Uprava#
V tem poglavju so opisana upraviteljska opravila za uporabnike z vlogo Administrator. Za več informacij o vlogi glejte poglavje Vloge.
Pomembno
Pred začetkom dela preberite informacije na začetku tega dokumenta.
Upravljanje sistema#
Informacije o napravi#
Informacije o prodajalcu in izdelku za NetHSM lahko pridobite na naslednji način.
Primer
$ nitropy nethsm --host $NETHSM_HOST info
Host: localhost:8443
Vendor: Nitrokey GmbH
Product: NetHSM
Informacije o končni točki /info so na voljo v dokumentaciji API.
Način zagona#
NetHSM se lahko uporablja v načinu Attended Boot in Unattended Boot.
Način zagona |
Opis |
---|---|
Udeležba na tekmovanju Boot |
Pri vsakem zagonu je treba vnesti frazo za odklepanje, ki se uporablja za dešifriranje uporabniških podatkov. Iz varnostnih razlogov je ta način priporočljiv. |
Nedenaravni zagon |
Geslo Unlock Passphrase ni potrebno, zato se lahko NetHSM zažene brez nadzora. Ta način uporabite, če vaših zahtev glede razpoložljivosti ni mogoče izpolniti z načinom transparentnega zagona. |
Trenutni način zagona lahko prikličete na naslednji način.
Primer
$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot
Configuration for NetHSM localhost:8443:
Unattended boot: off
Informacije o končni točki /config/unattended-boot so na voljo v dokumentaciji API.
Način zagona lahko spremenite na naslednji način.
Argumenti
Argument |
Opis |
---|---|
Status |
Omogočite ali onemogočite Neprimerno zagonsko delovanje. Lahko ima vrednost |
Primer
$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on
Updated the unattended boot configuration for NetHSM localhost:8443
Informacije o končni točki /config/unattended-boot so na voljo v dokumentaciji API.
Država#
Programska oprema NetHSM ima štiri stanja: Neopredeljeno, opredeljeno, zaprto in delujoče.
Država |
Opis |
---|---|
Neprovizirano |
NetHSM brez konfiguracije (tovarniške nastavitve) |
Provizionirano |
NetHSM s konfiguracijo. Stanje Provisioned pomeni stanje Operational ali Locked. |
Operativno |
NetHSM s konfiguracijo in pripravljen za izvajanje ukazov. Stanje Operational pomeni stanje Provisioned. |
Zaklenjeno |
NetHSM s konfiguracijo, vendar zaščiten (zahteva odklepanje). Stanje Operational pomeni stanje Provisioned. |
Stanje in prehodi NetHSM#
Trenutno stanje NetHSM lahko pridobite na naslednji način.
Primer
$ nitropy nethsm --host $NETHSM_HOST state
NetHSM localhost:8443 is Unprovisioned
Informacije o končni točki /health/state so na voljo v dokumentaciji API.
Novi NetHSM ima stanje Neprovisioned in po zagotovitvi preide v stanje Operational. Zagotavljanje NetHSM je opisano v poglavju Zagotavljanje.
NetHSM v stanju Operational lahko ponovno zaklenete in ga zaščitite na naslednji način.
Primer
$ nitropy nethsm --host $NETHSM_HOST lock
NetHSM localhost:8443 locked
Informacije o končni točki /lock so na voljo v dokumentaciji API.
NetHSM v stanju Locked lahko odklenete na naslednji način.
Primer
$ nitropy nethsm --host $NETHSM_HOST unlock
NetHSM localhost:8443 unlocked
Informacije o končni točki /unlock so na voljo v dokumentaciji API.
geslo za odklepanje#
Geslo Unlock Passphrase se uporablja za izpeljavo ključa Unlock Key, če je NetHSM v stanju Locked. Pasfraza se na začetku nastavi med zagotavljanjem NetHSM.
Geslo Unlock Passphrase lahko nastavite na naslednji način.
Volitivne možnosti
Možnost |
Opis |
---|---|
|
Nova geslo za odklepanje |
Primer
$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase
Passphrase:
Repeat for confirmation:
Updated the unlock passphrase for localhost:8443
Informacije o končni točki /config/unlock-passphrase so na voljo v dokumentaciji API.
Potrdilo TLS#
Potrdilo TLS se uporablja za API REST, ki temelji na protokolu HTTPS, zato ga uporablja tudi nitropy. Med zagotavljanjem se ustvari samopodpisano potrdilo. Potrdilo lahko nadomestite, na primer s podpisanim potrdilom organa za izdajo potrdil (CA). V tem primeru je treba ustvariti zahtevek za podpis potrdila (CSR). Po podpisu je treba potrdilo uvoziti v sistem NetHSM.
Sprememba je potrebna le, če je treba potrdilo zamenjati. Takšna sprememba je lahko zamenjava s podpisanim potrdilom organa za izdajo potrdil (CA).
Potrdilo TLS lahko pridobite na naslednji način.
Potrebne možnosti
Možnost |
Opis |
---|---|
|
Nastavitev potrdila za vmesnik TLS NetHSM |
Primer
$ nitropy nethsm --host $NETHSM_HOST get-certificate --api
-----BEGIN CERTIFICATE-----
MIIBHzCBxaADAgECAgkA7AznVQK3XWkwCgYIKoZIzj0EAwIwFDESMBAGA1UEAwwJ
a2V5ZmVuZGVyMCAXDTcwMDEwMTAwMDAwMFoYDzk5OTkxMjMxMjM1OTU5WjAUMRIw
EAYDVQQDDAlrZXlmZW5kZXIwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAARbeCRl
F1ZIjK1bTfrPvtCoYDThMjdV1q8mq+B9FMDo4GIahTCUG/Ub6bCOcbip5pP92J3h
yMEcPuos72c1KcGjMAoGCCqGSM49BAMCA0kAMEYCIQC/BNrkCM5gpsVfa9EqQcM0
PCaADyZG7KKLgDv7asa5LwIhAKDXRE3Tdm9tYObO0X4p0CRQkl1+DnvGljzQe34C
JBax
-----END CERTIFICATE-----
Informacije o končni točki /config/tls/cert.pem so na voljo v dokumentaciji API.
Potrdilo TLS lahko ustvarite na naslednji način.
Potrebne možnosti
Možnost |
Opis |
---|---|
|
Vrsta ustvarjenega ključa |
|
Dolžina generiranega ključa |
Primer
$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519
Key for TLS interface generated on NetHSM localhost:8443
Informacije o končni točki /config/tls/generate so na voljo v dokumentaciji API.
Zahtevo za podpis potrdila (CSR) za potrdilo lahko ustvarite na naslednji način.
Potrebne možnosti
Možnost |
Opis |
---|---|
|
Ustvarjanje potrdila CSR za potrdilo TLS NetHSM |
|
Ime države |
|
Ime države ali pokrajine |
|
Ime kraja |
|
Ime organizacije |
|
Ime organizacijske enote |
|
Splošno ime |
|
E-poštni naslov |
Primer
$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIGBMDUCAQAwAjEAMCowBQYDK2VwAyEAE+nz+nOj80SWG25UbqVcQk6Ua84zuj5B
9qCtPpDUX2qgADAFBgMrZXADQQDwk9LrYDu83a1jgBGqW0I9BVXWEhP4gZLxlVV+
c102GFi963ZPIxG7Z5+uWplz+wr/Vmr7KLr6oM01M/AZPJQO
-----END CERTIFICATE REQUEST-----
Informacije o končni točki /config/tls/csr.pem so na voljo v dokumentaciji API.
Potrdilo lahko zamenjate na naslednji način.
Potrebne možnosti
Možnost |
Opis |
---|---|
|
Nastavitev potrdila za vmesnik TLS NetHSM |
Argumenti
Argument |
Opis |
---|---|
|
Datoteka s potrdilom |
Primer
nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate
Informacije o končni točki /config/tls/csr.pem so na voljo v dokumentaciji API.
Omrežje#
Konfiguracija omrežja določa nastavitve, ki se uporabljajo za omrežna vrata.
Opomba
Ta nastavitev ne konfigurira omrežnih vrat BMC.
Konfiguracijo omrežja lahko pridobite na naslednji način.
Potrebne možnosti
Možnost |
Opis |
---|---|
|
Poizvedovanje po konfiguraciji omrežja |
Primer
$ nitropy nethsm -h $NETHSM_HOST get-config --network
Configuration for NetHSM localhost:8443:
Network:
IP address: 192.168.1.1
Netmask: 255.255.255.0
Gateway: 0.0.0.0
Informacije o končni točki /config/network najdete v dokumentaciji API.
Nastavite omrežno konfiguracijo, kot sledi.
Opomba
NetHSM ne podpira protokola DHCP (Dynamic Host Configuration Protocol).
Opomba
NetHSM ne podpira protokola IPv6 (Internet Protocol version 6).
Potrebne možnosti
Možnost |
Opis |
---|---|
|
Novi naslov IP |
|
Nova omrežna maska |
|
Nova vrata |
Primer
$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0
Updated the network configuration for NetHSM localhost:8443
Informacije o končni točki /config/network najdete v dokumentaciji API.
Čas#
Konfiguracija časa določa sistemski čas programske opreme NetHSM. Sistemskega časa običajno ni treba nastavljati, saj je nastavljen med zagotavljanjem.
Konfiguracijo časa lahko prikličete na naslednji način.
Potrebne možnosti
Možnost |
Opis |
---|---|
|
Poizvedba po sistemskem času |
Primer
$ nitropy nethsm -host $NETHSM_HOST get-config --time
Configuration for NetHSM localhost:8443:
Time: 2022-08-17 11:40:00+00:00
Informacije o končni točki /config/time so na voljo v dokumentaciji API.
Nastavite čas NetHSM.
Pomembno
Poskrbite, da bo čas posredovan v časovnem pasu UTC.
Argumenti
Argument |
Opis |
---|---|
|
Sistemski čas, ki ga želite nastaviti (Oblika: YYYYY-MM-DDTHH:MM:SSZ) |
Primer
$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z
Updated the system time for NetHSM localhost:8443
Informacije o končni točki /config/time so na voljo v dokumentaciji API.
Metrike#
NetHSM beleži metrike sistemskih parametrov.
Opomba
Ta ukaz zahteva avtentikacijo uporabnika z vlogo Metrika. Za več informacij o vlogi glejte poglavje Vloge.
Metrike lahko pridobite na naslednji način.
Primer
$ nitropy nethsm -h $NETHSM_HOST metrics
Metric Value
---------------------------- --------
client connections 0
established state 6
external.received bytes 989931
external.received packets 13239
external.transmitted bytes 25908953
external.transmitted packets 22037
free chunk count 322
gc compactions 0
gc major bytes 21348352
gc major collections 35
gc minor collections 2652
http response 200 28
http response 201 1
http response 204 1
http response 400 1
http response 403 1
http response 404 145
http response 412 1
http response time 0.084998
http response total 178
internal.received bytes 66541
internal.received packets 1130
internal.transmitted bytes 63802
internal.transmitted packets 1133
kv write 2
log errors 3
log warnings 3
maximum allocated space 64528384
maximum releasable bytes 1216
mmapped region count 0
new sleeper size 1
non-mmapped allocated bytes 64528384
sleep queue size 11
syn-rcvd state 0
timers 2
total allocated space 43940832
total client 1
total established 515
total free space 20587552
total sleeper size 12
total syn-rcvd 514
total timers 526
uptime 17626
Informacije o končni točki /metrics so na voljo v dokumentaciji API.
Prijava#
NetHSM lahko beleži sistemske dogodke v serijska vrata ali v strežnik syslog v omrežju.
Serijska konzola deluje že od samega začetka delovanja strojne opreme NetHSM. Vključuje dogodke iz vdelane programske opreme NetHSM in programske opreme NetHSM.
Nastavitve zaporedne konzolne povezave so naslednje.
Nastavitev |
Vrednost |
---|---|
Hitrost Baud |
115200 |
Podatkovni biti |
8 |
Stop biti |
1 |
Pariteta |
Ni |
Nadzor pretoka |
Ni |
Konfiguracijo strežnika syslog lahko pridobite na naslednji način.
Potrebne možnosti
Možnost |
Opis |
---|---|
|
Poizvedovanje po konfiguraciji beleženja |
Primer
$ nitropy nethsm -h $NETHSM_HOST get-config --logging
Logging:
IP address: 0.0.0.0
Port: 514
Log level: info
Informacije o končni točki /config/logging najdete v dokumentaciji API.
Konfiguracijo strežnika syslog lahko nastavite na naslednji način.
Potrebne možnosti
Možnost |
Opis |
---|---|
|
Naslov IP novega namembnega kraja za beleženje |
|
Vrata novega namembnega kraja za beleženje |
|
Nova raven dnevnika |
Primer
$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info
Updated the logging configuration for NetHSM localhost:8443
Informacije o končni točki /config/logging najdete v dokumentaciji API.
Varnostna kopija#
NetHSM Uporabniški podatki se lahko shranijo v varnostno datoteko. Ta varnostna datoteka vsebuje vse uporabniške podatke, in sicer hrambo konfiguracije, hrambo avtentikacije, hrambo ključev domene in hrambo ključev.
Pomembno
Sistemska programska oprema NetHSM v načinu neobveščenega zagona bo zahtevala geslo odklenitev, če bo obnovljena na drugi strojni opremi NetHSM. Za več informacij glejte poglavje Unlock Passphrase.
Pomembno
NetHSM v načinu Negotovljen zagon bo v enakem načinu tudi po obnovitvi.
Pred začetkom varnostnega kopiranja je treba nastaviti geslo Backup Passphrase. Geslo Backup Passphrase se uporablja za šifriranje podatkov v datoteki varnostne kopije.
Varnostno geslo lahko nastavite na naslednji način.
Volitivne možnosti
Možnost |
Opis |
---|---|
|
Nova geslo za varnostno kopiranje |
Primer
$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase
Passphrase:
Repeat for confirmation:
Updated the backup passphrase for NetHSM localhost:8443
Informacije o končni točki /config/backup-passphrase so na voljo v dokumentaciji API.
Opomba
Ta ukaz zahteva avtentikacijo uporabnika z vlogo Backup. Za več informacij glejte poglavje Vloge.
Varnostno kopiranje lahko izvedete na naslednji način.
Argumenti
Argument |
Opis |
---|---|
|
Varnostna datoteka |
Primer
$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup
Backup for localhost:8443 written to /tmp/backup
Informacije o končni točki /system/backup najdete v dokumentaciji API.
Opomba
To varnostno datoteko je mogoče obnoviti samo na nerazporejenem primerku NetHSM.
Obnovitev#
NetHSM lahko obnovite iz varnostne kopije.
Opomba
NetHSM mora biti v stanju Neprovisioned State.
Obnovitev lahko izvedete na naslednji način.
Volitivne možnosti
Možnost |
Opis |
---|---|
|
Varnostna gesla za varnostno kopiranje |
|
Sistemski čas za nastavitev (Format: |
Pomembno
Prepričajte se, da je čas v lokalnem računalniku pravilno nastavljen. Če želite nastaviti drug čas, ga določite ročno.
Argumenti
Argument |
Opis |
|
---|---|---|
|
Primer
$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup
Backup passphrase:
Backup restored on NetHSM localhost:8443
Informacije o končni točki /system/restore najdete v dokumentaciji API.
Posodobitev#
Posodobitve za NetHSM lahko namestite v dveh korakih. Najprej je treba sliko posodobitve naložiti v napravo NetHSM. Slika se preveri in potrdi samodejno.
Opozorilo
Zaradi namestitve posodobitve beta lahko pride do izgube podatkov!
Datoteko za posodobitev lahko naložite na naslednji način.
Argumenti
Argument |
Opis |
---|---|
|
Datoteka za posodobitev |
Primer
$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.cpio
Image /tmp/nethsm-update.img.cpio uploaded to NetHSM localhost:8443
Informacije o končni točki /system/update najdete v dokumentaciji API.
Nato lahko posodobitev uporabite ali prekinete. V nadaljevanju si oglejte želeno možnost.
Posodobitev se lahko uporabi (izvede) na naslednji način.
Primer
$ nitropy nethsm --host $NETHSM_HOST commit-update
Update successfully committed on NetHSM localhost:8443
Informacije o končni točki /system/commit-update so na voljo v dokumentaciji API.
Posodobitev lahko prekličete na naslednji način.
Primer
$ nitropy nethsm --host $NETHSM_HOST cancel-update
Update successfully cancelled on NetHSM localhost:8443
Informacije o končni točki /system/cancel-update najdete v dokumentaciji API.
Ponovni zagon in izklop#
NetHSM je mogoče ponovno zagnati in izklopiti na daljavo ali z gumbom za ponovni zagon in izklop na sprednji strani strojne opreme NetHSM.
Oddaljeni ponovni zagon lahko sprožite na naslednji način.
Primer
$ nitropy nethsm --host $NETHSM_HOST reboot
NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot
Informacije o končni točki /system/reboot najdete v dokumentaciji API.
Izklop na daljavo lahko sprožite na naslednji način.
Primer
$ nitropy nethsm --host $NETHSM_HOST shutdown
NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown
Informacije o končni točki /system/shutdown najdete v dokumentaciji API.
Ponastavitev na tovarniške nastavitve#
NetHSM lahko ponastavite na tovarniške nastavitve. Med tem postopkom se izbrišejo vsi uporabniški podatki.
Ponastavitev na tovarniške nastavitve lahko izvedete na naslednji način.
Primer
$ nitropy nethsm -h $NETHSM_HOST factory-reset
NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset
Informacije o končni točki /system/factory-reset so na voljo v dokumentaciji API.
Upravljanje uporabnikov#
Vloge#
NetHSM omogoča ločevanje nalog z uporabo različnih vlog. Vsakemu uporabniškemu računu, konfiguriranemu v NetHSM, je dodeljena ena od naslednjih vlog.
Vloga |
Opis |
---|---|
Administrator |
Uporabniški račun s to vlogo ima dostop do vseh operacij, ki jih zagotavlja NetHSM, razen operacij uporabe ključev, tj. podpisovanja in dešifriranja sporočil. |
Operator |
Uporabniški račun s to vlogo ima dostop do vseh operacij uporabe ključev, podmnožice operacij upravljanja ključev samo za branje in operacij upravljanja uporabnikov, ki omogočajo spremembe samo v njegovem računu. |
Metrika |
Uporabniški račun s to vlogo ima dostop samo do operacij metrike za branje. |
Zaščitna kopija |
Uporabniški račun s to vlogo ima dostop samo do operacij, ki so potrebne za začetek varnostnega kopiranja sistema. |
Opomba
V prihodnji izdaji bodo morda uvedene dodatne vloge.
Dodajanje uporabnika#
Dodajte uporabniški račun v NetHSM. Vsak uporabniški račun ima vlogo, ki jo je treba določiti. Za več informacij o Vlogah glejte poglavje Vloge.
Opomba
NetHSM dodeli naključno uporabniško ime, če ni določeno.
Uporabniški račun lahko dodate na naslednji način.
Potrebne možnosti
Možnost |
Opis |
---|---|
|
Pravo ime uporabnika |
|
Vloga novega uporabnika |
|
Geslo novega uporabnika |
Volitivne možnosti
Možnost |
Opis |
---|---|
|
ID uporabnika novega uporabnika |
Primer
$ nitropy nethsm --host $NETHSM_HOST add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1
Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443
Izbriši uporabnika#
Izbrišite uporabniški račun iz sistema NetHSM.
Opozorilo
Brisanje je trajno in ga ni mogoče povrniti.
Uporabniški račun lahko izbrišete na naslednji način.
Argumenti
Argument |
Opis |
---|---|
|
Id uporabnika. |
Primer
$ nitropy nethsm --host $NETHSM_HOST delete-user operator1
User operator1 deleted on NetHSM localhost:8443
Informacije o končni točki /users/{UserID} najdete v dokumentaciji API.
Seznam uporabnikov#
Seznam uporabnikov v NetHSM.
Seznam lahko pridobite na naslednji način.
Volitivne možnosti
Možnost |
Opis |
---|---|
|
poizvedba po pravem imenu in vlogi uporabnika |
Primer
$ nitropy nethsm --host $NETHSM_HOST list-users
Users on NetHSM localhost:8843:
User ID Real name Role
--------- ----------------- -------------
operator1 Nitrokey Operator Operator
admin admin Administrator
Uporabniška geslo#
Geslo uporabniškega računa lahko ponastavite. Geslo se prvotno nastavi med dodajanjem uporabniškega računa.
Opomba
Geslo mora imeti >= 10 in <= 200 znakov.
Uporabniško geslo lahko nastavite na naslednji način.
Potrebne možnosti
Možnost |
Opis |
---|---|
|
ID uporabnika |
|
Nova geselska fraza uporabnika |
Primer
$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1
Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443
Informacije o končni točki /users/{UserID}/passphrase najdete v dokumentaciji API.