Citrix ADC

Configurer un client SafeNet sur ADC

Après avoir configuré SafeNet HSM et créé les partitions requises, vous devez créer des clients et les affecter à des partitions. Commencez par configurer les clients SafeNet sur le Citrix ADC et configurer les liens d’approbation réseau (NTL) entre les clients SafeNet et le HSM SafeNet. Un exemple de configuration est donné dans le Annexe.

  1. Changez le répertoire en /var/safenet et installez le client Safenet. À l’invite du shell, tapez :

    cd /var/safenet
    

    Pour installer le client Safenet version 6.0.0, tapez :

    install_client.sh -v 600
    

    Pour installer le client Safenet version 6.2.2, tapez :

    install_client.sh -v 622
    

    Pour installer le client Safenet version 7.2.2, tapez :

    install_client.sh -v 722
    
  2. Configurez les NTL entre le client SafeNet (ADC) et HSM.

    Une fois le répertoire ‘/var/safenet/’ créé, effectuez les tâches suivantes sur ADC.

    a) Changez le répertoire en ‘/var/safenet/config/’ et exécutez le script ‘safenet_config’. À l’invite du shell, tapez :

    cd /var/safenet/config
    
    sh safenet_config
    

    Ce script copie le fichier « Chrystoki.conf » dans le répertoire /etc/. Il génère également un lien symbolique ‘LibCryptoki2_64.so’ dans le répertoire ‘/usr/lib/’.

    b) Créer et transférer un certificat et une clé entre ADC et le SafeNet HSM.

    Afin de communiquer en toute sécurité, ADC et le HSM doivent échanger des certificats. Créez un certificat et une clé sur ADC, puis transférez-le au HSM. Copiez le certificat HSM dans ADC.

    i) Changer le répertoire en /var/safenet/safenet/lunaclient/bin.

    ii) Créer un certificat sur ADC. À l’invite du shell, tapez :

    ./vtl createCert -n <ip address of Citrix ADC>
    

    Cette commande ajoute également le chemin d’accès du certificat et de la clé au fichier « /etc/Chrystoki.conf ».

    iii) Copier ce certificat au HSM. À l’invite du shell, tapez :

    scp /var/safenet/safenet/lunaclient/cert/client/<ip address of NS>.pem <LunaSA_HSM account>@<IP address of Luna SA>
    

    iv) Copiez le certificat HSM dans Citrix ADC. À l’invite du shell, tapez :

    scp <HSM account>@<HSM IP>:server.pem  /var/safenet/safenet/lunaclient/server_<HSM ip>.pem
    
  3. Enregistrez Citrix ADC en tant que client et affectez-lui une partition sur le HSM SafeNet.

    Connectez-vous au HSM et créez un client. Entrez le NSIP comme adresse IP du client. Il doit s’agir de l’adresse IP de ADC à partir duquel vous avez transféré le certificat au HSM. Une fois que le client est correctement enregistré, affectez-lui une partition. Exécutez les commandes suivantes sur le HSM.

    a) Utilisez SSH pour vous connecter au SafeNet HSM et entrer le mot de passe.

    b) Enregistrez le Citrix ADC sur le SafeNet HSM. Le client est créé sur le HSM. L’adresse IP est l’adresse IP du client. Autrement dit, l’adresse du NSIP.

    À l’invite, tapez :

    client register –client <client name> -ip <Citrix ADC ip>
    

    c) Attribuez au client une partition à partir de la liste des partitions. Pour afficher les partitions disponibles, tapez :

    <luna_sh> partition list
    

    Attribuez une partition à partir de cette liste. Tapez :

    <lunash:> client assignPartition -client <Client Name> -par <Partition Name>
    
  4. Enregistrez le HSM avec son certificat sur le Citrix ADC.

    Sur l’ADC, changez le répertoire en « /var/safenet/safenet/lunaclient/bin » et, à l’invite du shell, tapez :

    ./vtl addserver -n <IP addr of HSM> -c /var/safenet/safenet/lunaclient/server_<HSM_IP>.pem
    

    Pour supprimer le HSM inscrit sur ADC, tapez :

    ./vtl deleteServer -n <HSM IP> -c <cert path>
    

    Pour répertorier les serveurs HSM configurés sur ADC, tapez :

    ./vtl listServer
    

    Remarque :

    Avant de supprimer le HSM à l’aide de vtl, assurez-vous que toutes les clés de ce HSM sont manuellement supprimées de l’appliance. Les clés HSM ne peuvent pas être supprimées après la suppression du serveur HSM.

  5. Vérifiez la connectivité des liens d’approbation réseau (NTL) entre ADC et le HSM. À l’invite du shell, tapez :

    ./vtl verify
    

    Si la vérification échoue, passez en revue toutes les étapes. Les erreurs sont généralement dues à une adresse IP incorrecte dans les certificats clients.

  6. Enregistrez la configuration.

    Les étapes ci-dessus mettent à jour le fichier de configuration « /etc/Chrystoki.conf ». Ce fichier est supprimé au démarrage de l’ADC. Copiez la configuration dans le fichier de configuration par défaut, qui est utilisé lors du redémarrage d’un ADC.

    À l’invite du shell, tapez :

    root@ns# cp /etc/Chrystoki.conf /var/safenet/config/
    

    La pratique recommandée consiste à exécuter cette commande chaque fois qu’il y a une modification de la configuration relative à Safenet.

  7. Démarrez le processus de Gateway SafeNet.

    À l’invite du shell, tapez :

    sh /var/safenet/gateway/start_safenet_gw
    
  8. Configurez le démarrage automatique du démon de Gateway au démarrage.

    Créez le fichier « safenet_is_enrolled », qui indique que SafeNet HSM est configuré sur cet ADC. Chaque fois que ADC redémarre et que ce fichier est trouvé, la Gateway est automatiquement démarrée.

    À l’invite du shell, tapez :

    touch /var/safenet/safenet_is_enrolled
    

Configurer un client SafeNet sur ADC