Citrix ADC

ADC で SafeNet クライアントを構成する

SafeNet HSM を設定し、必要なパーティションを作成したら、クライアントを作成してパーティションに割り当てる必要があります。まず、Citrix ADC で SafeNet クライアントを構成し、SafeNet クライアントと SafeNet HSM 間のネットワーク信頼リンク (NTL) を設定します。設定例については、付録を参照してください。

  1. ディレクトリを /var/safenet に変更し、Safenet クライアントをインストールします。シェルプロンプトで、次のように入力します。

    cd /var/safenet
    

    Safenet クライアントバージョン 6.0.0 をインストールするには、次のように入力します。

    install_client.sh -v 600
    

    Safenet クライアントバージョン 6.2.2 をインストールするには、次のように入力します。

    install_client.sh -v 622
    

    Safenet クライアントバージョン 7.2.2 をインストールするには、次のように入力します。

    install_client.sh -v 722
    
  2. SafeNetクライアント (ADC) と HSM の間で NTL を設定します。

    ‘/var/safenet/’ディレクトリを作成したら、ADCで次のタスクを実行します。

    a)ディレクトリを ‘/var/safenet/config/’に変更し、’safenet_config’スクリプトを実行します。シェルプロンプトで、次のように入力します。

    cd /var/safenet/config
    
    sh safenet_config
    

    このスクリプトは、「Chrystoki.conf」ファイルを /etc/ ディレクトリにコピーします。また、’/usr/lib/’ ディレクトリにシンボリックリンク ‘libCryptoki2_64.so’ を生成します。

    b) ADC と SafeNet HSM の間で証明書とキーを作成して転送します。

    安全に通信するには、ADCとHSMが証明書を交換する必要があります。ADC で証明書とキーを作成し、HSM に転送します。HSM 証明書を ADC にコピーします。

    i) ディレクトリを /var/safet/safenet/lunaclient/bin に変更します。

    ii) ADCに証明書を作成します。シェルプロンプトで、次のように入力します。

    ./vtl createCert -n <ip address of Citrix ADC>
    

    このコマンドは、「/etc/Chrystoki.conf」ファイルに証明書とキーのパスを追加します。

    iii) この証明書を HSM にコピーします。シェルプロンプトで、次のように入力します。

    scp /var/safenet/safenet/lunaclient/cert/client/<ip address of NS>.pem <LunaSA_HSM account>@<IP address of Luna SA>
    

    iv)HSM証明書をCitrix ADCにコピーします。シェルプロンプトで、次のように入力します。

    scp <HSM account>@<HSM IP>:server.pem  /var/safenet/safenet/lunaclient/server_<HSM ip>.pem
    
  3. Citrix ADC をクライアントとして登録し、SafeNet HSM にパーティションを割り当てます。

    HSM にログオンし、クライアントを作成します。NSIPをクライアントIPとして入力します。これは、証明書を HSM に転送した ADC の IP アドレスである必要があります。クライアントが正常に登録されたら、そのクライアントにパーティションを割り当てます。HSM で次のコマンドを実行します。

    a) SSH を使用して SafeNet HSM に接続し、パスワードを入力します。

    b) SafeNet HSM に Citrix ADC を登録します。クライアントは HSM 上に作成されます。IP アドレスは、クライアントの IP アドレスです。つまり、NSIP アドレスです。

    プロンプトで、次のように入力します。

    client register –client <client name> -ip <Citrix ADC ip>
    

    c) パーティションリストからクライアントにパーティションを割り当てます。使用可能なパーティションを表示するには、次のように入力します。

    <luna_sh> partition list
    

    このリストからパーティションを割り当てます。種類:

    <lunash:> client assignPartition -client <Client Name> -par <Partition Name>
    
  4. Citrix ADC上の証明書を使用してHSMを登録します。

    ADCで、ディレクトリを「/var/safenet/safenet/lunaclient/bin」に変更し、シェルプロンプトで次のように入力します。

    ./vtl addserver -n <IP addr of HSM> -c /var/safenet/safenet/lunaclient/server_<HSM_IP>.pem
    

    ADC に登録されている HSM を削除するには、次のように入力します。

    ./vtl deleteServer -n <HSM IP> -c <cert path>
    

    ADC上で構成されているHSMサーバを一覧表示するには、次のように入力します。

    ./vtl listServer
    

    注:

    vtl を使用して HSM を削除する前に、その HSM のすべてのキーがアプライアンスから手動で削除されていることを確認します。HSM サーバの削除後は、HSM キーを削除できません。

  5. ADC と HSM の間のネットワーク信頼リンク (NTL) の接続を確認します。シェルプロンプトで、次のように入力します。

    ./vtl verify
    

    検証に失敗した場合は、すべての手順を確認します。エラーは通常、クライアント証明書の IP アドレスが正しくないことが原因です。

  6. 構成を保存します。

    上記の手順では、「/etc/Chrystoki.conf」設定ファイルを更新します。このファイルは、ADC起動時に削除されます。構成をデフォルトの構成ファイルにコピーします。このファイルは、ADCの再起動時に使用されます。

    シェルプロンプトで、次のように入力します。

    root@ns# cp /etc/Chrystoki.conf /var/safenet/config/
    

    SafeNet 関連の設定が変更されるたびに、このコマンドを実行することをお勧めします。

  7. SafeNet Gateway プロセスを開始します。

    シェルプロンプトで、次のように入力します。

    sh /var/safenet/gateway/start_safenet_gw
    
  8. 起動時にGateway デーモンの自動起動を設定します。

    「safenet_is_enrolled」ファイルを作成します。このファイルは、この ADC で SafeNet HSM が設定されていることを示しています。ADCが再起動し、このファイルが見つかるたびに、Gateway が自動的に起動します。

    シェルプロンプトで、次のように入力します。

    touch /var/safenet/safenet_is_enrolled
    

ADC で SafeNet クライアントを構成する