Configurer les HSM Safenet dans une configuration haute disponibilité sur ADC

La configuration des HSM SafeNet en haute disponibilité (HA) garantit un service ininterrompu même si tous les périphériques sauf un ne sont pas disponibles. Dans une configuration HA, chaque HSM rejoint un groupe HA en mode actif. Les HSM SafeNet dans une configuration HA assurent l’équilibrage de la charge de tous les membres du groupe afin d’augmenter les performances et le temps de réponse tout en garantissant un service de haute disponibilité. Pour plus d’informations, contactez le service des ventes et du support SafeNet.

Pré-requis :

  • Minimum deux appareils SafeNet HSM. Tous les périphériques d’un groupe HA doivent avoir une authentification PED (chemin d’accès approuvé) ou une authentification par mot de passe. Une combinaison d’authentification de chemin d’accès approuvé et d’authentification de mot de passe dans un groupe HA n’est pas prise en charge.
  • Les partitions de chaque périphérique HSM doivent avoir le même mot de passe même si l’étiquette (nom) est différente.
  • Toutes les partitions de HA doivent être affectées au client (appliance Citrix ADC).

Après avoir configuré un client Safenet sur ADCConfigurer un client SafeNet sur ADC, procédez comme suit pour configurer les HSM Safenet en HA :

  1. Sur l’invite de shell Citrix ADC, lancez « lunacm » (/usr/safenet/lunaclient/bin)

Exemple :

```
root @ns # cd /var/safenet/safenet/lunaclient/bin/

root@ns# ./lunacm
```
  1. Identifiez les ID de slot des partitions. Pour répertorier les emplacements (partitions) disponibles, tapez :

    lunacm:> slot list
    

    Exemple ;

        Slot Id ->              0
        HSM Label ->            trinity-p1
        HSM Serial Number ->    481681014
        HSM Model ->            LunaSA 6.2.1
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
        Slot Id ->              1
        HSM Label ->            trinity-p2
        HSM Serial Number ->    481681018
        HSM Model ->            LunaSA 6.2.1
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
         Slot Id ->              2
         HSM Label ->            neo-p1
         HSM Serial Number ->    487298014
         HSM Model ->            LunaSA 6.2.1
         HSM Firmware Version -> 6.10.9
         HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
        Slot Id ->              3
        HSM Label ->            neo-p2
        HSM Serial Number ->    487298018
        HSM Model ->            LunaSA 6.2.1
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
        Slot Id ->              7
        HSM Label ->            hsmha
        HSM Serial Number ->    1481681014
        HSM Model ->            LunaVirtual
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna Virtual HSM (PED) Signing With Cloning Mode
        HSM Status ->           N/A - HA Group
    
        Slot Id ->              8
        HSM Label ->            newha
        HSM Serial Number ->    1481681018
        HSM Model ->            LunaVirtual
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna Virtual HSM (PED) Signing With Cloning Mode
        HSM Status ->           N/A - HA Group
    
        Current Slot Id: 0
    
  2. Créez le groupe HA. La première partition est appelée partition primaire. Vous pouvez ajouter plusieurs partitions secondaires.

    lunacm:> hagroup createGroup -slot <slot number of primary partition> -label <group name> -password <partition password >
    
    lunacm:> hagroup createGroup -slot 1 -label gp12 -password ******
    
  3. Ajoutez les membres secondaires (partitions HSM). Répétez cette étape pour que toutes les partitions soient ajoutées au groupe HA.

    lunacm:> hagroup addMember -slot <slot number of secondary partition to be added> -group <group name> -password <partition password>
    

    Code :

    lunacm:> hagroup addMember -slot 2 -group gp12 -password ******
    
  4. Activer le mode HA uniquement.

    lunacm:> hagroup HAOnly –enable
    
  5. Activer le mode de récupération actif.

    lunacm:.>hagroup recoveryMode –mode active
    
  6. Définissez l’intervalle de récupération automatique (en secondes). Le délai par défaut est de 60 secondes.

    lunacm:.>hagroup interval –interval <value in seconds>
    

    Exemple :

    lunacm:.>hagroup interval –interval 120
    
  7. Définissez le nombre de tentatives de récupération. Une valeur de -1 permet un nombre infini de tentatives.

    lunacm:> hagroup retry -count <xxx>
    

    Exemple :

    lunacm:> hagroup retry -count 2
    
  8. Copiez la configuration dansChrystoki.conf le répertoire de configuration Safenet.

    cp /etc/Chrystoki.conf /var/safenet/config/
    
  9. Redémarrez l’appliance ADC.

    reboot
    

Après avoir configuré SafeNet HSM en HA, reportez-vous à la section Configuration ADC supplémentaire pour plus de configuration sur ADC.

Configurer les HSM Safenet dans une configuration haute disponibilité sur ADC