In Déchargement et accélération SSL
In Citrix ADC 13.0
In Citrix ADC
In All products
Documentation produit
In Déchargement et accélération SSL
In Citrix ADC 13.0
In Citrix ADC
In All products
Citrix ADC
Current Release 12.1 12.0 11.1 10.5
Voir PDF

Configurer les HSM SafeNet dans une configuration haute disponibilité sur l’ADC

January 21, 2021
Contribution de: 
C

La configuration des HSM SafeNet dans une haute disponibilité (HA) garantit un service ininterrompu même si tous les périphériques, sauf un, ne sont pas disponibles. Dans une configuration HA, chaque HSM rejoint un groupe HA en mode actif. Les HSM SafeNet dans une configuration HA assurent l’équilibrage de la charge de tous les membres du groupe afin d’augmenter les performances et le temps de réponse tout en garantissant un service de haute disponibilité. Pour plus d’informations, contactez le service des ventes et du support SafeNet.

Pré-requis :

  • Minimum deux appareils SafeNet HSM. Tous les périphériques d’un groupe HA doivent avoir une authentification PED (chemin d’accès approuvé) ou une authentification par mot de passe. Une combinaison d’authentification de chemin d’accès approuvé et d’authentification de mot de passe dans un groupe HA n’est pas prise en charge.
  • Les partitions de chaque périphérique HSM doivent avoir le même mot de passe même si l’étiquette (nom) est différente.
  • Toutes les partitions de HA doivent être affectées au client (appliance Citrix ADC).

Après avoir configuré un client SafeNet sur l’ADC comme décrit à la section Configurer un client SafeNet sur ADC, effectuez les opérations suivantes pour configurer les HSM SafeNet dans HA :

  1. Sur l’invite Citrix ADC shell, lancez lunacm (/usr/safenet/lunaclient/bin)

    Exemple :

    root@ns# cd /var/safenet/safenet/lunaclient/bin/

root@ns# ./lunacm

  2. Identifiez les ID de slot des partitions. Pour répertorier les emplacements (partitions) disponibles, tapez :

    lunacm:> slot list

    Exemple :

        Slot Id ->              0
    HSM Label ->            trinity-p1
    HSM Serial Number ->    481681014
    HSM Model ->            LunaSA 6.2.1
    HSM Firmware Version -> 6.10.9
    HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
    HSM Status ->           OK

    Slot Id ->              1
    HSM Label ->            trinity-p2
    HSM Serial Number ->    481681018
    HSM Model ->            LunaSA 6.2.1
    HSM Firmware Version -> 6.10.9
    HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
    HSM Status ->           OK

     Slot Id ->              2
     HSM Label ->            neo-p1
     HSM Serial Number ->    487298014
     HSM Model ->            LunaSA 6.2.1
     HSM Firmware Version -> 6.10.9
     HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
    HSM Status ->           OK

    Slot Id ->              3
    HSM Label ->            neo-p2
    HSM Serial Number ->    487298018
    HSM Model ->            LunaSA 6.2.1
    HSM Firmware Version -> 6.10.9
    HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
    HSM Status ->           OK

    Slot Id ->              7
    HSM Label ->            hsmha
    HSM Serial Number ->    1481681014
    HSM Model ->            LunaVirtual
    HSM Firmware Version -> 6.10.9
    HSM Configuration ->    Luna Virtual HSM (PED) Signing With Cloning Mode
    HSM Status ->           N/A - HA Group

    Slot Id ->              8
    HSM Label ->            newha
    HSM Serial Number ->    1481681018
    HSM Model ->            LunaVirtual
    HSM Firmware Version -> 6.10.9
    HSM Configuration ->    Luna Virtual HSM (PED) Signing With Cloning Mode
    HSM Status ->           N/A - HA Group

    Current Slot Id: 0

  3. Créez le groupe HA. La première partition est appelée partition primaire. Vous pouvez ajouter plusieurs partitions secondaires.

    lunacm:> hagroup createGroup -slot <slot number of primary partition> -label <group name> -password <partition password >

lunacm:> hagroup createGroup -slot 1 -label gp12 -password ******

  4. Ajoutez les membres secondaires (partitions HSM). Répétez cette étape pour que toutes les partitions soient ajoutées au groupe HA.

    lunacm:> hagroup addMember -slot <slot number of secondary partition to be added> -group <group name> -password <partition password>

    Code :

    lunacm:> hagroup addMember -slot 2 -group gp12 -password ******

  5. Activer le mode HA uniquement.

    lunacm:> hagroup HAOnly –enable

  6. Activer le mode de récupération actif.

    lunacm:.>hagroup recoveryMode –mode active

  7. Définissez l’intervalle de récupération automatique (en secondes). Le délai par défaut est de 60 secondes.

    lunacm:.>hagroup interval –interval <value in seconds>

    Exemple :

    lunacm:.>hagroup interval –interval 120

  8. Définissez le nombre de tentatives de récupération. Une valeur de -1 permet un nombre infini de nouvelles tentatives.

    lunacm:> hagroup retry -count <xxx>

    Exemple :

    lunacm:> hagroup retry -count 2

  9. Copiez la configuration de Chrystoki.conf vers le répertoire de configuration SafeNet.

    cp /etc/Chrystoki.conf /var/safenet/config/

  10. Redémarrez l’appliance ADC.

    reboot

Après avoir configuré SafeNet HSM en HA, reportez-vous à la section Autres configurations ADC pour plus de configuration sur ADC.

Configurer les HSM SafeNet dans une configuration haute disponibilité sur l’ADC
January 21, 2021
Contribution de: 
C
January 21, 2021
Contribution de: 
C

Dans cet article