Konfigurieren eines SafeNet-Clients auf dem ADC

Nachdem Sie das SafeNet HSM konfiguriert und die erforderlichen Partitionen erstellt haben, müssen Sie Clients anlegen und Partitionen zuweisen. Konfigurieren Sie zunächst die SafeNet-Clients auf dem Citrix ADC und richten Sie die Network Trust Links (NTLs) zwischen den SafeNet-Clients und dem SafeNet HSM ein. Eine Beispielkonfiguration ist im Anhang angegeben.

  1. Ändern Sie das Verzeichnis in /var/safenet und installieren Sie den Safenet-Client. Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

    cd /var/safenet
    

    Um Safenet Client Version 6.0.0 zu installieren, geben Sie Folgendes ein:

    install_client.sh -v 600
    

    Um Safenet Client Version 6.2.2 zu installieren, geben Sie Folgendes ein:

    install_client.sh -v 622
    

    Um Safenet Client Version 7.2.2 zu installieren, geben Sie Folgendes ein:

    install_client.sh -v 722
    
  2. Konfigurieren Sie die NTLs zwischen SafeNet Client (ADC) und HSM.

    Nachdem das Verzeichnis ‘/var/safenet/’ erstellt wurde, führen Sie die folgenden Aufgaben auf dem ADC aus.

    a) Ändern Sie das Verzeichnis in ‘/var/safenet/config/’ und führen Sie das Skript ‘safenet_config’ aus. Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

    cd /var/safenet/config
    
    sh safenet_config
    

    Dieses Skript kopiert die Datei Chrystoki.conf in das Verzeichnis /etc/. Es erzeugt auch einen symbolischen Link ‘libCryptoki2_64.so’ im Verzeichnis ‘/usr/lib/’.

    b) Erstellen und Übertragen eines Zertifikats und eines Schlüssels zwischen dem ADC und dem SafeNet HSM.

    Um sicher zu kommunizieren, müssen ADC und HSM Zertifikate austauschen. Erstellen Sie ein Zertifikat und einen Schlüssel auf dem ADC und übertragen Sie es dann an das HSM. Kopieren Sie das HSM-Zertifikat in den ADC.

    i) Ändern Sie das Verzeichnis in /var/safenet/safenet/lunaclient/bin.

    ii) Erstellen Sie ein Zertifikat auf dem ADC. Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

    ./vtl createCert -n <ip address of Citrix ADC>
    

    Dieser Befehl fügt auch das Zertifikat und den Schlüsselpfad zur Datei /etc/chrystoki.conf hinzu.

    iii) Kopieren Sie dieses Zertifikat in das HSM. Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

    scp /var/safenet/safenet/lunaclient/cert/client/<ip address of NS>.pem <LunaSA_HSM account>@<IP address of Luna SA>
    

    iv) Kopieren Sie das HSM-Zertifikat in den Citrix ADC. Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

    scp <HSM account>@<HSM IP>:server.pem  /var/safenet/safenet/lunaclient/server_<HSM ip>.pem
    
  3. Registrieren Sie den Citrix ADC als Client und weisen Sie ihm eine Partition auf dem SafeNet HSM zu.

    Melden Sie sich beim HSM an und erstellen Sie einen Client. Geben Sie den NSIP als Client-IP ein. Dies muss die IP-Adresse des ADC sein, von dem Sie das Zertifikat an das HSM übertragen haben. Nachdem der Client erfolgreich registriert wurde, weisen Sie ihm eine Partition zu. Führen Sie die folgenden Befehle auf dem HSM aus.

    a) Verwenden Sie SSH, um sich mit dem SafeNet HSM zu verbinden und geben Sie das Kennwort ein.

    b) Registrieren Sie den Citrix ADC auf dem SafeNet HSM. Der Client wird auf dem HSM angelegt. Die IP-Adresse ist die IP-Adresse des Clients. Das heißt, die NSIP-Adresse.

    Geben Sie an der Eingabeaufforderung Folgendes ein:

    client register –client <client name> -ip <Citrix ADC ip>
    

    c) Weisen Sie dem Client eine Partition aus der Partitionsliste zu. Geben Sie Folgendes ein, um die verfügbaren Partitionen anzuzeigen:

    <luna_sh> partition list
    

    Weisen Sie eine Partition aus dieser Liste zu. Typ:

    <lunash:> client assignPartition -client <Client Name> -par <Partition Name>
    
  4. Registrieren Sie das HSM mit seinem Zertifikat auf dem Citrix ADC.

    Ändern Sie im ADC das Verzeichnis in /var/safenet/safenet/lunaclient/bin und geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

    ./vtl addserver -n <IP addr of HSM> -c /var/safenet/safenet/lunaclient/server_<HSM_IP>.pem
    

    Um das HSM zu entfernen, das auf dem ADC registriert ist, geben Sie Folgendes ein:

    ./vtl deleteServer -n <HSM IP> -c <cert path>
    

    Geben Sie Folgendes ein, um die auf dem ADC konfigurierten HSM-Server aufzulisten:

    ./vtl listServer
    

    Hinweis:

    Bevor Sie das HSM mithilfe von vtl entfernen, stellen Sie sicher, dass alle Schlüssel für dieses HSM manuell aus der Appliance entfernt werden. HSM-Schlüssel können nach dem Entfernen des HSM-Servers nicht gelöscht werden.

  5. Überprüfen Sie die NTL-Verbindung (Network Trust Links) zwischen ADC und HSM. Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

    ./vtl verify
    

    Wenn die Überprüfung fehlschlägt, überprüfen Sie alle Schritte. Fehler sind in der Regel auf eine falsche IP-Adresse in den Client-Zertifikaten zurückzuführen.

  6. Speichern Sie die Konfiguration.

    Die obigen Schritte aktualisieren die Konfigurationsdatei /etc/chrystoki.conf. Diese Datei wird beim Starten des ADC gelöscht. Kopieren Sie die Konfiguration in die Standardkonfigurationsdatei, die beim Neustart eines ADC verwendet wird.

    Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

    root@ns# cp /etc/Chrystoki.conf /var/safenet/config/
    

    Es wird empfohlen, diesen Befehl jedes Mal auszuführen, wenn eine Änderung an der SafeNet-bezogenen Konfiguration vorliegt.

  7. Starten Sie den SafeNet Gateway Prozess.

    Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

    sh /var/safenet/gateway/start_safenet_gw
    
  8. Konfigurieren Sie den automatischen Start des Gateway Daemons beim Booten.

    Erstellen Sie die Datei safenet_is_enrolled, die angibt, dass SafeNet HSM auf diesem ADC konfiguriert ist. Wenn der ADC neu gestartet wird und diese Datei gefunden wird, wird das Gateway automatisch gestartet.

    Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

    touch /var/safenet/safenet_is_enrolled
    

Konfigurieren eines SafeNet-Clients auf dem ADC