Citrix ADC

Configurer un client Thales Luna sur ADC

Une fois que vous avez configuré le HSM Thales Luna et créé les partitions requises, vous devez créer des clients et les affecter à des partitions. Commencez par configurer les clients Thales Luna sur Citrix ADC et configurer les liens de confiance réseau (NTL) entre les clients Thales Luna et le HSM Thales Luna. Un exemple de configuration est fourni dans l’ annexe.

  1. Remplacez le répertoire par /var/safenet et installez le client Thales Luna. À l’invite shell, tapez :

    cd /var/safenet
    <!--NeedCopy-->
    

    Pour installer le client Thales Luna version 6.0.0, tapez :

    install_client.sh -v 600
    <!--NeedCopy-->
    

    Pour installer le client Thales Luna version 6.2.2, tapez :

    install_client.sh -v 622
    <!--NeedCopy-->
    

    Pour installer le client Thales Luna version 7.2.2, tapez :

    install_client.sh -v 722
    <!--NeedCopy-->
    
  2. Configurez les NTL entre le client Thales Luna (ADC) et HSM.

    Une fois le répertoire ‘/var/safenet/’ créé, effectuez les tâches suivantes sur ADC.

    a) Changez le répertoire en ‘/var/safenet/config/’ et exécutez le script ‘safenet_config’. À l’invite shell, tapez :

    cd /var/safenet/config
    
    sh safenet_config
    <!--NeedCopy-->
    

    Ce script copie le fichier « Chrystoki.conf » dans le répertoire /etc/. Il génère également un lien symbolique ‘LibCryptoki2_64.so’ dans le répertoire ‘/usr/lib/’.

    b) Créer et transférer un certificat et une clé entre l’ADC et le HSM Thales Luna.

    Pour communiquer en toute sécurité, l’ADC et le HSM doivent échanger des certificats. Créez un certificat et une clé sur ADC, puis transférez-le au HSM. Copiez le certificat HSM dans ADC.

    i) Changer le répertoire en /var/safenet/safenet/lunaclient/bin.

    ii) Créer un certificat sur ADC. À l’invite shell, tapez :

    ./vtl createCert -n <ip address of Citrix ADC>
    <!--NeedCopy-->
    

    Cette commande ajoute également le chemin d’accès du certificat et de la clé au fichier « /etc/Chrystoki.conf ».

    iii) Copier ce certificat au HSM. À l’invite shell, tapez :

    scp /var/safenet/safenet/lunaclient/cert/client/<ip address of NS>.pem <LunaSA_HSM account>@<IP address of Luna SA>
    <!--NeedCopy-->
    

    iv) Copiez le certificat HSM dans Citrix ADC. À l’invite shell, tapez :

    scp <HSM account>@<HSM IP>:server.pem  /var/safenet/safenet/lunaclient/server_<HSM ip>.pem
    <!--NeedCopy-->
    
  3. Enregistrez Citrix ADC en tant que client et attribuez-lui une partition sur le HSM Thales Luna.

    Connectez-vous au HSM et créez un client. Entrez le NSIP comme adresse IP du client. Cette adresse doit être l’adresse IP de l’ADC à partir duquel vous avez transféré le certificat au HSM. Une fois que le client est correctement enregistré, affectez-lui une partition. Exécutez les commandes suivantes sur le HSM.

    a) Utilisez SSH pour vous connecter au HSM Thales Luna et entrez le mot de passe.

    b) Enregistrez Citrix ADC sur le HSM Thales Luna. Le client est créé sur le HSM. L’adresse IP est l’adresse IP du client. Autrement dit, l’adresse du NSIP.

    À l’invite, tapez :

    client register –client <client name> -ip <Citrix ADC ip>
    <!--NeedCopy-->
    

    c) Attribuez au client une partition à partir de la liste des partitions. Pour afficher les partitions disponibles, tapez :

    <luna_sh> partition list
    <!--NeedCopy-->
    

    Attribuez une partition à partir de cette liste. Type :

    <lunash:> client assignPartition -client <Client Name> -par <Partition Name>
    <!--NeedCopy-->
    
  4. Enregistrez le HSM avec son certificat sur le Citrix ADC.

    Dans l’ADC, changez le répertoire par « /var/safenet/safenet/lunaclient/bin » et, à l’invite du shell, tapez :

    ./vtl addserver -n <IP addr of HSM> -c /var/safenet/safenet/lunaclient/server_<HSM_IP>.pem
    <!--NeedCopy-->
    

    Pour supprimer le HSM inscrit sur ADC, tapez :

    ./vtl deleteServer -n <HSM IP> -c <cert path>
    <!--NeedCopy-->
    

    Pour répertorier les serveurs HSM configurés sur ADC, tapez :

    ./vtl listServer
    <!--NeedCopy-->
    

    Remarque :

    Avant de supprimer le HSM à l’aide vtl, assurez-vous que toutes les clés de ce HSM sont supprimées manuellement de l’appliance. Les clés HSM ne peuvent pas être supprimées après la suppression du serveur HSM.

  5. Vérifiez la connectivité des liens d’approbation réseau (NTL) entre ADC et le HSM. À l’invite shell, tapez :

    ./vtl verify
    <!--NeedCopy-->
    

    Si la vérification échoue, passez en revue toutes les étapes. Les erreurs sont dues à une adresse IP incorrecte dans les certificats clients.

  6. Enregistrez la configuration.

    Les étapes précédentes mettent à jour le fichier de configuration « /etc/Chrystoki.conf ». Ce fichier est supprimé au démarrage de l’ADC. Copiez la configuration dans le fichier de configuration par défaut, qui est utilisé lors du redémarrage d’un ADC.

    À l’invite shell, tapez :

    root@ns# cp /etc/Chrystoki.conf /var/safenet/config/
    <!--NeedCopy-->
    

    La pratique recommandée consiste à exécuter cette commande chaque fois qu’il y a une modification de la configuration associée à Thales Luna.

  7. Démarrez le processus de passerelle Thales Luna.

    À l’invite shell, tapez :

    sh /var/safenet/gateway/start_safenet_gw
    <!--NeedCopy-->
    
  8. Configurez le démarrage automatique du démon de Gateway au démarrage.

    Créez le fichier « safenet_is_enrolled », qui indique que Thales Luna HSM est configuré sur cet ADC. Chaque fois que ADC redémarre et que ce fichier est trouvé, la Gateway est automatiquement démarrée.

    À l’invite shell, tapez :

    touch /var/safenet/safenet_is_enrolled
    <!--NeedCopy-->
    
Configurer un client Thales Luna sur ADC