Citrix ADC

Configurar un cliente de Thales Luna en el ADC

Después de configurar el HSM de Thales Luna y crear las particiones necesarias, debe crear clientes y asignarlos a particiones. Comience por configurar los clientes de Thales Luna en Citrix ADC y configurar los enlaces de confianza de red (NTLs) entre los clientes de Thales Luna y el HSM de Thales Luna. En el apéndice se proporciona una configuración de ejemplo.

  1. Cambie el directorio a /var/safenet e instale el cliente Thales Luna. En el símbolo del shell, escriba:

    cd /var/safenet
    <!--NeedCopy-->
    

    Para instalar el cliente Thales Luna, versión 6.0.0, escriba:

    install_client.sh -v 600
    <!--NeedCopy-->
    

    Para instalar el cliente Thales Luna, versión 6.2.2, escriba:

    install_client.sh -v 622
    <!--NeedCopy-->
    

    Para instalar el cliente Thales Luna, versión 7.2.2, escriba:

    install_client.sh -v 722
    <!--NeedCopy-->
    
  2. Configure los NTLs entre el cliente Thales Luna (ADC) y HSM.

    Después de crear el directorio ‘/var/safenet/’, realice las siguientes tareas en el ADC.

    a) Cambie el directorio a ‘/var/safenet/config/’ y ejecute el script ‘safenet_config ‘. En el símbolo del shell, escriba:

    cd /var/safenet/config
    
    sh safenet_config
    <!--NeedCopy-->
    

    Este script copia el archivo “Chrystoki.conf” en el directorio /etc/. También genera un enlace simbólico ‘libCryptoki2_64.so’ en el directorio ‘/usr/lib/’.

    b) Cree y transfiera un certificado y una clave entre el ADC y el HSM de Thales Luna.

    Para comunicarse de forma segura, el ADC y el HSM deben intercambiar certificados. Cree un certificado y una clave en el ADC y, a continuación, transfiéralos al HSM. Copie el certificado de HSM en el ADC.

    i) Cambie el directorio a /var/safenet/safenet/lunaclient/bin.

    ii) Crear un certificado en el ADC. En el símbolo del shell, escriba:

    ./vtl createCert -n <ip address of Citrix ADC>
    <!--NeedCopy-->
    

    Este comando también agrega la ruta del certificado y la clave al archivo “/etc/Chrystoki.conf”.

    iii) Copie este certificado en el HSM. En el símbolo del shell, escriba:

    scp /var/safenet/safenet/lunaclient/cert/client/<ip address of NS>.pem <LunaSA_HSM account>@<IP address of Luna SA>
    <!--NeedCopy-->
    

    iv) Copie el certificado de HSM en Citrix ADC. En el símbolo del shell, escriba:

    scp <HSM account>@<HSM IP>:server.pem  /var/safenet/safenet/lunaclient/server_<HSM ip>.pem
    <!--NeedCopy-->
    
  3. Registre Citrix ADC como cliente y asígnele una partición en el HSM de Thales Luna.

    Inicie sesión en el HSM y cree un cliente. Introduzca el NSIP como IP del cliente. Esta dirección debe ser la dirección IP del ADC desde el que transfirió el certificado al HSM. Cuando el cliente se haya registrado correctamente, asígnele una partición. Ejecute los siguientes comandos en el HSM.

    a) Utilice SSH para conectarse al HSM de Thales Luna e introduzca la contraseña.

    b) Registre Citrix ADC en el HSM de Thales Luna. El cliente se crea en el HSM. La dirección IP es la dirección IP del cliente. Es decir, la dirección NSIP.

    En el símbolo del sistema, escriba:

    client register –client <client name> -ip <Citrix ADC ip>
    <!--NeedCopy-->
    

    c) Asigne al cliente una partición de la lista de particiones. Para ver las particiones disponibles, escriba:

    <luna_sh> partition list
    <!--NeedCopy-->
    

    Asigne una partición de esta lista. Tipo:

    <lunash:> client assignPartition -client <Client Name> -par <Partition Name>
    <!--NeedCopy-->
    
  4. Registre el HSM con su certificado en el Citrix ADC.

    En el ADC, cambie el directorio a “/var/safenet/safenet/lunaclient/bin” y, en el indicador del shell, escriba:

    ./vtl addserver -n <IP addr of HSM> -c /var/safenet/safenet/lunaclient/server_<HSM_IP>.pem
    <!--NeedCopy-->
    

    Para eliminar el HSM que está inscrito en el ADC, escriba:

    ./vtl deleteServer -n <HSM IP> -c <cert path>
    <!--NeedCopy-->
    

    Para enumerar los servidores HSM configurados en el ADC, escriba:

    ./vtl listServer
    <!--NeedCopy-->
    

    Nota:

    Antes de quitar el HSM mediante el uso vtl, asegúrese de que todas las claves de ese HSM se hayan eliminado manualmente del dispositivo. Las claves de HSM no se pueden eliminar después de quitar el servidor de HSM.

  5. Verifique la conectividad de los enlaces de confianza de red (NTL) entre el ADC y el HSM. En el símbolo del shell, escriba:

    ./vtl verify
    <!--NeedCopy-->
    

    Si la verificación falla, revise todos los pasos. Los errores se deben a una dirección IP incorrecta en los certificados de cliente.

  6. Guarde la configuración.

    Los pasos anteriores actualizan el archivo de configuración “/etc/Chrystoki.conf”. Este archivo se elimina cuando se inicia el ADC. Copie la configuración en el archivo de configuración predeterminado, que se utiliza cuando se reinicia un ADC.

    En el símbolo del shell, escriba:

    root@ns# cp /etc/Chrystoki.conf /var/safenet/config/
    <!--NeedCopy-->
    

    La práctica recomendada es ejecutar este comando cada vez que se produce un cambio en la configuración relacionada con Thales Luna.

  7. Inicie el proceso de puerta de enlace de Thales Luna.

    En el símbolo del shell, escriba:

    sh /var/safenet/gateway/start_safenet_gw
    <!--NeedCopy-->
    
  8. Configure el inicio automático del daemon de Gateway en el momento del arranque.

    Cree el archivo “safenet_is_enrolled”, que indica que Thales Luna HSM está configurado en este ADC. Cada vez que el ADC se reinicia y se encuentra este archivo, la Gateway se inicia automáticamente.

    En el símbolo del shell, escriba:

    touch /var/safenet/safenet_is_enrolled
    <!--NeedCopy-->
    
  9. Reinicie el dispositivo Citrix ADC. En el símbolo del sistema, escriba:

    reboot
    <!--NeedCopy-->
    
Configurar un cliente de Thales Luna en el ADC

En este artículo