Uprava#

V tem poglavju so opisana upraviteljska opravila za uporabnike z vlogo Administrator. Za več informacij o vlogi glejte poglavje Vloge.

Pomembno

Pred začetkom dela preberite informacije na začetku tega dokumenta.

Upravljanje sistema#

Informacije o napravi#

Informacije o prodajalcu in izdelku za NetHSM lahko pridobite na naslednji način.

Primer

$ nitropy nethsm --host $NETHSM_HOST info

Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Način zagona#

NetHSM se lahko uporablja v načinu Attended Boot in Unattended Boot.

Način zagona	Opis
Udeleženi Boot	NetHSM se zažene v stanju _Locked_. Med vsakim zagonom je treba vnesti geslo Unlock Passphrase, ki se uporablja za dešifriranje uporabniških podatkov. Iz varnostnih razlogov je ta način priporočljiv in je privzeti način za sveže nameščen sistem.
Nenadzorovan zagon	Sistem se zažene brez nadzora, ne da bi bilo treba vnesti geslo Unlock Passphrase v stanje _Operational_. Ta način uporabite, če vaših zahtev glede razpoložljivosti ni mogoče izpolniti z načinom Attended Boot.

Opozorilo

Ne glede na način zagona geslo Unlock Passphrase ohrani svojo veljavnost in je potrebno za obnovitev varnostnih kopij na drugi strojni opremi. Geslo Unlock Passphrase imejte vedno na varnem.

Trenutni način zagona lahko prikličete na naslednji način.

Primer

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot

Configuration for NetHSM localhost:8443:
   Unattended boot: off

Način zagona lahko spremenite na naslednji način. Pri naslednjem zagonu se bo NetHSM obnašal ustrezno.

Argumenti

Argument	Opis
Status	Omogočite ali onemogočite Neprimerno zagonsko delovanje. Lahko ima vrednost `on` ali `off`.

Primer

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on

Updated the unattended boot configuration for NetHSM localhost:8443

Država#

Programska oprema NetHSM ima štiri stanja: Neopredeljeno, opredeljeno, zaprto in delujoče.

Država	Opis
Neprovizirano	NetHSM brez konfiguracije (tovarniške nastavitve)
Provizionirano	NetHSM s konfiguracijo. Stanje Provisioned pomeni stanje Operational ali Locked.
Operativno	NetHSM s konfiguracijo in pripravljen za izvajanje ukazov. Stanje Operational pomeni stanje Provisioned.
Zaklenjeno	NetHSM s konfiguracijo, vendar šifriranimi in nedostopnimi podatkovnimi shrambami. Običajno je naslednji korak odklepanje sistema. Stanje Locked pomeni stanje Provisioned.

Trenutno stanje NetHSM lahko pridobite na naslednji način.

Primer

$ nitropy nethsm --host $NETHSM_HOST state

NetHSM localhost:8443 is Unprovisioned

Novi NetHSM ima stanje Neprovisioned in po zagotovitvi preide v stanje Operational. Zagotavljanje NetHSM je opisano v poglavju Zagotavljanje.

NetHSM v stanju Operational lahko ponovno zaklenete in ga zaščitite na naslednji način.

Primer

$ nitropy nethsm --host $NETHSM_HOST lock

NetHSM localhost:8443 locked

NetHSM v stanju Locked lahko odklenete na naslednji način. Ko je NetHSM v stanju _Locked_, druge operacije niso mogoče. Nato je NetHSM v stanju _Operational_.

Primer

$ nitropy nethsm --host $NETHSM_HOST unlock

NetHSM localhost:8443 unlocked

geslo za odklepanje#

Geslo Unlock Passphrase se uporablja za izpeljavo ključa Unlock Key, če je NetHSM v stanju Locked. Pasfraza se na začetku nastavi med zagotavljanjem NetHSM.

Geslo Unlock Passphrase lahko nastavite na naslednji način.

Volitivne možnosti

Možnost	Opis
`-p`, `--passphrase` `TEXT`	Nova geslo za odklepanje

Primer

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase

Passphrase:
Repeat for confirmation:
Updated the unlock passphrase for localhost:8443

Potrdilo TLS#

Potrdilo TLS se uporablja za API REST, ki temelji na protokolu HTTPS, zato ga uporablja tudi nitropy. Med zagotavljanjem se ustvari samopodpisano potrdilo. Potrdilo lahko nadomestite, na primer s podpisanim potrdilom organa za izdajo potrdil (CA). V tem primeru je treba ustvariti zahtevek za podpis potrdila (CSR). Po podpisu je treba potrdilo uvoziti v sistem NetHSM.

Sprememba je potrebna le, če je treba potrdilo zamenjati. Takšna sprememba je lahko zamenjava s podpisanim potrdilom organa za izdajo potrdil (CA).

Potrdilo TLS lahko pridobite na naslednji način.

Potrebne možnosti

Možnost	Opis
`-a`, `--api`	Nastavitev potrdila za vmesnik TLS NetHSM

Primer

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api

Potrdilo TLS lahko ustvarite na naslednji način.

Potrebne možnosti

Možnost	Opis
`-t`, `--type` `[RSA\|Curve25519\|EC_P224\|EC_P256\|EC_P384\|EC_P521]`	Vrsta ustvarjenega ključa
`-l`, `--length` `INTEGER`	Dolžina generiranega ključa

Primer

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519

Key for TLS interface generated on NetHSM localhost:8443

Zahtevo za podpis potrdila (CSR) za potrdilo lahko ustvarite na naslednji način.

Potrebne možnosti

Možnost	Opis
`-a`, `--api`	Ustvarjanje potrdila CSR za potrdilo TLS NetHSM
`--country` `TEXT`	Ime države
`--state-or-province` `TEXT`	Ime države ali pokrajine
`--locality` `TEXT`	Ime kraja
`--organization` `TEXT`	Ime organizacije
`--organizational-unit` `TEXT`	Ime organizacijske enote
`--common-name` `TEXT`	Splošno ime
`--email-address` `TEXT`	E-poštni naslov

Primer

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"

Potrdilo lahko zamenjate na naslednji način.

Potrebne možnosti

Možnost	Opis
`-a`, `--api`	Nastavitev potrdila za vmesnik TLS NetHSM

Argumenti

Argument	Opis
`FILENAME`	Datoteka s potrdilom

Primer

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Omrežje#

Konfiguracija omrežja določa nastavitve, ki se uporabljajo za omrežna vrata.

Opomba

Ta nastavitev ne konfigurira omrežnih vrat BMC.

Konfiguracijo omrežja lahko pridobite na naslednji način.

Potrebne možnosti

Možnost	Opis
`--network`	Poizvedovanje po konfiguraciji omrežja

Primer

$ nitropy nethsm -h $NETHSM_HOST get-config --network

Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Nastavite omrežno konfiguracijo, kot sledi.

Opomba

NetHSM ne podpira protokola DHCP (Dynamic Host Configuration Protocol).

Opomba

NetHSM ne podpira protokola IPv6 (Internet Protocol version 6).

Potrebne možnosti

Možnost	Opis
`-a`, `--ip-address`	Novi naslov IP
`-n`, `--netmask`	Nova omrežna maska
`-n`, `--netmask`	Nova vrata

Primer

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0

Updated the network configuration for NetHSM localhost:8443

Čas#

Konfiguracija časa določa sistemski čas programske opreme NetHSM. Sistemskega časa običajno ni treba nastavljati, saj je nastavljen med zagotavljanjem.

Konfiguracijo časa lahko prikličete na naslednji način.

Potrebne možnosti

Možnost	Opis
`--time`	Poizvedba po sistemskem času

Primer

$ nitropy nethsm -host $NETHSM_HOST get-config --time

Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Nastavite čas NetHSM.

Pomembno

Poskrbite, da bo čas posredovan v časovnem pasu UTC.

Argumenti

Argument	Opis
`time`	Sistemski čas, ki ga želite nastaviti (Oblika: YYYYY-MM-DDTHH:MM:SSZ)

Primer

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z

Updated the system time for NetHSM localhost:8443

Metrike#

NetHSM beleži metrike sistemskih parametrov.

Opomba

Ta ukaz zahteva avtentikacijo uporabnika z vlogo Metrika. Za več informacij o vlogi glejte poglavje Vloge.

Za več informacij o posamezni metriki glejte Metrike.

Metrike lahko pridobite na naslednji način.

Primer

$ nitropy nethsm -h $NETHSM_HOST metrics

Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Prijava#

NetHSM lahko beleži sistemske dogodke v serijska vrata ali v strežnik syslog v omrežju.

Pomembno

Pri vsaki produkcijski namestitvi je treba dnevnik NetHSM stalno spremljati, da se zagotovi takojšnje obveščanje o morebitnih varnostnih težavah.

Serijska konzola deluje že od samega začetka delovanja strojne opreme NetHSM. Vključuje dogodke iz vdelane programske opreme NetHSM in programske opreme NetHSM.

Nastavitve zaporedne konzolne povezave so naslednje.

Nastavitev	Vrednost
Hitrost Baud	115200
Podatkovni biti	8
Stop biti	1
Pariteta	Ni
Nadzor pretoka	Ni

Konfiguracijo strežnika syslog lahko pridobite na naslednji način.

Potrebne možnosti

Možnost	Opis
`--network`	Poizvedovanje po konfiguraciji beleženja

Primer

$ nitropy nethsm -h $NETHSM_HOST get-config --logging

Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

Konfiguracijo strežnika syslog lahko nastavite na naslednji način.

Potrebne možnosti

Možnost	Opis
`-p`, `--passphrase` `TEXT`	Naslov IP novega namembnega kraja za beleženje
`-p`, `--port` `INTEGER`	Vrata novega namembnega kraja za beleženje
`-l`, `--log-level` `[debug\|info\|warning\|error]`	Nova raven dnevnika

Primer

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info

Updated the logging configuration for NetHSM localhost:8443

Varnostna kopija#

NetHSM Uporabniški podatki se lahko shranijo v varnostno datoteko. Ta varnostna datoteka vsebuje vse uporabniške podatke, in sicer hrambo konfiguracije, hrambo avtentikacije, hrambo ključev domene in hrambo ključev.

Pomembno

Sistemska programska oprema NetHSM v načinu neobveščenega zagona bo zahtevala geslo odklenitev, če bo obnovljena na drugi strojni opremi NetHSM. Za več informacij glejte poglavje Unlock Passphrase.

Pomembno

NetHSM v načinu Negotovljen zagon bo v enakem načinu tudi po obnovitvi.

Pred začetkom varnostnega kopiranja je treba nastaviti geslo Backup Passphrase. Geslo Backup Passphrase se uporablja za šifriranje podatkov v datoteki varnostne kopije.

Varnostno geslo lahko nastavite na naslednji način.

Volitivne možnosti

Možnost	Opis
`-p`, `--passphrase` `TEXT`	Nova geslo za varnostno kopiranje

Primer

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase

Passphrase:
Repeat for confirmation:
Updated the backup passphrase for NetHSM localhost:8443

Opomba

Ta ukaz zahteva avtentikacijo uporabnika z vlogo Backup. Za več informacij glejte poglavje Vloge.

Varnostno kopiranje lahko izvedete na naslednji način.

Argumenti

Argument	Opis
`FILENAME`	Varnostna datoteka

Primer

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup

Backup for localhost:8443 written to /tmp/backup

Opomba

To varnostno datoteko je mogoče obnoviti samo na nerazporejenem primerku NetHSM.

Obnovitev#

NetHSM lahko obnovite iz varnostne kopije.

Če je NetHSM Unprovisioned, se obnovijo vsi uporabniški podatki, vključno s konfiguracijo sistema in ponovnim zagonom. Zato lahko sistem po tem dobi drugačne omrežne nastavitve, potrdilo TLS in frazo za odklepanje.
Če je NetHSM Provisioned, se obnovijo uporabniki in uporabniški ključi, ne pa tudi konfiguracija sistema. V tem primeru bodo izbrisani vsi prej obstoječi uporabniki in uporabniški ključi. NetHSM se konča v stanju Operational.

Obnovitev lahko izvedete na naslednji način.

Volitivne možnosti

Možnost	Opis
`-p`, `--backup-passphrase` `passphrase`	Varnostna gesla za varnostno kopiranje
`-t`, `--system-time`	Sistemski čas za nastavitev (Format: `YYYY-MM-DDTHH:MM:SSZ`)

Pomembno

Prepričajte se, da je čas v lokalnem računalniku pravilno nastavljen. Če želite nastaviti drug čas, ga določite ročno.

Argumenti

Argument		Opis
`FILENAME` \| Obnovitev datoteke

Primer

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup

Backup passphrase:
Backup restored on NetHSM localhost:8443

Posodobitev programske opreme#

Posodobitve programske opreme lahko namestite v dveh korakih. Najprej je treba sliko posodobitve prenesti na Provisioned NetHSM. NetHSM preveri avtentičnost, celovitost in številko različice slike. Po želji NetHSM prikaže morebitne opombe o izdaji.

Opozorilo

Zaradi namestitve posodobitve beta lahko pride do izgube podatkov! Stabilne različice ne bi smele povzročiti izgube podatkov. Kljub temu priporočamo, da pred posodobitvijo ustvarite varnostno kopijo.

Datoteko za posodobitev lahko naložite na naslednji način.

Argumenti

Argument	Opis
`FILENAME`	Datoteka za posodobitev

Primer

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.cpio

Image /tmp/nethsm-update.img.cpio uploaded to NetHSM localhost:8443

Nato lahko posodobitev uporabite ali prekinete. V nadaljevanju si oglejte želeno možnost. Če se NetHSM izklopi pred operacijo „commit“ (potrditev), je treba datoteko za posodobitev ponovno naložiti.

Posodobitev se lahko uporabi (izvede) na naslednji način. Prenos podatkov se izvede šele potem, ko je NetHSM uspešno zagnal novo različico sistemske programske opreme.

Primer

$ nitropy nethsm --host $NETHSM_HOST commit-update

Update successfully committed on NetHSM localhost:8443

Posodobitev lahko prekličete na naslednji način.

Primer

$ nitropy nethsm --host $NETHSM_HOST cancel-update

Update successfully cancelled on NetHSM localhost:8443

Ponovni zagon in izklop#

NetHSM je mogoče ponovno zagnati in izklopiti na daljavo ali z gumbom za ponovni zagon in izklop na sprednji strani strojne opreme NetHSM.

Oddaljeni ponovni zagon lahko sprožite na naslednji način.

Primer

$ nitropy nethsm --host $NETHSM_HOST reboot

NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

Izklop na daljavo lahko sprožite na naslednji način.

Primer

$ nitropy nethsm --host $NETHSM_HOST shutdown

NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Ponastavitev na tovarniške nastavitve#

V napravi Provisioned NetHSM lahko ponastavite tovarniške nastavitve. V tem primeru se vsi uporabniški podatki varno izbrišejo in NetHSM se zažene v Unprovisioned stanje. Nato boste morda želeli zagotoviti NetHSM.

Ponastavitev na tovarniške nastavitve lahko izvedete na naslednji način.

Primer

$ nitropy nethsm -h $NETHSM_HOST factory-reset

NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Upravljanje uporabnikov#

Vloge#

NetHSM omogoča ločevanje nalog z uporabo različnih vlog. Vsakemu uporabniškemu računu, konfiguriranemu v NetHSM, je dodeljena ena od naslednjih vlog.

Vloga	Opis
Administrator	Uporabniški račun s to vlogo ima dostop do vseh operacij, ki jih zagotavlja NetHSM, razen operacij uporabe ključev, tj. podpisovanja in dešifriranja sporočil.
Operator	Uporabniški račun s to vlogo ima dostop do vseh operacij uporabe ključev, podmnožice operacij upravljanja ključev samo za branje in operacij upravljanja uporabnikov, ki omogočajo spremembe samo v njegovem računu.
Metrika	Uporabniški račun s to vlogo ima dostop samo do operacij metrike za branje.
Zaščitna kopija	Uporabniški račun s to vlogo ima dostop samo do operacij, ki so potrebne za začetek varnostnega kopiranja sistema.

Za natančnejše omejitve dostopa glejte Oznake.

Opomba

V prihodnji izdaji bodo morda uvedene dodatne vloge.

Dodajanje uporabnika#

Dodajte uporabniški račun v NetHSM. Vsak uporabniški račun ima vlogo, ki jo je treba določiti. Za več informacij o Vlogah glejte poglavje Vloge.

Opomba

NetHSM dodeli naključno uporabniško ime, če ni določeno.

Uporabniški račun lahko dodate na naslednji način.

Potrebne možnosti

Možnost	Opis
`-n`, `--real-name` `TEXT`	Pravo ime uporabnika
`-r`, `--role` `[Administrator\|Operator\|Metrics\|Backup]`	Vloga novega uporabnika
`-p`, `--passphrase` `TEXT`	Geslo novega uporabnika

Volitivne možnosti

Možnost	Opis
`-u`, `--user-id` `TEXT`	ID uporabnika novega uporabnika

Primer

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1

Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Izbriši uporabnika#

Izbrišite uporabniški račun iz sistema NetHSM.

Opozorilo

Brisanje je trajno in ga ni mogoče povrniti.

Uporabniški račun lahko izbrišete na naslednji način.

Argumenti

Argument	Opis
`USER_ID`	Id uporabnika.

Primer

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1

User operator1 deleted on NetHSM localhost:8443

Seznam uporabnikov#

Seznam uporabnikov v NetHSM.

Seznam lahko pridobite na naslednji način.

Volitivne možnosti

Možnost	Opis
`--details`, `--no-details`	poizvedba po pravem imenu in vlogi uporabnika

Primer

$ nitropy nethsm --host $NETHSM_HOST list-users

Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Uporabniška geslo#

Geslo uporabniškega računa lahko ponastavite. Geslo se prvotno nastavi med dodajanjem uporabniškega računa.

Opomba

Geslo mora imeti >= 10 in <= 200 znakov.

Uporabniško geslo lahko nastavite na naslednji način.

Potrebne možnosti

Možnost	Opis
`-u`, `--user-id` `TEXT`	ID uporabnika
`-p`, `--passphrase` `TEXT`	Nova geselska fraza uporabnika

Primer

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1

Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Oznake za uporabnike#

Oznake se lahko uporabljajo za določanje natančnih omejitev dostopa do ključev in so neobvezna funkcija. Ena ali več oznak Tags je lahko dodeljena samo uporabniškim računom z vlogo Operator. Operaterji ** lahko vidijo vse ključe, vendar uporabljajo samo tiste z vsaj eno ustrezno oznako Tag. Ključa ne more spreminjati uporabnik Operater.

Če želite izvedeti, kako uporabljati označke na tipkah, glejte Značke za tipke.

Tag lahko dodate na naslednji način.

Argumenti

Argument	Opis
`USER_ID`	ID uporabnika, na katerega se nastavi oznaka.
`TAG`	Oznaka, ki se nastavi na ID uporabnika.

Primer

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin

Added tag berlin for user operator1 on the NetHSM localhost:8443

Tag lahko izbrišete na naslednji način.

Argumenti

Argument	Opis
`USER_ID`	ID uporabnika, na katerega se nastavi oznaka.
`TAG`	Oznaka, ki se nastavi na ID uporabnika.

Primer

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin

Deleted tag berlin for user operator1 on the NetHSM localhost:8443