In Déchargement et accélération SSL
In Citrix ADC 13.0
In Citrix ADC
In All products
Documentation produit
In Déchargement et accélération SSL
In Citrix ADC 13.0
In Citrix ADC
In All products
Citrix ADC
Current Release 12.1 11.1
Voir PDF

Configurer les HSM Thales Luna dans une configuration haute disponibilité sur ADC

August 20, 2021
Contribution de: 
C

La configuration des HSM Thales Luna en haute disponibilité (HA) garantit un service ininterrompu même si tous les appareils, sauf un, ne sont pas disponibles. Dans une configuration HA, chaque HSM rejoint un groupe HA en mode actif. Les HSM Thales Luna dans une configuration HA fournissent un équilibrage de charge de tous les membres du groupe afin d’augmenter les performances et le temps de réponse tout en garantissant un service haute disponibilité. Pour plus d’informations, contactez le service commercial et le support de Thales Luna.

Conditions préalables :

  • Au moins deux appareils Thales Luna HSM. Tous les périphériques d’un groupe HA doivent avoir une authentification PED (chemin d’accès approuvé) ou une authentification par mot de passe. Une combinaison d’authentification de chemin d’accès approuvé et d’authentification de mot de passe dans un groupe HA n’est pas prise en charge.
  • Les partitions de chaque périphérique HSM doivent avoir le même mot de passe même si l’étiquette (nom) est différente.
  • Toutes les partitions de HA doivent être affectées au client (appliance Citrix ADC).

Après avoir configuré un client Thales Luna sur ADC, comme décrit dans Configurer un client SafeNet sur ADC, effectuez les opérations suivantes pour configurer les HSM Thales Luna dans HA :

  1. Sur l’invite Citrix ADC shell, lancez lunacm (/usr/safenet/lunaclient/bin)

    Exemple :

    root@ns# cd /var/safenet/safenet/lunaclient/bin/

root@ns# ./lunacm
<!--NeedCopy-->

  2. Identifiez les ID de slot des partitions. Pour répertorier les emplacements (partitions) disponibles, tapez :

    lunacm:> slot list
<!--NeedCopy-->

    Exemple :

        Slot Id ->              0
    HSM Label ->            trinity-p1
    HSM Serial Number ->    481681014
    HSM Model ->            LunaSA 6.2.1
    HSM Firmware Version -> 6.10.9
    HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
    HSM Status ->           OK

    Slot Id ->              1
    HSM Label ->            trinity-p2
    HSM Serial Number ->    481681018
    HSM Model ->            LunaSA 6.2.1
    HSM Firmware Version -> 6.10.9
    HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
    HSM Status ->           OK

     Slot Id ->              2
     HSM Label ->            neo-p1
     HSM Serial Number ->    487298014
     HSM Model ->            LunaSA 6.2.1
     HSM Firmware Version -> 6.10.9
     HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
    HSM Status ->           OK

    Slot Id ->              3
    HSM Label ->            neo-p2
    HSM Serial Number ->    487298018
    HSM Model ->            LunaSA 6.2.1
    HSM Firmware Version -> 6.10.9
    HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
    HSM Status ->           OK

    Slot Id ->              7
    HSM Label ->            hsmha
    HSM Serial Number ->    1481681014
    HSM Model ->            LunaVirtual
    HSM Firmware Version -> 6.10.9
    HSM Configuration ->    Luna Virtual HSM (PED) Signing With Cloning Mode
    HSM Status ->           N/A - HA Group

    Slot Id ->              8
    HSM Label ->            newha
    HSM Serial Number ->    1481681018
    HSM Model ->            LunaVirtual
    HSM Firmware Version -> 6.10.9
    HSM Configuration ->    Luna Virtual HSM (PED) Signing With Cloning Mode
    HSM Status ->           N/A - HA Group

    Current Slot Id: 0
<!--NeedCopy-->

  3. Créez le groupe HA. La première partition est appelée partition primaire. Vous pouvez ajouter plusieurs partitions secondaires.

    lunacm:> hagroup createGroup -slot <slot number of primary partition> -label <group name> -password <partition password >

lunacm:> hagroup createGroup -slot 1 -label gp12 -password ******
<!--NeedCopy-->

  4. Ajoutez les membres secondaires (partitions HSM). Répétez cette étape pour que toutes les partitions soient ajoutées au groupe HA.

    lunacm:> hagroup addMember -slot <slot number of secondary partition to be added> -group <group name> -password <partition password>
<!--NeedCopy-->

    Code :

    lunacm:> hagroup addMember -slot 2 -group gp12 -password ******
<!--NeedCopy-->

  5. Activer le mode HA uniquement.

    lunacm:> hagroup HAOnly –enable
<!--NeedCopy-->

  6. Activer le mode de récupération actif.

    lunacm:.>hagroup recoveryMode –mode active
<!--NeedCopy-->

  7. Définissez l’intervalle de récupération automatique (en secondes). Le délai par défaut est de 60 secondes.

    lunacm:.>hagroup interval –interval <value in seconds>
<!--NeedCopy-->

    Exemple :

    lunacm:.>hagroup interval –interval 120
<!--NeedCopy-->

  8. Définissez le nombre de tentatives de récupération. Une valeur de -1 permet un nombre infini de nouvelles tentatives.

    lunacm:> hagroup retry -count <xxx>
<!--NeedCopy-->

    Exemple :

    lunacm:> hagroup retry -count 2
<!--NeedCopy-->

  9. Copiez la configuration de Chrystoki.conf vers le répertoire de configuration SafeNet.

    cp /etc/Chrystoki.conf /var/safenet/config/
<!--NeedCopy-->

  10. Redémarrez l’appliance ADC.

    reboot
<!--NeedCopy-->

Après avoir configuré Thales Luna HSM dans HA, reportez-vous à la section Autre configuration ADC pour plus de configuration sur ADC.

Configurer les HSM Thales Luna dans une configuration haute disponibilité sur ADC
August 20, 2021
Contribution de: 
C
August 20, 2021
Contribution de: 
C

Dans cet article

Commentaires sur le site | Confidentialité et mentions légales | Préférences de cookies | Consent Settings
© 1999- Citrix Systems, Inc. All rights reserved.