Citrix ADC

Configurar HSM de Safenet en una configuración de alta disponibilidad en el ADC

La configuración de HSM de SafeNet en una alta disponibilidad (HA) garantiza un servicio ininterrumpido incluso si todos los dispositivos excepto uno no están disponibles. En una configuración de alta disponibilidad, cada HSM se une a un grupo de alta disponibilidad en modo activo-activo. Los HSM de SafeNet en una configuración de alta disponibilidad proporcionan equilibrio de carga de todos los miembros del grupo para aumentar el rendimiento y el tiempo de respuesta, al tiempo que proporcionan la garantía de un servicio de alta disponibilidad. Para obtener más información, póngase en contacto con SafeNet Sales and Support.

Requisitos previos:

  • Mínimo dos dispositivos HSM SafeNet. Todos los dispositivos de un grupo de alta disponibilidad deben tener autenticación PED (ruta de confianza) o autenticación por contraseña. No se admite una combinación de autenticación de ruta de confianza y autenticación de contraseña en un grupo de alta disponibilidad.
  • Las particiones de cada dispositivo HSM deben tener la misma contraseña aunque la etiqueta (nombre) sea diferente.
  • Todas las particiones en HA deben asignarse al cliente (dispositivo Citrix ADC).

Después de configurar un cliente SafeNet en el ADC como se describe en Configurar un cliente SafeNet en el ADC, lleve a cabo los siguientes pasos para configurar HSM de Safenet en alta disponibilidad:

  1. En el símbolo del shell de Citrix ADC, inicie “lunacm” (/usr/safenet/lunaclient/bin)

Ejemplo:

```
root @ns # cd /var/safenet/safenet/lunaclient/bin/

root @ns #. /lunacm
```
  1. Identifique los ID de ranura de las particiones. Para enumerar las ranuras disponibles (particiones), escriba:

    lunacm:> slot list
    

    Ejemplo;

        Slot Id ->              0
        HSM Label ->            trinity-p1
        HSM Serial Number ->    481681014
        HSM Model ->            LunaSA 6.2.1
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
        Slot Id ->              1
        HSM Label ->            trinity-p2
        HSM Serial Number ->    481681018
        HSM Model ->            LunaSA 6.2.1
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
         Slot Id ->              2
         HSM Label ->            neo-p1
         HSM Serial Number ->    487298014
         HSM Model ->            LunaSA 6.2.1
         HSM Firmware Version -> 6.10.9
         HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
        Slot Id ->              3
        HSM Label ->            neo-p2
        HSM Serial Number ->    487298018
        HSM Model ->            LunaSA 6.2.1
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
        Slot Id ->              7
        HSM Label ->            hsmha
        HSM Serial Number ->    1481681014
        HSM Model ->            LunaVirtual
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna Virtual HSM (PED) Signing With Cloning Mode
        HSM Status ->           N/A - HA Group
    
        Slot Id ->              8
        HSM Label ->            newha
        HSM Serial Number ->    1481681018
        HSM Model ->            LunaVirtual
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna Virtual HSM (PED) Signing With Cloning Mode
        HSM Status ->           N/A - HA Group
    
        Current Slot Id: 0
    
  2. Cree el grupo HA. La primera partición se denomina partición primaria. Puede agregar más de una partición secundaria.

    lunacm:> hagroup createGroup -slot <slot number of primary partition> -label <group name> -password <partition password >
    
    lunacm:> hagroup createGroup -slot 1 -label gp12 -password ******
    
  3. Agregue los miembros secundarios (particiones HSM). Repita este paso para todas las particiones que se agregarán al grupo HA.

    lunacm:> hagroup addMember -slot <slot number of secondary partition to be added> -group <group name> -password <partition password>
    

    Código:

    lunacm:> hagroup addMember -slot 2 -group gp12 -password ******
    
  4. Habilite el modo solo HA.

    lunacm:> hagroup HAOnly –enable
    
  5. Habilitar el modo de recuperación activo.

    lunacm:.>hagroup recoveryMode –mode active
    
  6. Establezca el tiempo de intervalo de recuperación automática (en segundos). El valor predeterminado es 60 segundos.

    lunacm:.>hagroup interval –interval <value in seconds>
    

    Ejemplo:

    lunacm:.>hagroup interval –interval 120
    
  7. Establecer el recuento de reintentos de recuperación. Un valor de -1 permite un número infinito de reintentos.

    lunacm:> hagroup retry -count <xxx>
    

    Ejemplo:

    lunacm:> hagroup retry -count 2
    
  8. Copie la configuración de Chrystoki.conf al directorio de configuración de Safenet.

    cp /etc/Chrystoki.conf /var/safenet/config/
    
  9. Reinicie el dispositivo ADC.

    reboot
    

Después de configurar SafeNet HSM en HA, consulte Configuración adicional de ADC para obtener más información sobre el dispositivo ADC.

Configurar HSM de Safenet en una configuración de alta disponibilidad en el ADC