Architektur im Überblick

Die drei Entitäten, die Teil einer Citrix ADC-Thales-Bereitstellung sind, sind ein Thales NShield Connect-Modul, ein Remote-Dateiserver (RFS) und ein Citrix ADC.

Das Thales NShield Connect ist ein netzwerkgebundenes Hardwaresicherheitsmodul. Das RFS dient zur Konfiguration des HSM und zum Speichern der verschlüsselten Schlüsseldateien.

Hardserver, ein proprietärer Daemon, der von Thales bereitgestellt wird, wird für die Kommunikation zwischen dem Client (ADC), dem Thales HSM und dem RFS verwendet. Es verwendet das IMPATH sichere Kommunikationsprotokoll. Ein Gateway-Daemon, genannt Hardserver Gateway, wird verwendet, um zwischen der Citrix ADC Paketengine und dem Hardserver zu kommunizieren.

Hinweis: Die Begriffe Thales nShield Connect, Thales HSM und HSM werden in dieser Dokumentation austauschbar verwendet.

Die folgende Abbildung veranschaulicht die Wechselwirkung zwischen den verschiedenen Komponenten.

Übersicht über die Thales-Architektur

In einer typischen Bereitstellung wird der RFS verwendet, um Schlüssel, die vom HSM generiert werden, sicher zu speichern. Nachdem die Schlüssel generiert wurden, können Sie sie sicher an den ADC übertragen und dann die GUI oder die Befehlszeile verwenden, um die Schlüssel in das HSM zu laden. Ein virtueller Server auf dem ADC verwendet Thales, um den Clientschlüsselaustausch zu entschlüsseln, um den SSL-Handshake abzuschließen. Danach werden alle SSL-Operationen auf dem ADC durchgeführt.

Hinweis: Die Begriffsschlüssel und Anwendungsschlüssel-Token werden in dieser Dokumentation austauschbar verwendet.

Die folgende Abbildung zeigt den Paketfluss im SSL-Handshake mit dem Thales HSM.

Abbildung 1. SSL-Handshake-Paketflussdiagramm mit Citrix ADC mit Thales HSM

SSL-Handshake mit Thales

Hinweis: Die Kommunikation zwischen ADC und HSM verwendet ein Thales proprietäres Kommunikationsprotokoll, genannt IMPATH.

Architektur im Überblick