Citrix ADC

Konfigurieren Sie einen Thales Luna-Client auf dem ADC

Nachdem Sie das Thales Luna HSM konfiguriert und die erforderlichen Partitionen erstellt haben, müssen Sie Clients erstellen und sie Partitionen zuweisen. Konfigurieren Sie zunächst die Thales Luna-Clients auf dem Citrix ADC und richten Sie die Netzwerkvertrauensverbindungen (NTLs) zwischen den Thales Luna-Clients und dem Thales Luna HSM ein. Eine Beispielkonfiguration ist im Anhangangegeben.

  1. Wechseln Sie das Verzeichnis in /var/safenet und installieren Sie den Thales Luna Client. Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

    cd /var/safenet
    <!--NeedCopy-->
    

    Um den Thales Luna-Client Version 6.0.0 zu installieren, geben Sie Folgendes ein:

    install_client.sh -v 600
    <!--NeedCopy-->
    

    Um den Thales Luna Client Version 6.2.2 zu installieren, geben Sie Folgendes ein:

    install_client.sh -v 622
    <!--NeedCopy-->
    

    Um den Thales Luna Client Version 7.2.2 zu installieren, geben Sie Folgendes ein:

    install_client.sh -v 722
    <!--NeedCopy-->
    
  2. Konfigurieren Sie die NTLs zwischen Thales Luna Client (ADC) und HSM.

    Nachdem das Verzeichnis ‘/var/safenet/’ erstellt wurde, führen Sie die folgenden Aufgaben auf dem ADC aus.

    a) Ändern Sie das Verzeichnis in “/var/safenet/config/” und führen Sie das “safenet_config” -Skript aus. Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

    cd /var/safenet/config
    
    sh safenet_config
    <!--NeedCopy-->
    

    Dieses Skript kopiert die Datei Chrystoki.conf in das Verzeichnis /etc/. Es erzeugt auch einen symbolischen Link ‘libCryptoki2_64.so’ im Verzeichnis ‘/usr/lib/’.

    b) Erstellen und übertragen Sie ein Zertifikat und einen Schlüssel zwischen dem ADC und dem Thales Luna HSM.

    Um sicher kommunizieren zu können, müssen der ADC und HSM Zertifikate austauschen. Erstellen Sie ein Zertifikat und einen Schlüssel auf dem ADC und übertragen Sie es dann an das HSM. Kopieren Sie das HSM-Zertifikat in den ADC.

    i) Ändern Sie das Verzeichnis in /var/safenet/safenet/lunaclient/bin.

    ii) Erstellen Sie ein Zertifikat auf dem ADC. Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

    ./vtl createCert -n <ip address of Citrix ADC>
    <!--NeedCopy-->
    

    Dieser Befehl fügt auch das Zertifikat und den Schlüsselpfad zur Datei /etc/chrystoki.conf hinzu.

    iii) Kopieren Sie dieses Zertifikat in das HSM. Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

    scp /var/safenet/safenet/lunaclient/cert/client/<ip address of NS>.pem <LunaSA_HSM account>@<IP address of Luna SA>
    <!--NeedCopy-->
    

    iv) Kopieren Sie das HSM-Zertifikat in den Citrix ADC. Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

    scp <HSM account>@<HSM IP>:server.pem  /var/safenet/safenet/lunaclient/server_<HSM ip>.pem
    <!--NeedCopy-->
    
  3. Registrieren Sie den Citrix ADC als Client und weisen Sie ihm eine Partition auf dem Thales Luna HSM zu.

    Melden Sie sich beim HSM an und erstellen Sie einen Client. Geben Sie den NSIP als Client-IP ein. Diese Adresse muss die IP-Adresse des ADC sein, von dem Sie das Zertifikat an das HSM übertragen haben. Nachdem der Client erfolgreich registriert wurde, weisen Sie ihm eine Partition zu. Führen Sie die folgenden Befehle auf dem HSM aus.

    a) Verwenden Sie SSH, um eine Verbindung zum Thales Luna HSM herzustellen und geben Sie das Kennwort ein.

    b) Registrieren Sie den Citrix ADC im Thales Luna HSM. Der Client wird auf dem HSM angelegt. Die IP-Adresse ist die IP-Adresse des Clients. Das heißt, die NSIP-Adresse.

    Geben Sie an der Eingabeaufforderung Folgendes ein:

    client register –client <client name> -ip <Citrix ADC ip>
    <!--NeedCopy-->
    

    c) Weisen Sie dem Client eine Partition aus der Partitionsliste zu. Geben Sie Folgendes ein, um die verfügbaren Partitionen anzuzeigen:

    <luna_sh> partition list
    <!--NeedCopy-->
    

    Weisen Sie eine Partition aus dieser Liste zu. Typ:

    <lunash:> client assignPartition -client <Client Name> -par <Partition Name>
    <!--NeedCopy-->
    
  4. Registrieren Sie das HSM mit seinem Zertifikat auf dem Citrix ADC.

    Ändern Sie im ADC das Verzeichnis auf “/var/safenet/safenet/lunaclient/bin” und geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

    ./vtl addserver -n <IP addr of HSM> -c /var/safenet/safenet/lunaclient/server_<HSM_IP>.pem
    <!--NeedCopy-->
    

    Um das HSM zu entfernen, das auf dem ADC registriert ist, geben Sie Folgendes ein:

    ./vtl deleteServer -n <HSM IP> -c <cert path>
    <!--NeedCopy-->
    

    Geben Sie Folgendes ein, um die auf dem ADC konfigurierten HSM-Server aufzulisten:

    ./vtl listServer
    <!--NeedCopy-->
    

    Hinweis:

    Stellen Sie vor dem Entfernen des HSM sicher vtl, dass alle Schlüssel für dieses HSM manuell aus der Appliance entfernt werden. HSM-Schlüssel können nach dem Entfernen des HSM-Servers nicht gelöscht werden.

  5. Überprüfen Sie die NTL-Verbindung (Network Trust Links) zwischen ADC und HSM. Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

    ./vtl verify
    <!--NeedCopy-->
    

    Wenn die Überprüfung fehlschlägt, überprüfen Sie alle Schritte. Fehler sind auf eine falsche IP-Adresse in den Clientzertifikaten zurückzuführen.

  6. Speichern Sie die Konfiguration.

    Die vorangehenden Schritte aktualisieren die Konfigurationsdatei “/etc/Chrystoki.conf”. Diese Datei wird beim Starten des ADC gelöscht. Kopieren Sie die Konfiguration in die Standardkonfigurationsdatei, die beim Neustart eines ADC verwendet wird.

    Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

    root@ns# cp /etc/Chrystoki.conf /var/safenet/config/
    <!--NeedCopy-->
    

    Es wird empfohlen, diesen Befehl jedes Mal auszuführen, wenn die Konfiguration im Zusammenhang mit Thales Luna geändert wird.

  7. Starten Sie den Thales Luna Gateway-Prozess.

    Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

    sh /var/safenet/gateway/start_safenet_gw
    <!--NeedCopy-->
    
  8. Konfigurieren Sie den automatischen Start des Gateway Daemons beim Booten.

    Erstellen Sie die Datei “safenet_is_enrolled”, die angibt, dass Thales Luna HSM auf diesem ADC konfiguriert ist. Wenn der ADC neu gestartet wird und diese Datei gefunden wird, wird das Gateway automatisch gestartet.

    Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

    touch /var/safenet/safenet_is_enrolled
    <!--NeedCopy-->
    
Konfigurieren Sie einen Thales Luna-Client auf dem ADC