Uprava#
V tem poglavju so opisana upraviteljska opravila za uporabnike z vlogo Administrator. Za več informacij o vlogi glejte poglavje Vloge.
Pomembno
Pred začetkom dela preberite informacije na začetku tega dokumenta.
Upravljanje sistema#
Informacije o napravi#
Informacije o prodajalcu in izdelku za NetHSM lahko pridobite na naslednji način.
Primer
$ nitropy nethsm --host $NETHSM_HOST info
Host: localhost:8443
Vendor: Nitrokey GmbH
Product: NetHSM
Informacije o končni točki /info so na voljo v dokumentaciji API.
Način zagona#
NetHSM se lahko uporablja v načinu Attended Boot in Unattended Boot.
Način zagona |
Opis |
---|---|
Udeleženi Boot |
NetHSM se zažene v stanju _Locked_. Med vsakim zagonom je treba vnesti geslo Unlock Passphrase, ki se uporablja za dešifriranje uporabniških podatkov. Iz varnostnih razlogov je ta način priporočljiv in je privzeti način za sveže nameščen sistem. |
Nenadzorovan zagon |
Sistem se zažene brez nadzora, ne da bi bilo treba vnesti geslo Unlock Passphrase v stanje _Operational_. Ta način uporabite, če vaših zahtev glede razpoložljivosti ni mogoče izpolniti z načinom Attended Boot. |
Opozorilo
Ne glede na način zagona geslo Unlock Passphrase ohrani svojo veljavnost in je potrebno za obnovitev varnostnih kopij na drugi strojni opremi. Geslo Unlock Passphrase imejte vedno na varnem.
Trenutni način zagona lahko prikličete na naslednji način.
Primer
$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
Unattended boot: off
Informacije o končni točki /config/unattended-boot so na voljo v dokumentaciji API.
Način zagona lahko spremenite na naslednji način. Pri naslednjem zagonu se bo NetHSM obnašal ustrezno.
Argumenti
Argument |
Opis |
---|---|
Status |
Omogočite ali onemogočite Neprimerno zagonsko delovanje. Lahko ima vrednost |
Primer
$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443
Informacije o končni točki /config/unattended-boot so na voljo v dokumentaciji API.
Država#
Programska oprema NetHSM ima štiri stanja: Neopredeljeno, opredeljeno, zaprto in delujoče.
Država |
Opis |
---|---|
Neprovizirano |
NetHSM brez konfiguracije (tovarniške nastavitve) |
Provizionirano |
NetHSM s konfiguracijo. Stanje Provisioned pomeni stanje Operational ali Locked. |
Operativno |
NetHSM s konfiguracijo in pripravljen za izvajanje ukazov. Stanje Operational pomeni stanje Provisioned. |
Zaklenjeno |
NetHSM s konfiguracijo, vendar šifriranimi in nedostopnimi podatkovnimi shrambami. Običajno je naslednji korak odklepanje sistema. Stanje Locked pomeni stanje Provisioned. |
Stanje in prehodi NetHSM#
Trenutno stanje NetHSM lahko pridobite na naslednji način.
Primer
$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned
Informacije o končni točki /health/state so na voljo v dokumentaciji API.
Novi NetHSM ima stanje Neprovisioned in po zagotovitvi preide v stanje Operational. Zagotavljanje NetHSM je opisano v poglavju Zagotavljanje.
NetHSM v stanju Operational lahko ponovno zaklenete in ga zaščitite na naslednji način.
Primer
$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked
Informacije o končni točki /lock so na voljo v dokumentaciji API.
NetHSM v stanju Locked lahko odklenete na naslednji način. Ko je NetHSM v stanju _Locked_, druge operacije niso mogoče. Nato je NetHSM v stanju _Operational_.
Primer
$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked
Informacije o končni točki /unlock so na voljo v dokumentaciji API.
geslo za odklepanje#
Geslo Unlock Passphrase se uporablja za izpeljavo ključa Unlock Key, če je NetHSM v stanju Locked. Pasfraza se na začetku nastavi med zagotavljanjem NetHSM.
Geslo Unlock Passphrase lahko nastavite na naslednji način.
Volitivne možnosti
Možnost |
Opis |
---|---|
|
Nova geslo za odklepanje |
Primer
$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
Passphrase:
Repeat for confirmation:
Updated the unlock passphrase for localhost:8443
Informacije o končni točki /config/unlock-passphrase so na voljo v dokumentaciji API.
Potrdilo TLS#
Potrdilo TLS se uporablja za API REST, ki temelji na protokolu HTTPS, zato ga uporablja tudi nitropy. Med zagotavljanjem se ustvari samopodpisano potrdilo. Potrdilo lahko nadomestite, na primer s podpisanim potrdilom organa za izdajo potrdil (CA). V tem primeru je treba ustvariti zahtevek za podpis potrdila (CSR). Po podpisu je treba potrdilo uvoziti v sistem NetHSM.
Sprememba je potrebna le, če je treba potrdilo zamenjati. Takšna sprememba je lahko zamenjava s podpisanim potrdilom organa za izdajo potrdil (CA).
Potrdilo TLS lahko pridobite na naslednji način.
Potrebne možnosti
Možnost |
Opis |
---|---|
|
Nastavitev potrdila za vmesnik TLS NetHSM |
Primer
$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----
Informacije o končni točki /config/tls/cert.pem so na voljo v dokumentaciji API.
Potrdilo TLS lahko ustvarite na naslednji način.
Potrebne možnosti
Možnost |
Opis |
---|---|
|
Vrsta ustvarjenega ključa |
|
Dolžina generiranega ključa |
Primer
$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443
Informacije o končni točki /config/tls/generate so na voljo v dokumentaciji API.
Zahtevo za podpis potrdila (CSR) za potrdilo lahko ustvarite na naslednji način.
Potrebne možnosti
Možnost |
Opis |
---|---|
|
Ustvarjanje potrdila CSR za potrdilo TLS NetHSM |
|
Ime države |
|
Ime države ali pokrajine |
|
Ime kraja |
|
Ime organizacije |
|
Ime organizacijske enote |
|
Splošno ime |
|
E-poštni naslov |
Primer
$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----
Informacije o končni točki /config/tls/csr.pem so na voljo v dokumentaciji API.
Potrdilo lahko zamenjate na naslednji način.
Potrebne možnosti
Možnost |
Opis |
---|---|
|
Nastavitev potrdila za vmesnik TLS NetHSM |
Argumenti
Argument |
Opis |
---|---|
|
Datoteka s potrdilom |
Primer
nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate
Informacije o končni točki /config/tls/csr.pem so na voljo v dokumentaciji API.
Omrežje#
Konfiguracija omrežja določa nastavitve, ki se uporabljajo za omrežna vrata.
Opomba
Ta nastavitev ne konfigurira omrežnih vrat BMC.
Konfiguracijo omrežja lahko pridobite na naslednji način.
Potrebne možnosti
Možnost |
Opis |
---|---|
|
Poizvedovanje po konfiguraciji omrežja |
Primer
$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
IP address: 192.168.1.1
Netmask: 255.255.255.0
Gateway: 0.0.0.0
Informacije o končni točki /config/network najdete v dokumentaciji API.
Nastavite omrežno konfiguracijo, kot sledi.
Opomba
NetHSM ne podpira protokola DHCP (Dynamic Host Configuration Protocol).
Opomba
NetHSM ne podpira protokola IPv6 (Internet Protocol version 6).
Potrebne možnosti
Možnost |
Opis |
---|---|
|
Novi naslov IP |
|
Nova omrežna maska |
|
Nova vrata |
Primer
$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443
Informacije o končni točki /config/network najdete v dokumentaciji API.
Čas#
Konfiguracija časa določa sistemski čas programske opreme NetHSM. Sistemskega časa običajno ni treba nastavljati, saj je nastavljen med zagotavljanjem.
Konfiguracijo časa lahko prikličete na naslednji način.
Potrebne možnosti
Možnost |
Opis |
---|---|
|
Poizvedba po sistemskem času |
Primer
$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time: 2022-08-17 11:40:00+00:00
Informacije o končni točki /config/time so na voljo v dokumentaciji API.
Nastavite čas NetHSM.
Pomembno
Poskrbite, da bo čas posredovan v časovnem pasu UTC.
Argumenti
Argument |
Opis |
---|---|
|
Sistemski čas, ki ga želite nastaviti (Oblika: YYYYY-MM-DDTHH:MM:SSZ) |
Primer
$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443
Informacije o končni točki /config/time so na voljo v dokumentaciji API.
Metrike#
NetHSM beleži metrike sistemskih parametrov.
Opomba
Ta ukaz zahteva avtentikacijo uporabnika z vlogo Metrika. Za več informacij o vlogi glejte poglavje Vloge.
Za več informacij o posamezni metriki glejte Metrike.
Metrike lahko pridobite na naslednji način.
Primer
$ nitropy nethsm -h $NETHSM_HOST metrics
Metric Value
---------------------------- --------
client connections 0
established state 6
external.received bytes 989931
external.received packets 13239
external.transmitted bytes 25908953
external.transmitted packets 22037
free chunk count 322
gc compactions 0
gc major bytes 21348352
gc major collections 35
gc minor collections 2652
http response 200 28
http response 201 1
http response 204 1
http response 400 1
http response 403 1
http response 404 145
http response 412 1
http response time 0.084998
http response total 178
internal.received bytes 66541
internal.received packets 1130
internal.transmitted bytes 63802
internal.transmitted packets 1133
kv write 2
log errors 3
log warnings 3
maximum allocated space 64528384
maximum releasable bytes 1216
mmapped region count 0
new sleeper size 1
non-mmapped allocated bytes 64528384
sleep queue size 11
syn-rcvd state 0
timers 2
total allocated space 43940832
total client 1
total established 515
total free space 20587552
total sleeper size 12
total syn-rcvd 514
total timers 526
uptime 17626
Informacije o končni točki /metrics so na voljo v dokumentaciji API.
Prijava#
NetHSM lahko beleži sistemske dogodke v serijska vrata ali v strežnik syslog v omrežju.
Pomembno
Pri vsaki produkcijski namestitvi je treba dnevnik NetHSM stalno spremljati, da se zagotovi takojšnje obveščanje o morebitnih varnostnih težavah.
Serijska konzola deluje že od samega začetka delovanja strojne opreme NetHSM. Vključuje dogodke iz vdelane programske opreme NetHSM in programske opreme NetHSM.
Nastavitve zaporedne konzolne povezave so naslednje.
Nastavitev |
Vrednost |
---|---|
Hitrost Baud |
115200 |
Podatkovni biti |
8 |
Stop biti |
1 |
Pariteta |
Ni |
Nadzor pretoka |
Ni |
Konfiguracijo strežnika syslog lahko pridobite na naslednji način.
Potrebne možnosti
Možnost |
Opis |
---|---|
|
Poizvedovanje po konfiguraciji beleženja |
Primer
$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
IP address: 0.0.0.0
Port: 514
Log level: info
Informacije o končni točki /config/logging najdete v dokumentaciji API.
Konfiguracijo strežnika syslog lahko nastavite na naslednji način.
Potrebne možnosti
Možnost |
Opis |
---|---|
|
Naslov IP novega namembnega kraja za beleženje |
|
Vrata novega namembnega kraja za beleženje |
|
Nova raven dnevnika |
Primer
$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443
Informacije o končni točki /config/logging najdete v dokumentaciji API.
Varnostna kopija#
NetHSM Uporabniški podatki se lahko shranijo v varnostno datoteko. Ta varnostna datoteka vsebuje vse uporabniške podatke, in sicer hrambo konfiguracije, hrambo avtentikacije, hrambo ključev domene in hrambo ključev.
Pomembno
Sistemska programska oprema NetHSM v načinu neobveščenega zagona bo zahtevala geslo odklenitev, če bo obnovljena na drugi strojni opremi NetHSM. Za več informacij glejte poglavje Unlock Passphrase.
Pomembno
NetHSM v načinu Negotovljen zagon bo v enakem načinu tudi po obnovitvi.
Pred začetkom varnostnega kopiranja je treba nastaviti geslo Backup Passphrase. Geslo Backup Passphrase se uporablja za šifriranje podatkov v datoteki varnostne kopije.
Varnostno geslo lahko nastavite na naslednji način.
Volitivne možnosti
Možnost |
Opis |
---|---|
|
Nova geslo za varnostno kopiranje |
Primer
$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
Passphrase:
Repeat for confirmation:
Updated the backup passphrase for NetHSM localhost:8443
Informacije o končni točki /config/backup-passphrase so na voljo v dokumentaciji API.
Opomba
Ta ukaz zahteva avtentikacijo uporabnika z vlogo Backup. Za več informacij glejte poglavje Vloge.
Varnostno kopiranje lahko izvedete na naslednji način.
Argumenti
Argument |
Opis |
---|---|
|
Varnostna datoteka |
Primer
$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup
Informacije o končni točki /system/backup najdete v dokumentaciji API.
Opomba
To varnostno datoteko je mogoče obnoviti samo na nerazporejenem primerku NetHSM.
Obnovitev#
NetHSM lahko obnovite iz varnostne kopije.
Če je NetHSM Unprovisioned, se obnovijo vsi uporabniški podatki, vključno s konfiguracijo sistema in ponovnim zagonom. Zato lahko sistem po tem dobi drugačne omrežne nastavitve, potrdilo TLS in frazo za odklepanje.
Če je NetHSM Provisioned, se obnovijo uporabniki in uporabniški ključi, ne pa tudi konfiguracija sistema. V tem primeru bodo izbrisani vsi prej obstoječi uporabniki in uporabniški ključi. NetHSM se konča v stanju Operational.
Obnovitev lahko izvedete na naslednji način.
Volitivne možnosti
Možnost |
Opis |
---|---|
|
Varnostna gesla za varnostno kopiranje |
|
Sistemski čas za nastavitev (Format: |
Pomembno
Prepričajte se, da je čas v lokalnem računalniku pravilno nastavljen. Če želite nastaviti drug čas, ga določite ročno.
Argumenti
Argument |
Opis |
|
---|---|---|
|
Primer
$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443
Informacije o končni točki /system/restore najdete v dokumentaciji API.
Posodobitev programske opreme#
Posodobitve programske opreme lahko namestite v dveh korakih. Najprej je treba sliko posodobitve prenesti na Provisioned NetHSM. NetHSM preveri avtentičnost, celovitost in številko različice slike. Po želji NetHSM prikaže morebitne opombe o izdaji.
Opozorilo
Zaradi namestitve posodobitve beta lahko pride do izgube podatkov! Stabilne različice ne bi smele povzročiti izgube podatkov. Kljub temu priporočamo, da pred posodobitvijo ustvarite varnostno kopijo.
Datoteko za posodobitev lahko naložite na naslednji način.
Argumenti
Argument |
Opis |
---|---|
|
Datoteka za posodobitev |
Primer
$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.cpio
Image /tmp/nethsm-update.img.cpio uploaded to NetHSM localhost:8443
Informacije o končni točki /system/update najdete v dokumentaciji API.
Nato lahko posodobitev uporabite ali prekinete. V nadaljevanju si oglejte želeno možnost. Če se NetHSM izklopi pred operacijo „commit“ (potrditev), je treba datoteko za posodobitev ponovno naložiti.
Posodobitev se lahko uporabi (izvede) na naslednji način. Prenos podatkov se izvede šele potem, ko je NetHSM uspešno zagnal novo različico sistemske programske opreme.
Primer
$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443
Informacije o končni točki /system/commit-update so na voljo v dokumentaciji API.
Posodobitev lahko prekličete na naslednji način.
Primer
$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443
Informacije o končni točki /system/cancel-update najdete v dokumentaciji API.
Ponovni zagon in izklop#
NetHSM je mogoče ponovno zagnati in izklopiti na daljavo ali z gumbom za ponovni zagon in izklop na sprednji strani strojne opreme NetHSM.
Oddaljeni ponovni zagon lahko sprožite na naslednji način.
Primer
$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot
Informacije o končni točki /system/reboot najdete v dokumentaciji API.
Izklop na daljavo lahko sprožite na naslednji način.
Primer
$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown
Informacije o končni točki /system/shutdown najdete v dokumentaciji API.
Ponastavitev na tovarniške nastavitve#
V napravi Provisioned NetHSM lahko ponastavite tovarniške nastavitve. V tem primeru se vsi uporabniški podatki varno izbrišejo in NetHSM se zažene v Unprovisioned stanje. Nato boste morda želeli zagotoviti NetHSM.
Ponastavitev na tovarniške nastavitve lahko izvedete na naslednji način.
Primer
$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset
Informacije o končni točki /system/factory-reset so na voljo v dokumentaciji API.
Upravljanje uporabnikov#
Vloge#
NetHSM omogoča ločevanje nalog z uporabo različnih vlog. Vsakemu uporabniškemu računu, konfiguriranemu v NetHSM, je dodeljena ena od naslednjih vlog.
Vloga |
Opis |
---|---|
Administrator |
Uporabniški račun s to vlogo ima dostop do vseh operacij, ki jih zagotavlja NetHSM, razen operacij uporabe ključev, tj. podpisovanja in dešifriranja sporočil. |
Operator |
Uporabniški račun s to vlogo ima dostop do vseh operacij uporabe ključev, podmnožice operacij upravljanja ključev samo za branje in operacij upravljanja uporabnikov, ki omogočajo spremembe samo v njegovem računu. |
Metrika |
Uporabniški račun s to vlogo ima dostop samo do operacij metrike za branje. |
Zaščitna kopija |
Uporabniški račun s to vlogo ima dostop samo do operacij, ki so potrebne za začetek varnostnega kopiranja sistema. |
Za natančnejše omejitve dostopa glejte Oznake.
Opomba
V prihodnji izdaji bodo morda uvedene dodatne vloge.
Dodajanje uporabnika#
Dodajte uporabniški račun v NetHSM. Vsak uporabniški račun ima vlogo, ki jo je treba določiti. Za več informacij o Vlogah glejte poglavje Vloge.
Opomba
NetHSM dodeli naključno uporabniško ime, če ni določeno.
Uporabniški račun lahko dodate na naslednji način.
Potrebne možnosti
Možnost |
Opis |
---|---|
|
Pravo ime uporabnika |
|
Vloga novega uporabnika |
|
Geslo novega uporabnika |
Volitivne možnosti
Možnost |
Opis |
---|---|
|
ID uporabnika novega uporabnika |
Primer
$ nitropy nethsm --host $NETHSM_HOST add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443
Izbriši uporabnika#
Izbrišite uporabniški račun iz sistema NetHSM.
Opozorilo
Brisanje je trajno in ga ni mogoče povrniti.
Uporabniški račun lahko izbrišete na naslednji način.
Argumenti
Argument |
Opis |
---|---|
|
Id uporabnika. |
Primer
$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443
Informacije o končni točki /users/{UserID} najdete v dokumentaciji API.
Seznam uporabnikov#
Seznam uporabnikov v NetHSM.
Seznam lahko pridobite na naslednji način.
Volitivne možnosti
Možnost |
Opis |
---|---|
|
poizvedba po pravem imenu in vlogi uporabnika |
Primer
$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:
User ID Real name Role
--------- ----------------- -------------
operator1 Nitrokey Operator Operator
admin admin Administrator
Uporabniška geslo#
Geslo uporabniškega računa lahko ponastavite. Geslo se prvotno nastavi med dodajanjem uporabniškega računa.
Opomba
Geslo mora imeti >= 10 in <= 200 znakov.
Uporabniško geslo lahko nastavite na naslednji način.
Potrebne možnosti
Možnost |
Opis |
---|---|
|
ID uporabnika |
|
Nova geselska fraza uporabnika |
Primer
$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443
Informacije o končni točki /users/{UserID}/passphrase najdete v dokumentaciji API.