Citrix ADC

Configurer un client SafeNet sur ADC

Après avoir configuré SafeNet HSM et créé les partitions requises, vous devez créer des clients et les affecter à des partitions. Commencez par configurer les clients SafeNet sur le Citrix ADC et configurer les liens d’approbation réseau (NTL) entre les clients SafeNet et le HSM SafeNet. Un exemple de configuration est donné dans le Annexe.

  1. Modifiez le répertoire par /var/safenet et installez le client SafeNet. À l’invite shell, tapez :

    cd /var/safenet
    

    Pour installer le client SafeNet version 6.0.0, tapez :

    install_client.sh -v 600
    

    Pour installer le client SafeNet version 6.2.2, tapez :

    install_client.sh -v 622
    

    Pour installer le client SafeNet version 7.2.2, tapez :

    install_client.sh -v 722
    
  2. Configurez les NTL entre le client SafeNet (ADC) et HSM.

    Une fois le répertoire ‘/var/safenet/’ créé, effectuez les tâches suivantes sur ADC.

    a) Changez le répertoire en ‘/var/safenet/config/’ et exécutez le script ‘safenet_config’. À l’invite shell, tapez :

    cd /var/safenet/config
    
    sh safenet_config
    

    Ce script copie le fichier « Chrystoki.conf » dans le répertoire /etc/. Il génère également un lien symbolique ‘LibCryptoki2_64.so’ dans le répertoire ‘/usr/lib/’.

    b) Créer et transférer un certificat et une clé entre ADC et le SafeNet HSM.

    Pour communiquer en toute sécurité, l’ADC et le HSM doivent échanger des certificats. Créez un certificat et une clé sur ADC, puis transférez-le au HSM. Copiez le certificat HSM dans ADC.

    i) Changer le répertoire en /var/safenet/safenet/lunaclient/bin.

    ii) Créer un certificat sur ADC. À l’invite shell, tapez :

    ./vtl createCert -n <ip address of Citrix ADC>
    

    Cette commande ajoute également le chemin d’accès du certificat et de la clé au fichier « /etc/Chrystoki.conf ».

    iii) Copier ce certificat au HSM. À l’invite shell, tapez :

    scp /var/safenet/safenet/lunaclient/cert/client/<ip address of NS>.pem <LunaSA_HSM account>@<IP address of Luna SA>
    

    iv) Copiez le certificat HSM dans Citrix ADC. À l’invite shell, tapez :

    scp <HSM account>@<HSM IP>:server.pem  /var/safenet/safenet/lunaclient/server_<HSM ip>.pem
    
  3. Enregistrez Citrix ADC en tant que client et affectez-lui une partition sur le HSM SafeNet.

    Connectez-vous au HSM et créez un client. Entrez le NSIP comme adresse IP du client. Cette adresse doit être l’adresse IP de l’ADC à partir duquel vous avez transféré le certificat au HSM. Une fois que le client est correctement enregistré, affectez-lui une partition. Exécutez les commandes suivantes sur le HSM.

    a) Utilisez SSH pour vous connecter au SafeNet HSM et entrer le mot de passe.

    b) Enregistrez le Citrix ADC sur le SafeNet HSM. Le client est créé sur le HSM. L’adresse IP est l’adresse IP du client. Autrement dit, l’adresse du NSIP.

    À l’invite, tapez :

    client register –client <client name> -ip <Citrix ADC ip>
    

    c) Attribuez au client une partition à partir de la liste des partitions. Pour afficher les partitions disponibles, tapez :

    <luna_sh> partition list
    

    Attribuez une partition à partir de cette liste. Type :

    <lunash:> client assignPartition -client <Client Name> -par <Partition Name>
    
  4. Enregistrez le HSM avec son certificat sur le Citrix ADC.

    Dans l’ADC, changez le répertoire par « /var/safenet/safenet/lunaclient/bin » et, à l’invite du shell, tapez :

    ./vtl addserver -n <IP addr of HSM> -c /var/safenet/safenet/lunaclient/server_<HSM_IP>.pem
    

    Pour supprimer le HSM inscrit sur ADC, tapez :

    ./vtl deleteServer -n <HSM IP> -c <cert path>
    

    Pour répertorier les serveurs HSM configurés sur ADC, tapez :

    ./vtl listServer
    

    Remarque :

    Avant de supprimer le HSM à l’aide vtl, assurez-vous que toutes les clés de ce HSM sont supprimées manuellement de l’appliance. Les clés HSM ne peuvent pas être supprimées après la suppression du serveur HSM.

  5. Vérifiez la connectivité des liens d’approbation réseau (NTL) entre ADC et le HSM. À l’invite shell, tapez :

    ./vtl verify
    

    Si la vérification échoue, passez en revue toutes les étapes. Les erreurs sont dues à une adresse IP incorrecte dans les certificats clients.

  6. Enregistrez la configuration.

    Les étapes précédentes mettent à jour le fichier de configuration « /etc/Chrystoki.conf ». Ce fichier est supprimé au démarrage de l’ADC. Copiez la configuration dans le fichier de configuration par défaut, qui est utilisé lors du redémarrage d’un ADC.

    À l’invite shell, tapez :

    root@ns# cp /etc/Chrystoki.conf /var/safenet/config/
    

    La pratique recommandée consiste à exécuter cette commande chaque fois qu’il y a une modification de la configuration relative à Safenet.

  7. Démarrez le processus de Gateway SafeNet.

    À l’invite shell, tapez :

    sh /var/safenet/gateway/start_safenet_gw
    
  8. Configurez le démarrage automatique du démon de Gateway au démarrage.

    Créez le fichier « safenet_is_enrolled », qui indique que SafeNet HSM est configuré sur cet ADC. Chaque fois que ADC redémarre et que ce fichier est trouvé, la Gateway est automatiquement démarrée.

    À l’invite shell, tapez :

    touch /var/safenet/safenet_is_enrolled
    
Configurer un client SafeNet sur ADC