ADC

Configurer les HSM Thales Luna dans une configuration haute disponibilité sur ADC

La configuration des HSM Thales Luna en haute disponibilité (HA) garantit un service ininterrompu même si tous les appareils, sauf un, ne sont pas disponibles. Dans une configuration HA, chaque HSM rejoint un groupe HA en mode actif. Les HSM Thales Luna dans une configuration HA fournissent un équilibrage de charge de tous les membres du groupe afin d’augmenter les performances et le temps de réponse tout en garantissant un service haute disponibilité. Pour plus d’informations, contactez le service commercial et le support de Thales Luna.

Pré-requis :

  • Au moins deux appareils Thales Luna HSM. Tous les périphériques d’un groupe HA doivent avoir une authentification PED (chemin d’accès approuvé) ou une authentification par mot de passe. Une combinaison d’authentification par chemin sécurisé et d’authentification par mot de passe dans un groupe HA n’est pas prise en charge.
  • Les partitions de chaque périphérique HSM doivent avoir le même mot de passe même si l’étiquette (nom) est différente.
  • Toutes les partitions de HA doivent être attribuées au client (appliance NetScaler).

Après avoir configuré un client Thales Luna sur ADC, comme décrit dans Configurer un client Thales Luna sur ADC, effectuez les étapes suivantes pour configurer les HSM Thales Luna dans HA :

  1. Sur l’invite du shell NetScaler, lancez lunacm (/usr/safenet/lunaclient/bin)

    Exemple :

    root@ns# cd /var/safenet/safenet/lunaclient/bin/
    
    root@ns# ./lunacm
    <!--NeedCopy-->
    
  2. Identifiez les ID d’emplacement des partitions. Pour répertorier les emplacements (partitions) disponibles, tapez :

    lunacm:> slot list
    <!--NeedCopy-->
    

    Exemple :

        Slot Id ->              0
        HSM Label ->            trinity-p1
        HSM Serial Number ->    481681014
        HSM Model ->            LunaSA 6.2.1
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
        Slot Id ->              1
        HSM Label ->            trinity-p2
        HSM Serial Number ->    481681018
        HSM Model ->            LunaSA 6.2.1
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
         Slot Id ->              2
         HSM Label ->            neo-p1
         HSM Serial Number ->    487298014
         HSM Model ->            LunaSA 6.2.1
         HSM Firmware Version -> 6.10.9
         HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
        Slot Id ->              3
        HSM Label ->            neo-p2
        HSM Serial Number ->    487298018
        HSM Model ->            LunaSA 6.2.1
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
        Slot Id ->              7
        HSM Label ->            hsmha
        HSM Serial Number ->    1481681014
        HSM Model ->            LunaVirtual
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna Virtual HSM (PED) Signing With Cloning Mode
        HSM Status ->           N/A - HA Group
    
        Slot Id ->              8
        HSM Label ->            newha
        HSM Serial Number ->    1481681018
        HSM Model ->            LunaVirtual
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna Virtual HSM (PED) Signing With Cloning Mode
        HSM Status ->           N/A - HA Group
    
        Current Slot Id: 0
    <!--NeedCopy-->
    
  3. Créez le groupe HA. La première partition est appelée partition principale. Vous pouvez ajouter plusieurs partitions secondaires.

    lunacm:> hagroup createGroup -slot <slot number of primary partition> -label <group name> -password <partition password >
    
    lunacm:> hagroup createGroup -slot 1 -label gp12 -password ******
    <!--NeedCopy-->
    
  4. Ajoutez les membres secondaires (partitions HSM). Répétez cette étape pour toutes les partitions à ajouter au groupe HA.

    lunacm:> hagroup addMember -slot <slot number of secondary partition to be added> -group <group name> -password <partition password>
    <!--NeedCopy-->
    

    Code :

    lunacm:> hagroup addMember -slot 2 -group gp12 -password ******
    <!--NeedCopy-->
    
  5. Activez le mode HA uniquement.

    lunacm:> hagroup HAOnly –enable
    <!--NeedCopy-->
    
  6. Activez le mode de restauration actif.

    lunacm:.>hagroup recoveryMode –mode active
    <!--NeedCopy-->
    
  7. Définissez l’intervalle de restauration automatique (en secondes). Le délai par défaut est de 60 secondes.

    lunacm:.>hagroup interval –interval <value in seconds>
    <!--NeedCopy-->
    

    Exemple :

    lunacm:.>hagroup interval –interval 120
    <!--NeedCopy-->
    
  8. Définissez le nombre de tentatives de restauration. Une valeur de -1 permet un nombre infini de tentatives.

    lunacm:> hagroup retry -count <xxx>
    <!--NeedCopy-->
    

    Exemple :

    lunacm:> hagroup retry -count 2
    <!--NeedCopy-->
    
  9. Copiez la configuration depuis le répertoire Chrystoki.conf de configuration SafeNet.

    cp /etc/Chrystoki.conf /var/safenet/config/
    <!--NeedCopy-->
    
  10. Redémarrez l’appliance ADC.

    reboot
    <!--NeedCopy-->
    

Après avoir configuré Thales Luna HSM dans HA, reportez-vous à la section Autre configuration ADC pour plus de configuration sur ADC.

Configurer les HSM Thales Luna dans une configuration haute disponibilité sur ADC

Dans cet article