ADC

Configurar los HSM de Thales Luna en una configuración de alta disponibilidad en el ADC

La configuración de los HSM de Thales Luna en una alta disponibilidad (HA) garantiza un servicio ininterrumpido aunque todos, excepto uno de los dispositivos, no estén disponibles. En una configuración de alta disponibilidad, cada HSM se une a un grupo de alta disponibilidad en modo activo-activo. Los HSM de Thales Luna en una configuración de alta disponibilidad proporcionan equilibrio de carga de todos los miembros del grupo para aumentar el rendimiento y el tiempo de respuesta a la vez que proporcionan la garantía de un servicio de alta disponibilidad. Para obtener más información, póngase en contacto con ventas y soporte técnico de Thales Luna.

Requisitos previos:

  • Mínimo dos dispositivos HSM Thales Luna. Todos los dispositivos de un grupo de alta disponibilidad deben tener autenticación PED (ruta de confianza) o autenticación por contraseña. No se admite una combinación de autenticación de ruta confiable y autenticación por contraseña en un grupo HA.
  • Las particiones de cada dispositivo HSM deben tener la misma contraseña aunque la etiqueta (nombre) sea diferente.
  • Todas las particiones en HA deben asignarse al cliente (dispositivo NetScaler).

Después de configurar un cliente de Thales Luna en el ADC como se describe en Configurar un cliente de Thales Luna en el ADC, lleve a cabo los siguientes pasos para configurar los HSM de Thales Luna en HA:

  1. En el símbolo del shell de NetScaler, inicie lunacm (/usr/safenet/lunaclient/bin)

    Ejemplo:

    root@ns# cd /var/safenet/safenet/lunaclient/bin/
    
    root@ns# ./lunacm
    <!--NeedCopy-->
    
  2. Identifique los identificadores de ranura de las particiones. Para ver una lista de las ranuras (particiones) disponibles, escriba:

    lunacm:> slot list
    <!--NeedCopy-->
    

    Ejemplo:

        Slot Id ->              0
        HSM Label ->            trinity-p1
        HSM Serial Number ->    481681014
        HSM Model ->            LunaSA 6.2.1
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
        Slot Id ->              1
        HSM Label ->            trinity-p2
        HSM Serial Number ->    481681018
        HSM Model ->            LunaSA 6.2.1
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
         Slot Id ->              2
         HSM Label ->            neo-p1
         HSM Serial Number ->    487298014
         HSM Model ->            LunaSA 6.2.1
         HSM Firmware Version -> 6.10.9
         HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
        Slot Id ->              3
        HSM Label ->            neo-p2
        HSM Serial Number ->    487298018
        HSM Model ->            LunaSA 6.2.1
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
        Slot Id ->              7
        HSM Label ->            hsmha
        HSM Serial Number ->    1481681014
        HSM Model ->            LunaVirtual
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna Virtual HSM (PED) Signing With Cloning Mode
        HSM Status ->           N/A - HA Group
    
        Slot Id ->              8
        HSM Label ->            newha
        HSM Serial Number ->    1481681018
        HSM Model ->            LunaVirtual
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna Virtual HSM (PED) Signing With Cloning Mode
        HSM Status ->           N/A - HA Group
    
        Current Slot Id: 0
    <!--NeedCopy-->
    
  3. Cree el grupo HA. La primera partición se denomina partición primaria. Puede agregar más de una partición secundaria.

    lunacm:> hagroup createGroup -slot <slot number of primary partition> -label <group name> -password <partition password >
    
    lunacm:> hagroup createGroup -slot 1 -label gp12 -password ******
    <!--NeedCopy-->
    
  4. Añada los miembros secundarios (particiones HSM). Repita este paso para agregar todas las particiones al grupo HA.

    lunacm:> hagroup addMember -slot <slot number of secondary partition to be added> -group <group name> -password <partition password>
    <!--NeedCopy-->
    

    Código:

    lunacm:> hagroup addMember -slot 2 -group gp12 -password ******
    <!--NeedCopy-->
    
  5. Habilite el modo HA only.

    lunacm:> hagroup HAOnly –enable
    <!--NeedCopy-->
    
  6. Habilite el modo de recuperación activa.

    lunacm:.>hagroup recoveryMode –mode active
    <!--NeedCopy-->
    
  7. Configure el tiempo del intervalo de recuperación automática (en segundos). El valor predeterminado es 60 segundos.

    lunacm:.>hagroup interval –interval <value in seconds>
    <!--NeedCopy-->
    

    Ejemplo:

    lunacm:.>hagroup interval –interval 120
    <!--NeedCopy-->
    
  8. Configura el recuento de reintentos de recuperación. Un valor de -1 permite un número infinito de reintentos.

    lunacm:> hagroup retry -count <xxx>
    <!--NeedCopy-->
    

    Ejemplo:

    lunacm:> hagroup retry -count 2
    <!--NeedCopy-->
    
  9. Copie la configuración desde el directorio Chrystoki.conf de configuración de SafeNet.

    cp /etc/Chrystoki.conf /var/safenet/config/
    <!--NeedCopy-->
    
  10. Reinicie el dispositivo ADC.

    reboot
    <!--NeedCopy-->
    

Después de configurar Thales Luna HSM en HA, consulte Otra configuración de ADC para obtener más configuración en el ADC.

Configurar los HSM de Thales Luna en una configuración de alta disponibilidad en el ADC

En este artículo