Configurar un cliente SafeNet en el ADC

Después de configurar SafeNet HSM y crear las particiones necesarias, debe crear clientes y asignarlos a particiones. Comience configurando los clientes SafeNet en el Citrix ADC y configurando los enlaces de confianza de red (NTL) entre los clientes SafeNet y el HSM de SafeNet. Se proporciona una configuración de ejemplo en el Apéndice.

  1. Cambie el directorio a /var/safenet e instale el cliente Safenet. En el símbolo del shell, escriba:

    cd /var/safenet
    

    Para instalar el cliente Safenet versión 6.0.0, escriba:

    install_client.sh -v 600
    

    Para instalar el cliente Safenet versión 6.2.2, escriba:

    install_client.sh -v 622
    

    Para instalar el cliente Safenet versión 7.2.2, escriba:

    install_client.sh -v 722
    
  2. Configure los NTL entre el cliente SafeNet (ADC) y HSM.

    Después de crear el directorio ‘/var/safenet/’, realice las siguientes tareas en el ADC.

    a) Cambie el directorio a ‘/var/safenet/config/’ y ejecute el script ‘safenet_config’. En el símbolo del shell, escriba:

    cd /var/safenet/config
    
    sh safenet_config
    

    Este script copia el archivo “Chrystoki.conf” en el directorio /etc/. También genera un enlace simbólico ‘libCryptoki2_64.so’ en el directorio ‘/usr/lib/’.

    b) Crear y transferir un certificado y una clave entre el ADC y el HSM de SafeNet.

    Para comunicarse de forma segura, el ADC y el HSM deben intercambiar certificados. Cree un certificado y una clave en el ADC y, a continuación, transfiéralo al HSM. Copie el certificado HSM en el ADC.

    i) Cambiar directorio a /var/safenet/safenet/lunaclient/bin.

    ii) Crear un certificado en el ADC. En el símbolo del shell, escriba:

    ./vtl createCert -n <ip address of Citrix ADC>
    

    Este comando también agrega el certificado y la ruta de acceso de clave al archivo “/etc/chrystoki.conf”.

    iii) Copie este certificado al HSM. En el símbolo del shell, escriba:

    scp /var/safenet/safenet/lunaclient/cert/client/<ip address of NS>.pem <LunaSA_HSM account>@<IP address of Luna SA>
    

    iv) Copie el certificado HSM al Citrix ADC. En el símbolo del shell, escriba:

    scp <HSM account>@<HSM IP>:server.pem  /var/safenet/safenet/lunaclient/server_<HSM ip>.pem
    
  3. Registre el Citrix ADC como cliente y asígnele una partición en el HSM de SafeNet.

    Inicie sesión en el HSM y cree un cliente. Introduzca el NSIP como IP del cliente. Debe ser la dirección IP del ADC desde el que transfirió el certificado al HSM. Después de que el cliente se haya registrado correctamente, asigne una partición a él. Ejecute los siguientes comandos en el HSM.

    a) Utilice SSH para conectarse al HSM de SafeNet e introduzca la contraseña.

    b) Registre el Citrix ADC en el HSM de SafeNet. El cliente se crea en el HSM. La dirección IP es la dirección IP del cliente. Es decir, la dirección del NSIP.

    En el símbolo del sistema, escriba:

    client register –client <client name> -ip <Citrix ADC ip>
    

    c) Asigne al cliente una partición de la lista de particiones. Para ver las particiones disponibles, escriba:

    <luna_sh> partition list
    

    Asigne una partición de esta lista. Tipo:

    <lunash:> client assignPartition -client <Client Name> -par <Partition Name>
    
  4. Registre el HSM con su certificado en el Citrix ADC.

    En el ADC, cambie el directorio a “/var/safenet/safenet/lunaclient/bin” y, en el símbolo del shell, escriba:

    ./vtl addserver -n <IP addr of HSM> -c /var/safenet/safenet/lunaclient/server_<HSM_IP>.pem
    

    Para quitar el HSM inscrito en el ADC, escriba:

    ./vtl deleteServer -n <HSM IP> -c <cert path>
    

    Para enumerar los servidores HSM configurados en el ADC, escriba:

    ./vtl listServer
    

    Nota:

    Antes de quitar el HSM mediante vtl, asegúrese de que todas las claves de dicho HSM se quitan manualmente del dispositivo. Las claves HSM no se pueden eliminar después de quitar el servidor HSM.

  5. Compruebe la conectividad de vínculos de confianza de red (NTL) entre el ADC y HSM. En el símbolo del shell, escriba:

    ./vtl verify
    

    Si la verificación falla, revise todos los pasos. Los errores se deben generalmente a una dirección IP incorrecta en los certificados de cliente.

  6. Guarde la configuración.

    Los pasos anteriores actualizan el archivo de configuración “/etc/chrystoki.conf”. Este archivo se elimina cuando se inicia el ADC. Copie la configuración en el archivo de configuración predeterminado, que se utiliza cuando se reinicia un ADC.

    En el símbolo del shell, escriba:

    root@ns# cp /etc/Chrystoki.conf /var/safenet/config/
    

    La práctica recomendada es ejecutar este comando cada vez que se produzca un cambio en la configuración relacionada con Safenet.

  7. Inicie el proceso de Gateway de SafeNet.

    En el símbolo del shell, escriba:

    sh /var/safenet/gateway/start_safenet_gw
    
  8. Configure el inicio automático del daemon de Gateway en el momento del arranque.

    Cree el archivo “safenet_is_registered”, que indica que SafeNet HSM está configurado en este ADC. Cada vez que el ADC se reinicia y se encuentra este archivo, la Gateway se inicia automáticamente.

    En el símbolo del shell, escriba:

    touch /var/safenet/safenet_is_enrolled
    

Configurar un cliente SafeNet en el ADC