Administration#

I det här kapitlet beskrivs administrativa uppgifter för användare med rollen Administratör. Se kapitel Roller för att läsa mer om rollen.

Viktigt

Se till att du läser informationen i början av det här dokumentet innan du börjar arbeta.

Systemförvaltning#

Information om enheten#

Leverantörs- och produktinformation för en NetHSM kan hämtas på följande sätt.

Exempel

$ nitropy nethsm --host $NETHSM_HOST info

Host:    localhost:8443
Vendor:  Nitrokey GmbH
Product: NetHSM

Uppstartsläge#

NetHSM kan användas i läget Attended Boot och Unattended Boot.

Uppstartsläge	Beskrivning
Tillhörd Boot	Unlock Passphrase måste anges vid varje start och används för att dekryptera User Data. Av säkerhetsskäl rekommenderas detta läge.
Observerad uppstart	Ingen Unlock Passphrase krävs, vilket innebär att NetHSM kan starta utan övervakning. Använd det här läget om dina tillgänglighetskrav inte kan uppfyllas med läget Attended Boot.

Det aktuella startläget kan hämtas på följande sätt.

Exempel

$ nitropy nethsm --host $NETHSM_HOST get-config --unattended-boot

Configuration for NetHSM localhost:8443:
   Unattended boot: off

Startläget kan ändras på följande sätt.

Argument

Argument	Beskrivning
Status	Aktivera eller inaktivera Unattended Boot. Kan ha värdet `on` eller `off`.

Exempel

$ nitropy nethsm --host $NETHSM_HOST set-unattended-boot on

Updated the unattended boot configuration for NetHSM localhost:8443

Stat#

NetHSM-programvaran har fyra tillstånd: Unprovisioned, Provisioned, Locked och Operational.

Stat	Beskrivning
Oförutsedd	NetHSM utan konfiguration (fabriksinställning)
Förutsatt	NetHSM med konfiguration. Tillståndet Provisioned innebär antingen Operational eller Locked.
Operational	NetHSM med konfiguration och redo att utföra kommandon. Tillståndet Operational förutsätter tillståndet Provisioned.
Lockad	NetHSM med konfiguration men skyddad (kräver upplåsning). Tillståndet Operational förutsätter tillståndet Provisioned.

NetHSM:s aktuella tillstånd kan hämtas på följande sätt.

Exempel

$ nitropy nethsm --host $NETHSM_HOST state

NetHSM localhost:8443 is Unprovisioned

En ny NetHSM har tillståndet Unprovisioned och efter provisionering övergår den till tillståndet Operational. Tillhandahållandet av en NetHSM beskrivs i kapitlet Allhandahållande.

En NetHSM i Operational-tillstånd kan låsas igen för att skydda den på följande sätt.

Exempel

$ nitropy nethsm --host $NETHSM_HOST lock

NetHSM localhost:8443 locked

En NetHSM i Locked-tillstånd kan låsas upp på följande sätt.

Exempel

$ nitropy nethsm --host $NETHSM_HOST unlock

NetHSM localhost:8443 unlocked

Lås upp lösenordsfrasen#

Passfrasen Unlock Passphrase används för att få fram en Unlock Key om NetHSM är i Locked-tillstånd. Lösenfrasen ställs in initialt under tillhandahållandet av NetHSM.

Unlock Passphrase kan ställas in på följande sätt.

Valfria alternativ

Alternativ	Beskrivning
`-p`, `--passphrase` `TEXT`	Den nya lösenfrasen för upplåsning

Exempel

$ nitropy nethsm --host $NETHSM_HOST set-unlock-passphrase

Passphrase:
Repeat for confirmation:
Updated the unlock passphrase for localhost:8443

TLS-certifikat#

TLS-certifikatet används för det HTTPS-baserade REST API:et och används därför även av nitropy. Under tillhandahållandet skapas ett självsignerat certifikat. Certifikatet kan ersättas, till exempel med ett signerat certifikat från en certifikatutfärdare (CA). I detta fall måste en Certificate Signing Request (CSR) genereras. Efter signering måste certifikatet importeras till NetHSM.

En ändring är endast nödvändig när certifikatet ska ersättas. En sådan ändring kan vara att ersätta det med ett signerat certifikat från en certifikatutfärdare (CA).

TLS-certifikatet kan hämtas på följande sätt.

Obligatoriska alternativ

Alternativ	Beskrivning
`-a`, `--api`	Ange certifikatet för NetHSM TLS-gränssnittet

Exempel

$ nitropy nethsm --host $NETHSM_HOST get-certificate --api

TLS-certifikatet kan skapas på följande sätt.

Obligatoriska alternativ

Alternativ	Beskrivning
`-t`, `--type` `[RSA\|Curve25519\|EC_P224\|EC_P256\|EC_P384\|EC_P521]`	Typ för den genererade nyckeln
`-l`, `--length` `INTEGER`	Längden på den genererade nyckeln

Exempel

$ nitropy nethsm --host $NETHSM_HOST generate-tls-key -t Curve25519

Key for TLS interface generated on NetHSM localhost:8443

Certificate Signing Request (CSR) för certifikatet kan genereras på följande sätt.

Obligatoriska alternativ

Alternativ	Beskrivning
`-a`, `--api`	Generera en CSR för NetHSM TLS-certifikatet
`--country` `TEXT`	Landets namn
`--state-or-province` `TEXT`	Namnet på delstaten eller provinsen
`--locality` `TEXT`	Namnet på orten
`--organization` `TEXT`	Organisationens namn
`--organizational-unit` `TEXT`	Namnet på organisationsenheten
`--common-name` `TEXT`	Det gemensamma namnet
`--email-address` `TEXT`	E-postadressen

Exempel

$ nitropy nethsm --host $NETHSM_HOST csr --api --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name="Nitrokey" --email-address="info@nitrokey.com"

Certifikatet kan ersättas på följande sätt.

Obligatoriska alternativ

Alternativ	Beskrivning
`-a`, `--api`	Ange certifikatet för NetHSM TLS-gränssnittet

Argument

Argument	Beskrivning
`FILENAME`	Certifikatfil

Exempel

nitropy nethsm --host $NETHSM_HOST set-certificate --api /tmp/nethsm-certificate

Nätverk#

Nätverkskonfigurationen definierar de inställningar som används för Network Port.

Observera

Dessa inställningar konfigurerar inte BMC Network Port.

Nätverkskonfigurationen kan hämtas på följande sätt.

Obligatoriska alternativ

Alternativ	Beskrivning
`--network`	Fråga efter nätverkskonfigurationen

Exempel

$ nitropy nethsm -h $NETHSM_HOST get-config --network

Configuration for NetHSM localhost:8443:
Network:
      IP address:    192.168.1.1
      Netmask:       255.255.255.0
      Gateway:       0.0.0.0

Ställ in nätverkskonfigurationen på följande sätt.

Observera

NetHSM stöder inte DHCP (Dynamic Host Configuration Protocol).

Observera

NetHSM stöder inte IPv6 (Internet Protocol version 6).

Obligatoriska alternativ

Alternativ	Beskrivning
`-a`, `--ip-address`	Den nya IP-adressen
`-n`, `--netmask`	Den nya nätmasken
`-n`, `--netmask`	Den nya gatewayen

Exempel

$ nitropy nethsm -h $NETHSM_HOST set-network-config -a 192.168.1.1 -n 255.255.255.0 -g 0.0.0.0

Updated the network configuration for NetHSM localhost:8443

Tid#

Tidskonfigurationen ställer in systemtiden för NetHSM-programvaran. Det är vanligtvis inte nödvändigt att ställa in systemtiden, eftersom den ställs in under tillhandahållandet.

Tidskonfigurationen kan hämtas på följande sätt.

Obligatoriska alternativ

Alternativ	Beskrivning
`--time`	Fråga efter systemtiden

Exempel

$ nitropy nethsm -host $NETHSM_HOST get-config --time

Configuration for NetHSM localhost:8443:
Time:            2022-08-17 11:40:00+00:00

Ställ in tiden för NetHSM.

Viktigt

Se till att du anger tiden i UTC-tidszon.

Argument

Argument	Beskrivning
`time`	Systemtiden som ska ställas in (Format: YYYYYY-MM-DDTHH:MM:SSZ)

Exempel

$ nitropy nethsm -h $NETHSM_HOST set-time 2022-08-17T11:40:00Z

Updated the system time for NetHSM localhost:8443

Mätvärden#

NetHSM loggar mätvärden för systemparametrar.

Observera

Det här kommandot kräver autentisering av en användare med rollen Metrics. Se kapitel Roller för att läsa mer om rollen.

Mätvärdena kan hämtas på följande sätt.

Exempel

$ nitropy nethsm -h $NETHSM_HOST metrics

Metric                         Value
----------------------------   --------
client connections             0
established state              6
external.received bytes        989931
external.received packets      13239
external.transmitted bytes     25908953
external.transmitted packets   22037
free chunk count               322
gc compactions                 0
gc major bytes                 21348352
gc major collections           35
gc minor collections           2652
http response 200              28
http response 201              1
http response 204              1
http response 400              1
http response 403              1
http response 404              145
http response 412              1
http response time             0.084998
http response total            178
internal.received bytes        66541
internal.received packets      1130
internal.transmitted bytes     63802
internal.transmitted packets   1133
kv write                       2
log errors                     3
log warnings                   3
maximum allocated space        64528384
maximum releasable bytes       1216
mmapped region count           0
new sleeper size               1
non-mmapped allocated bytes    64528384
sleep queue size               11
syn-rcvd state                 0
timers                         2
total allocated space          43940832
total client                   1
total established              515
total free space               20587552
total sleeper size             12
total syn-rcvd                 514
total timers                   526
uptime                         17626

Loggning#

NetHSM kan logga systemhändelser till den seriella porten eller till en syslog-server i nätverket.

Den seriella konsolen fungerar redan från början av NetHSM-hårdvaran. Den omfattar händelser från NetHSM:s fasta programvara och NetHSM-programvaran.

Inställningarna för den seriella konsolanslutningen är följande.

Inställning av	Värde
Baud-hastighet	115200
Databitar	8
Stoppbitar	1
Paritet	Ingen
Flödeskontroll	Ingen

Konfigurationen av syslog-servern kan hämtas på följande sätt.

Obligatoriska alternativ

Alternativ	Beskrivning
`--network`	Fråga efter loggningskonfigurationen

Exempel

$ nitropy nethsm -h $NETHSM_HOST get-config --logging

Logging:
   IP address:    0.0.0.0
   Port:          514
   Log level:     info

Konfigurationen av syslog-servern kan ställas in på följande sätt.

Obligatoriska alternativ

Alternativ	Beskrivning
`-p`, `--passphrase` `TEXT`	IP-adressen för den nya loggningsdestinationen
`-p`, `--port` `INTEGER`	Port för den nya loggningsdestinationen
`-l`, `--log-level` `[debug\|info\|warning\|error]`	Den nya loggningsnivån

Exempel

$ nitropy nethsm -h $NETHSM_HOST set-logging-config -a 192.168.0.1 -p 514 -l info

Updated the logging configuration for NetHSM localhost:8443

6. Säkerhetskopiera#

NetHSM Användardata kan sparas i en backup-fil. Denna säkerhetskopieringsfil innehåller alla användardata, nämligen Configuration Store, Authentication Store, Domain Key Store och Key Store.

Viktigt

En NetHSM-systemprogramvara i läget Unattended Boot kräver Unlock Passphrase om den återställs på en annan NetHSM-hårdvara. Se kapitel Unlock Passphrase för mer information.

Viktigt

En NetHSM i läget Unattended Boot kommer att vara i samma läge efter en återställning.

Innan en säkerhetskopiering kan påbörjas måste Backup Passphrase ställas in. Backup Passphrase används för att kryptera data i backup-filen.

Lösenfrasen för säkerhetskopiering kan ställas in på följande sätt.

Valfria alternativ

Alternativ	Beskrivning
`-p`, `--passphrase` `TEXT`	Den nya lösenfrasen för säkerhetskopiering

Exempel

$ nitropy nethsm -h $NETHSM_HOST -u admin set-backup-passphrase

Passphrase:
Repeat for confirmation:
Updated the backup passphrase for NetHSM localhost:8443

Observera

Det här kommandot kräver autentisering av en användare med rollen Backup. Läs mer i kapitel Roller.

Säkerhetskopieringen kan utföras på följande sätt.

Argument

Argument	Beskrivning
`FILENAME`	Säkerhetskopieringsfil

Exempel

$ nitropy nethsm -h $NETHSM_HOST backup /tmp/nethsm-backup

Backup for localhost:8443 written to /tmp/backup

Observera

Den här säkerhetskopian kan endast återställas på en NetHSM-instans som inte har tilldelats någon behörighet.

Återställ#

NetHSM kan återställas från en säkerhetskopia.

Observera

NetHSM måste befinna sig i ett Unprovisioned State.

Återställandet kan göras på följande sätt.

Otillvalsmöjligheter

Alternativ	Beskrivning
`-p`, `--backup-passphrase` `passphrase`	Passfras för säkerhetskopiering
`-t`, `--system-time`	Systemtid som ska ställas in (Format: `YYYY-MM-DDTHH:MM:SSZ`)

Viktigt

Kontrollera att tiden på den lokala datorn är korrekt inställd. Om du vill ställa in en annan tid, ange den manuellt.

Argument

Argument		Beskrivning
`FILENAME` \| Återställ fil

Exempel

$ nitropy nethsm -h $NETHSM_HOST restore /tmp/nethsm-backup

Backup passphrase:
Backup restored on NetHSM localhost:8443

Uppdatera#

Uppdateringar för NetHSM kan installeras i två steg. Först måste uppdateringsbilden laddas upp till NetHSM. Bilden kontrolleras och valideras automatiskt.

Varning

Dataförlust kan uppstå på grund av installationen av en betauppdatering!

Uppdateringsfilen kan laddas upp på följande sätt.

Argument

Argument	Beskrivning
`FILENAME`	Uppdatera filen

Exempel

$ nitropy nethsm --host $NETHSM_HOST update /tmp/nethsm-update.img.cpio

Image /tmp/nethsm-update.img.cpio uploaded to NetHSM localhost:8443

Därefter kan uppdateringen tillämpas eller avbrytas. Se det önskade alternativet nedan.

Uppdateringen kan tillämpas på följande sätt.

Exempel

$ nitropy nethsm --host $NETHSM_HOST commit-update

Update successfully committed on NetHSM localhost:8443

Uppdateringen kan avbrytas på följande sätt.

Exempel

$ nitropy nethsm --host $NETHSM_HOST cancel-update

Update successfully cancelled on NetHSM localhost:8443

Omstart och avstängning#

NetHSM kan startas om och stängas av, antingen på distans eller med omstart- och avstängningsknappen på framsidan av NetHSM-hårdvaran.

Fjärrstart kan initieras på följande sätt.

Exempel

$ nitropy nethsm --host $NETHSM_HOST reboot

NetHSM localhost:8443 will be rebooted.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to reboot

Fjärravstängning kan initieras på följande sätt.

Exempel

$ nitropy nethsm --host $NETHSM_HOST shutdown

NetHSM localhost:8443 will be shutdown.
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to shutdown

Återställ till fabriksinställningarna#

NetHSM kan återställas till fabriksinställningarna. Under denna process raderas alla användardata.

Återställning till fabriksinställningarna kan utföras på följande sätt.

Exempel

$ nitropy nethsm -h $NETHSM_HOST factory-reset

NetHSM localhost:8443 will be set to factory defaults.
All data will be lost!
Do you want to continue? [y/N]: y
NetHSM localhost:8443 is about to perform a factory reset

Användarhantering#

Roller#

NetHSM gör det möjligt att separera arbetsuppgifter genom att använda olika roller. Varje användarkonto som konfigurerats på NetHSM har tilldelats en av följande roller.

Roll	Beskrivning
Administratör	Ett användarkonto med den här rollen har tillgång till alla operationer som tillhandahålls av NetHSM, med undantag för nyckelanvändning, dvs. signering och dekryptering av meddelanden.
Operator	Ett användarkonto med den här rollen har tillgång till alla nyckelanvändningsoperationer, en delmängd av nyckelhanteringsoperationer med skrivskydd och användarhanteringsoperationer som endast tillåter ändringar för det egna kontot.
Metriker	Ett användarkonto med den här rollen har endast tillgång till skrivskyddade metriker.
Backup	Ett användarkonto med den här rollen har endast tillgång till de åtgärder som krävs för att initiera en säkerhetskopiering av systemet.

Observera

I en framtida version kan ytterligare Roller komma att införas.

Lägg till användare#

Lägg till ett användarkonto till NetHSM. Varje användarkonto har en Role som måste anges. Se kapitel Roller för att lära dig mer om Roller.

Observera

NetHSM tilldelar ett slumpmässigt användar-ID om inget anges.

Ett användarkonto kan läggas till på följande sätt.

Obligatoriska alternativ

Alternativ	Beskrivning
`-n`, `--real-name` `TEXT`	Användarens riktiga namn
`-r`, `--role` `[Administrator\|Operator\|Metrics\|Backup]`	Den nya användarens roll.
`-p`, `--passphrase` `TEXT`	Den nya användarens lösenfras

Valfria alternativ

Alternativ	Beskrivning
`-u`, `--user-id` `TEXT`	Den nya användarens användar-ID

Exempel

$ nitropy nethsm --host $NETHSM_HOST  add-user --real-name "Nitrokey Operator" --role Operator --user-id operator1

Passphrase:
Repeat for confirmation:
User operator1 added to NetHSM localhost:8443

Ta bort användare#

Ta bort ett användarkonto från NetHSM.

Varning

Radering är permanent och kan inte återställas.

Ett användarkonto kan raderas på följande sätt.

Argument

Argument	Beskrivning
`USER_ID`	Användarens användar-id.

Exempel

$ nitropy nethsm --host $NETHSM_HOST delete-user operator1

User operator1 deleted on NetHSM localhost:8443

Lista över användare#

Lista användarna på NetHSM.

Listan kan hämtas på följande sätt.

Valfria alternativ

Alternativ	Beskrivning
`--details`, `--no-details`	Fråga efter användarens riktiga namn och roll

Exempel

$ nitropy nethsm --host $NETHSM_HOST list-users

Users on NetHSM localhost:8843:

User ID        Real name               Role
---------      -----------------       -------------
operator1      Nitrokey Operator       Operator
admin          admin                   Administrator

Användarens lösenfras#

Lösenfrasen för ett användarkonto kan återställas. Lösenfrasen anges för första gången när ett användarkonto läggs till.

Observera

Lösenfraser måste ha >= 10 och <= 200 tecken.

Användarens lösenfras kan ställas in på följande sätt.

Obligatoriska alternativ

Alternativ	Beskrivning
`-u`, `--user-id` `TEXT`	Användarens användar-ID
`-p`, `--passphrase` `TEXT`	Användarens nya lösenfras

Exempel

$ nitropy nethsm --host $NETHSM_HOST set-passphrase --user-id operator1

Passphrase:
Repeat for confirmation:
Updated the passphrase for user operator1 on NetHSM localhost:8443

Taggar för användare#

Tags kan användas för att ange åtkomstbegränsningar för nycklar och är en valfri funktion. De kan endast tilldelas användarkonton med rollen Operator. Operators kan se alla nycklar, men endast använda de nycklar som har minst en motsvarande Tag. En nyckel kan inte ändras av en Operator-användare.

Om du vill veta hur du använder Tags på nycklar, se Tags för nycklar.

Tag kan läggas till på följande sätt.

Argument

Argument	Beskrivning
`USER_ID`	Användar-ID som taggen ska sättas på.
`TAG`	Den tagg som ska anges för användar-ID.

Exempel

nitropy nethsm --host $NETHSM_HOST add-operator-tag operator1 berlin

Added tag berlin for user operator1 on the NetHSM localhost:8443

Tag kan raderas på följande sätt.

Argument

Argument	Beskrivning
`USER_ID`	Användar-ID som taggen ska sättas på.
`TAG`	Den tagg som ska anges för användar-ID.

Exempel

nitropy nethsm --host $NETHSM_HOST delete-operator-tag operator1 berlin

Deleted tag berlin for user operator1 on the NetHSM localhost:8443