Citrix ADC

Konfigurieren von Safenet HSMs in einem Hochverfügbarkeits-Setup auf dem ADC

Die Konfiguration von SafeNet HSMs in einer Hochverfügbarkeit (HA) gewährleistet einen unterbrechungsfreien Service, auch wenn alle Geräte außer einem der Geräte nicht verfügbar sind. In einem HA-Setup schließt sich jeder HSM im Aktiv-Aktiv-Modus einer HA-Gruppe an. SafeNet HSMs in einem HA-Setup bieten Lastausgleich aller Gruppenmitglieder, um die Leistung und Reaktionszeit zu erhöhen und gleichzeitig den Hochverfügbarkeitsdienst zu gewährleisten. Weitere Informationen erhalten Sie von SafeNet Sales and Support.

Voraussetzungen:

  • Mindestens zwei SafeNet HSM Geräte. Alle Geräte in einer HA-Gruppe müssen entweder eine PED-Authentifizierung (vertrauenswürdiger Pfad) oder eine Kennwortauthentifizierung aufweisen. Eine Kombination aus vertrauenswürdiger Pfadauthentifizierung und Kennwortauthentifizierung in einer HA-Gruppe wird nicht unterstützt.
  • Partitionen auf jedem HSM-Gerät müssen dasselbe Kennwort haben, auch wenn das Label (Name) anders ist.
  • Alle Partitionen in HA müssen dem Client zugewiesen werden (Citrix ADC Appliance).

Führen Sie nach der Konfiguration eines SafeNet-Clients auf dem ADC wie unter Konfigurieren eines SafeNet-Clients auf dem ADC beschrieben die folgenden Schritte aus, um Safenet-HSMs in HA zu konfigurieren:

  1. Starten Sie an der Citrix ADC-Shell Eingabeaufforderung “lunacm” (/usr/safenet/lunaclient/bin)

Beispiel:

```
root@ns# cd /var/safenet/safenet/lunaclient/bin/

root@ns# ./lunacm
```
  1. Identifizieren Sie die Slot-IDs der Partitionen. Geben Sie Folgendes ein, um die verfügbaren Slots (Partitionen) aufzulisten:

    lunacm:> slot list
    

    Beispiel;

        Slot Id ->              0
        HSM Label ->            trinity-p1
        HSM Serial Number ->    481681014
        HSM Model ->            LunaSA 6.2.1
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
        Slot Id ->              1
        HSM Label ->            trinity-p2
        HSM Serial Number ->    481681018
        HSM Model ->            LunaSA 6.2.1
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
         Slot Id ->              2
         HSM Label ->            neo-p1
         HSM Serial Number ->    487298014
         HSM Model ->            LunaSA 6.2.1
         HSM Firmware Version -> 6.10.9
         HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
        Slot Id ->              3
        HSM Label ->            neo-p2
        HSM Serial Number ->    487298018
        HSM Model ->            LunaSA 6.2.1
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
        Slot Id ->              7
        HSM Label ->            hsmha
        HSM Serial Number ->    1481681014
        HSM Model ->            LunaVirtual
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna Virtual HSM (PED) Signing With Cloning Mode
        HSM Status ->           N/A - HA Group
    
        Slot Id ->              8
        HSM Label ->            newha
        HSM Serial Number ->    1481681018
        HSM Model ->            LunaVirtual
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna Virtual HSM (PED) Signing With Cloning Mode
        HSM Status ->           N/A - HA Group
    
        Current Slot Id: 0
    
  2. Erstellen Sie die HA-Gruppe. Die erste Partition wird als primäre Partition bezeichnet. Sie können mehrere sekundäre Partitionen hinzufügen.

    lunacm:> hagroup createGroup -slot <slot number of primary partition> -label <group name> -password <partition password >
    
    lunacm:> hagroup createGroup -slot 1 -label gp12 -password ******
    
  3. Fügen Sie die sekundären Elemente (HSM-Partitionen) hinzu. Wiederholen Sie diesen Schritt für alle Partitionen, die der HA-Gruppe hinzugefügt werden sollen.

    lunacm:> hagroup addMember -slot <slot number of secondary partition to be added> -group <group name> -password <partition password>
    

    Code:

    lunacm:> hagroup addMember -slot 2 -group gp12 -password ******
    
  4. Nur HA-Modus aktivieren.

    lunacm:> hagroup HAOnly –enable
    
  5. Aktiven Wiederherstellungsmodus aktivieren.

    lunacm:.>hagroup recoveryMode –mode active
    
  6. Einstellen der automatischen Wiederherstellungsintervall (in Sekunden). Der Standardwert beträgt 60 Sekunden.

    lunacm:.>hagroup interval –interval <value in seconds>
    

    Beispiel:

    lunacm:.>hagroup interval –interval 120
    
  7. Festlegen der Anzahl der Wiederherstellungswiederholungen. Ein Wert von -1 erlaubt unendlich viele Wiederholungen.

    lunacm:> hagroup retry -count <xxx>
    

    Beispiel:

    lunacm:> hagroup retry -count 2
    
  8. Kopieren Sie die Konfiguration ausChrystoki.conf in das Safenet-Konfigurationsverzeichnis.

    cp /etc/Chrystoki.conf /var/safenet/config/
    
  9. Starten Sie die ADC-Appliance neu.

    reboot
    

Nach der Konfiguration von SafeNet HSM in HAZusätzliche ADC-Konfigurationfinden Sie weitere Konfigurationen auf dem ADC.

Konfigurieren von Safenet HSMs in einem Hochverfügbarkeits-Setup auf dem ADC