvarite na naslednji način.
Potrebne možnosti
Možnost |
Opis |
|---|---|
|
Vrsta ustvarjenega ključa |
|
Dolžina generiranega ključa |
Primer
$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443
Informacije o končni točki /config/tls/generate so na voljo v dokumentaciji API.
Zahtevo za podpis potrdila (CSR) za potrdilo lahko ustvarite na naslednji način.
Potrebne možnosti
Možnost |
Opis |
|---|---|
|
Ustvarjanje potrdila CSR za potrdilo TLS NetHSM |
|
Ime države |
|
Ime države ali pokrajine |
|
Ime kraja |
|
Ime organizacije |
|
Ime organizacijske enote |
|
Splošno ime |
|
E-poštni naslov |
Primer
$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----
Informacije o končni točki /config/tls/csr.pem so na voljo v dokumentaciji API.
Potrdilo lahko zamenjate na naslednji način.
Potrebne možnosti
Možnost |
Opis |
|---|---|
|
Nastavitev potrdila za vmesnik TLS NetHSM |
Argumenti
Argument |
Opis |
|---|---|
|
Datoteka s potrdilom |
Primer
nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate
Informacije o končni točki /config/tls/csr.pem so na voljo v dokumentaciji API.
Omrežje¶
Konfiguracija omrežja določa nastavitve, ki se uporabljajo za omrežna vrata.
Opomba
This settings do not configure the BMC Network Port on the NetHSM 1.
Konfiguracijo omrežja lahko pridobite na naslednji način.
Potrebne možnosti
Možnost |
Opis |
|---|---|
|
Poizvedovanje po konfiguraciji omrežja |
Primer
$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
IP address: 192.168.1.1
Netmask: 255.255.255.0
Gateway: 0.0.0.0
Informacije o končni točki /config/network najdete v dokumentaciji API.
Nastavite omrežno konfiguracijo, kot sledi.
Opomba
NetHSM ne podpira protokola DHCP (Dynamic Host Configuration Protocol).
Opomba
NetHSM ne podpira protokola IPv6 (Internet Protocol version 6).
Potrebne možnosti
Možnost |
Opis |
|---|---|
|
Novi naslov IP |
|
Nova omrežna maska |
|
Nova vrata |
Primer
$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443
Informacije o končni točki /config/network najdete v dokumentaciji API.
Čas¶
Konfiguracija časa določa sistemski čas programske opreme NetHSM. Sistemskega časa običajno ni treba nastavljati, saj je nastavljen med zagotavljanjem.
Konfiguracijo časa lahko prikličete na naslednji način.
Potrebne možnosti
Možnost |
Opis |
|---|---|
|
Poizvedba po sistemskem času |
Primer
$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time: 2022-08-17 11:40:00+00:00
Informacije o končni točki /config/time so na voljo v dokumentaciji API.
Nastavite čas NetHSM.
Pomembno
Poskrbite, da bo čas posredovan v časovnem pasu UTC.
Argumenti
Argument |
Opis |
|---|---|
|
Sistemski čas, ki ga želite nastaviti (Oblika: YYYYY-MM-DDTHH:MM:SSZ) |
Primer
$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443
Informacije o končni točki /config/time so na voljo v dokumentaciji API.
Metrike¶
The NetHSM logs metrics of system parameters. Please refer to Metrics to learn more about each metric.
Metrike lahko pridobite na naslednji način.
Potrebna vloga
This operation requires an authentication with the Metrics role.
Primer
$ nitropy nethsm -h $NETHSM_HOST metrics
Metric Value
---------------------------- --------
client connections 0
established state 6
external.received bytes 989931
external.received packets 13239
external.transmitted bytes 25908953
external.transmitted packets 22037
free chunk count 322
gc compactions 0
gc major bytes 21348352
gc major collections 35
gc minor collections 2652
http response 200 28
http response 201 1
http response 204 1
http response 400 1
http response 403 1
http response 404 145
http response 412 1
http response time 0.084998
http response total 178
internal.received bytes 66541
internal.received packets 1130
internal.transmitted bytes 63802
internal.transmitted packets 1133
kv write 2
log errors 3
log warnings 3
maximum allocated space 64528384
maximum releasable bytes 1216
mmapped region count 0
new sleeper size 1
non-mmapped allocated bytes 64528384
sleep queue size 11
syn-rcvd state 0
timers 2
total allocated space 43940832
total client 1
total established 515
total free space 20587552
total sleeper size 12
total syn-rcvd 514
total timers 526
uptime 17626
Informacije o končni točki /metrics so na voljo v dokumentaciji API.
Prijava¶
NetHSM lahko beleži sistemske dogodke v serijska vrata ali v strežnik syslog v omrežju.
Pomembno
Pri vsaki produkcijski namestitvi je treba dnevnik NetHSM stalno spremljati, da se zagotovi takojšnje obveščanje o morebitnih varnostnih težavah.
Konfiguracijo strežnika syslog lahko pridobite na naslednji način.
Potrebne možnosti
Možnost |
Opis |
|---|---|
|
Poizvedovanje po konfiguraciji beleženja |
Primer
$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
IP address: 0.0.0.0
Port: 514
Log level: info
Informacije o končni točki /config/logging najdete v dokumentaciji API.
Konfiguracijo strežnika syslog lahko nastavite na naslednji način.
Potrebne možnosti
Možnost |
Opis |
|---|---|
|
Naslov IP novega namembnega kraja za beleženje |
|
Vrata novega namembnega kraja za beleženje |
|
Nova raven dnevnika |
Primer
$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443
Informacije o končni točki /config/logging najdete v dokumentaciji API.
Serijska konzola deluje že od samega začetka delovanja strojne opreme NetHSM. Vključuje dogodke iz vdelane programske opreme NetHSM in programske opreme NetHSM.
Nastavitve zaporedne konzolne povezave so naslednje.
Nastavitev |
Vrednost |
|---|---|
Hitrost Baud |
115200 |
Podatkovni biti |
8 |
Stop biti |
1 |
Pariteta |
Ni |
Nadzor pretoka |
Ni |
Varnostna kopija¶
NetHSM Uporabniški podatki se lahko shranijo v varnostno datoteko. Ta varnostna datoteka vsebuje vse uporabniške podatke, in sicer hrambo konfiguracije, hrambo avtentikacije, hrambo ključev domene in hrambo ključev.
Pomembno
Sistemska programska oprema NetHSM v načinu Unattended Boot bo zahtevala geslo za odklepanje Unlock Passphrase, če bo obnovljena na drugi strojni opremi NetHSM. Za več informacij glejte poglavje Unlock Passphrase.
Pomembno
NetHSM v načinu Negotovljen zagon bo v enakem načinu tudi po obnovitvi.
Pred začetkom varnostnega kopiranja je treba nastaviti geslo Backup Passphrase. Geslo Backup Passphrase se uporablja za šifriranje podatkov v datoteki varnostne kopije.
Opozorilo
Rezervne gesla ni mogoče ponastaviti, če ne poznate trenutne vrednosti. Če se geslo za varnostno kopiranje izgubi, ga ni mogoče ponastaviti na novo vrednost niti ni mogoče obnoviti ustvarjenih varnostnih kopij.
Varnostno geslo lahko nastavite na naslednji način.
Volitivne možnosti
Možnost |
Opis |
|---|---|
|
Nova geslo za varnostno kopiranje |
|
Trenutna varnostna geselska fraza (ali prazen niz, če ni nastavljena). |
|
Pred spreminjanjem gesla ne zahtevajte potrditve. |
Primer
$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
New passphrase:
Repeat for confirmation:
Warning: The backup passphrase cannot be reset without knowing the current value. If the backup passphrase is lost, neither can it be reset to a new value nor can the created backups be restored.
Do you want to continue? [y/N]: y
The current backup passphrase (or an empty string if not set) []:
Updated the backup passphrase for NetHSM localhost:8443
Informacije o končni točki /config/backup-passphrase so na voljo v dokumentaciji API.
Varnostno kopiranje lahko izvedete na naslednji način.
Potrebna vloga
This operation requires an authentication with the Backup role.
Argumenti
Argument |
Opis |
|---|---|
|
Varnostna datoteka |
Primer
$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup
Informacije o končni točki /system/backup najdete v dokumentaciji API.
Obnovitev¶
NetHSM lahko obnovite iz varnostne kopije.
If the NetHSM is Unprovisioned it will restore all User Data including system configuration and reboot. Therefore the system may get different network settings, TLS certificate and Unlock Passphrase afterwards. The NetHSM ends in a Locked state.
Če je NetHSM Provisioned, se obnovijo uporabniki in uporabniški ključi, ne pa tudi konfiguracija sistema. V tem primeru bodo izbrisani vsi prej obstoječi uporabniki in uporabniški ključi. NetHSM se konča v stanju Operational.
Obnovitev lahko izvedete na naslednji način.
Volitivne možnosti
Možnost |
Opis |
|---|---|
|
Varnostna gesla za varnostno kopiranje |
|
Sistemski čas za nastavitev (Format: |
Pomembno
Prepričajte se, da je čas v lokalnem računalniku pravilno nastavljen. Če želite nastaviti drug čas, ga določite ročno.
Argumenti
Argument |
Opis |
|
|---|---|---|
|
||
Primer
$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443
Informacije o končni točki /system/restore najdete v dokumentaciji API.
Replication¶
NetHSM is stateless, so that several NetHSM devices can be used to process extremely high throughput and provide high availability. The PKCS#11 module supports round-robin schedule for a cluster of NetHSM instances. Multiple instances of NetHSM can be synchronized via encrypted backups. For this a separate system downloads and uploads backup files between the instances. The synchronization can be easily scripted by using pynitrokey as shown in this example. This separate system doesn’t have access to the backed up data in clear text because the backup files are encrypted twice. The separate system is in possession of the backup passphrase only but not of the Domain Key resp. Unlock Passphrase which is the second layer of encryption. See the system design for further details.
Posodobitev programske opreme¶
Posodobitve programske opreme lahko namestite v dveh korakih. Najprej je treba sliko posodobitve prenesti na Provisioned NetHSM. NetHSM preveri avtentičnost, celovitost in številko različice slike. Po želji NetHSM prikaže morebitne opombe o izdaji.
Opozorilo
Zaradi namestitve posodobitve beta lahko pride do izgube podatkov! Stabilne različice ne bi smele povzročiti izgube podatkov. Kljub temu priporočamo, da pred posodobitvijo ustvarite varnostno kopijo.
Opozorilo
Prepričajte se, da ste namestili pravilno datoteko posodobitve za model strojne opreme NetHSM 1 ali NetHSM 2. Svoj model lahko preverite v sistemskih informacijah ` <administration#system-information>` __.
Datoteko za posodobitev lahko naložite na naslednji način.
Argumenti
Argument |
Opis |
|---|---|
|
Datoteka za posodobitev |
Primer
$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.bin
Image /tmp/nethsm-update.img.bin uploaded to NetHSM localhost:8443
Informacije o končni točki /system/update najdete v dokumentaciji API.
Nato lahko posodobitev uporabite ali prekinete. V nadaljevanju si oglejte želeno možnost. Če se NetHSM izklopi pred operacijo „commit“ (potrditev), je treba datoteko za posodobitev ponovno naložiti.
Pomembno
Če nalaganje posodobljene slike ne uspe s sporočilom Error: NetHSM request failed: Bad request -- malformed image, sledite spodnjim korakom.
Prepričajte se, da imate veljavno datoteko posodobitve, tako da jo preverite s priloženim podpisom.
Prepričajte se, da nimate omogočene visoke ravni dnevnika, kot je
DEBUG. Za več informacij o konfiguraciji ravni dnevnika glejte poglavje Dnevniki.Ponovno zaženite napravo, da sprostite uporabljeni pomnilnik.
Posodobitev se lahko uporabi (izvede) na naslednji način. Prenos podatkov se izvede šele po tem, ko NetHSM uspešno zažene novo različico sistemske programske opreme.
Primer
$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443
Informacije o končni točki /system/commit-update so na voljo v dokumentaciji API.
Posodobitev lahko prekličete na naslednji način.
Primer
$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443
Informacije o končni točki /system/cancel-update najdete v dokumentaciji API.
Sistemske informacije¶
Sistemske informacije, kot so različica vdelane programske opreme, različica programske opreme in različica strojne opreme, lahko pridobite na naslednji način.
Primer
$ nitropy nethsm -h $NETHSM_HOST system-info
Host: 192.168.1.1
Firmware version: 1.0-prod
Software version: 2.0
Hardware version: prodrive-hermes-1
Build tag: v2.0-0-g17ad829
Attestation keys
P256: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEup7z8QYvkzkBuLryG1SgVQjlPhSFW3PzYn1l3uLNd+pSBxX0OBpslcbnmPFr5wSs/iP46+H8MFlEAYUkYv6uuQ==
P384: MHYwEAYHKoZIzj0CAQYFK4EEACIDYgAEfQiurLvEmjsAmumRtIqu70HKehRo8A/nVrqQGiR8Rcr+SUujwgtQByORX5BoRtv4sZNJW4FyLGqvXCIF9IV1puob2+9Qq5oEjz4x4malLbFdyXDmQK8o2NpvcbgOr215
Platform Configuration Registers
0: 0f6064779fba55b102a6ecc20498c2020deaf2aebef23716ec293b25873647f8
2: 2b0d25a4a92b4df5205742954243db9d306a4c3277a6b6958bcbaf3d47def26f
Informacije o končni točki /system/info so na voljo v dokumentaciji API.
NetHSM 1 se identificira kot različica strojne opreme prodrive-hermes-1, NetHSM 2 pa kot msi-z790-1.
Ponovni zagon in izklop¶
NetHSM je mogoče ponovno zagnati in izklopiti na daljavo ali z gumbom za ponovni zagon in izklop na sprednji strani strojne opreme NetHSM.
Oddaljeni ponovni zagon lahko sprožite na naslednji način.
Primer
$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot
Informacije o končni točki /system/reboot najdete v dokumentaciji API.
Izklop na daljavo lahko sprožite na naslednji način.
Primer
$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown
Informacije o končni točki /system/shutdown najdete v dokumentaciji API.
Ponastavitev na tovarniške nastavitve¶
V napravi Provisioned NetHSM lahko ponastavite tovarniške nastavitve. V tem primeru se vsi uporabniški podatki varno izbrišejo in NetHSM se zažene v Unprovisioned stanje. Nato boste morda želeli zagotoviti NetHSM.
Ponastavitev na tovarniške nastavitve lahko izvedete na naslednji način.
Primer
$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset
Informacije o končni točki /system/factory-reset so na voljo v dokumentaciji API.
Upravljanje uporabnikov¶
Vloge¶
NetHSM omogoča ločevanje nalog z uporabo različnih vlog. Vsakemu uporabniškemu računu, konfiguriranemu v NetHSM, je dodeljena ena od naslednjih vlog.
Vloga |
Opis |
|---|---|
Administrator |
Uporabniški račun s to vlogo ima dostop do vseh operacij, ki jih zagotavlja NetHSM, razen operacij uporabe ključev, tj. podpisovanja in dešifriranja sporočil. |
Operator |
Uporabniški račun s to vlogo ima dostop do vseh operacij uporabe ključev, podmnožice operacij upravljanja ključev samo za branje in operacij upravljanja uporabnikov, ki omogočajo spremembe samo v njegovem računu. |
Metrika |
Uporabniški račun s to vlogo ima dostop samo do operacij metrike za branje. |
Zaščitna kopija |
Uporabniški račun s to vlogo ima dostop samo do operacij, ki so potrebne za začetek varnostnega kopiranja sistema. |
Za natančnejše omejitve dostopa glejte Prostori imen in Oznake.
Opomba
V prihodnji izdaji bodo morda uvedene dodatne vloge.
Dodajanje uporabnika¶
Dodajte uporabniški račun v NetHSM. Vsak uporabniški račun ima vlogo Role, ki jo je treba določiti. Za več informacij o Vlogah si oglejte poglavje Vloge .
Optionally, a user can be assigned to a Namespace.
Opomba
ID uporabnika mora biti alfanumeričen. NetHSM dodeli naključni ID uporabnika, če ni naveden.
Uporabniški račun lahko dodate na naslednji način.
Potrebne možnosti
Možnost |
Opis |
|---|---|
|
Pravo ime novega uporabnika |
|
Imenski prostor novega uporabnika |
|
Vloga novega uporabnika |
|
Geslo novega uporabnika |
Volitivne možnosti
Možnost |
Opis |
|---|---|
|
ID uporabnika novega uporabnika |
Primer
$ nitropy nethsm --host $NETHSM_HOST add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443
Privzeto je imenski prostor podedovan od uporabnika, ki doda novega uporabnika. Samo uporabniki brez imenskega prostora lahko za nove uporabnike izberejo drugačen imenski prostor. Prostor imen se uporablja kot predpona za uporabniško ime, na primer namespace~user. Zato se lahko isto uporabniško ime uporablja v več imenskih prostorih.
Izbriši uporabnika¶
Izbrišite uporabniški račun iz sistema NetHSM.
Opozorilo
Brisanje je trajno in ga ni mogoče povrniti.
Uporabniški račun lahko izbrišete na naslednji način.
Argumenti
Argument |
Opis |
|---|---|
|
Id uporabnika. |
Primer
$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443
Informacije o končni točki /users/{UserID} najdete v dokumentaciji API.
Seznam uporabnikov¶
Seznam uporabnikov v NetHSM.
Seznam lahko pridobite na naslednji način.
Volitivne možnosti
Možnost |
Opis |
|---|---|
|
poizvedba po pravem imenu in vlogi uporabnika |
Primer
$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:
User ID Real name Role
--------- ----------------- -------------
operator1 Nitrokey Operator Operator
admin admin Administrator
Uporabniki znotraj imenskega prostora lahko vidijo samo uporabnike v istem imenskem prostoru.
Uporabniška geslo¶
Geslo uporabniškega računa lahko ponastavite. Geslo se prvotno nastavi med dodajanjem uporabniškega računa.
Opomba
Geslo mora imeti >= 10 in <= 200 znakov.
Uporabniško geslo lahko nastavite na naslednji način.
Potrebne možnosti
Možnost |
Opis |
|---|---|
|
ID uporabnika |
|
Nova geselska fraza uporabnika |
Primer
$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443
Informacije o končni točki /users/{UserID}/passphrase najdete v dokumentaciji API.
Prostori imen¶
Similarly to the concept of partitions, NetHSM supports the more flexible Namespaces which group keys, administrators, and users on a NetHSM into separate subsets. Users can only see and use keys in the same Namespace and can only see users in the same Namespace. It is not possible to see users and to see and use keys of other Namespaces. When a new user is created, it inherits the Namespace of the user that created it. The available storage capacity is shared between all Namespaces. An practically unlimited amount of Namespaces can be used without requiring additional licenses.
Prostori imen so bili uvedeni v različici programske opreme 2.0. Pri prehodu s prejšnje različice programske opreme bodo vsi obstoječi uporabniki in ključi brez prostora imen.
Uporabniki z vlogo Administrator ` <administration#roles>`__ se imenujejo tudi R-Administrator, če niso v prostoru imen, ali N-Administrator, če so v prostoru imen.
Za uporabnike R-Administrator veljajo posebna pravila: Uporabniki lahko nastavijo imenski prostor za nove uporabnike, izpišejo vse uporabnike in poizvedujejo po imenskem prostoru uporabnika. Prav tako lahko do konfiguracije NetHSM dostopajo samo R-Administrator uporabniki. R-administratorji ne morejo videti ključev v prostoru imen.
Če želite ustvariti ključe in uporabnike v prostoru imen, mora prostor imen ustvariti uporabnik R-Administrator. Ko je prostor imen ustvarjen, uporabniki R-Administrator ne morejo več ustvarjati, brisati ali spreminjati uporabnikov v tem prostoru imen. To omogoča zaščito ključev prostorov imen, do katerih dostopa R-Administrator (tudi posredno z dodajanjem novega uporabnika v imenu ali ponastavitvijo poverilnic obstoječega uporabnika ali administratorja). Zato je treba pred ustvarjanjem imenskega prostora ustvariti uporabnika N-Administrator za imenski prostor. R-Administrator uporabniki lahko tudi izbrišejo imenski prostor z vsemi vsebovanimi ključi.
Seznam imenskih prostorov¶
Seznam prostorov imen v NetHSM.
Seznam lahko pridobite na naslednji način.
Primer
$ nitropy nethsm --host $NETHSM_HOST list-namespaces
Namespaces on NetHSM localhost:8843:
- ns1
- ns2
Informacije o končni točki /namespaces so na voljo v dokumentaciji API.
Dodajanje imenskega prostora¶
Dodajanje imenskega prostora v NetHSM.
R-Administrator Uporabniki lahko ustvarijo nove račune v prostoru imen že pred njegovim ustvarjanjem. Po ustvarjanju lahko uporabnike v prostoru imen upravljajo le N-Administrator uporabniki. Ustvarjanje in uporaba ključev v prostoru imen je mogoča šele po tem, ko je ta dodan.
Opomba
ID imenskega prostora mora biti alfanumeričen. NetHSM dodeli naključni ID uporabnika, če ta ni naveden.
Imenski prostor lahko dodate na naslednji način.
Argumenti
Argument |
Opis |
|
|---|---|---|
|
||
Primer
$ nitropy nethsm --host $NETHSM_HOST add-namespace ns1
Namespace ns1 added to NetHSM localhost:8443
Informacije o končni točki /namespaces/{NamespaceID} so na voljo v dokumentaciji API.
Brisanje imenskega prostora¶
Brisanje imenskega prostora iz NetHSM.
Brisanje imenskega prostora izbriše tudi vse ključe tega imenskega prostora. Preostali uporabniki v prostoru imen ne morejo dodajati ključev, dokler prostor imen ni ponovno dodan.
Imenski prostor lahko izbrišete na naslednji način.
Argumenti
Argument |
Opis |
|---|---|
|
Imenski prostor, ki ga želite izbrisati. |
Primer
$ nitropy nethsm --host $NETHSM_HOST delete-namespace ns1
Namespace ns1 deleted on NetHSM localhost:8443
Informacije o končni točki /namespaces/{NamespaceID} so na voljo v dokumentaciji API.