Citrix ADC

ADC の高可用性セットアップで Thales Luna HSM を構成する

Thales Luna HSM をハイアベイラビリティ(HA)に設定することで、いずれかのデバイスをすべて使用できない場合でも、サービスが中断されないようにします。HA 設定では、各 HSM はアクティブ-アクティブモードで HA グループに加入します。HA セットアップの Thales Luna HSM は、すべてのグループメンバーのロードバランシングを提供し、パフォーマンスと応答時間を向上させながら、高可用性サービスを保証します。詳細については、Thales Luna のセールスおよびサポートにお問い合わせください。

前提条件:

  • 最低 2 台のThales Luna HSM デバイス。HA グループ内のすべてのデバイスには、PED(信頼できるパス)認証またはパスワード認証が必要です。HA グループでの信頼できるパス認証とパスワード認証の組み合わせはサポートされていません。
  • ラベル(名前)が異なる場合でも、各 HSM デバイスのパーティションには同じパスワードが必要です。
  • HA内のすべてのパーティションをクライアント(Citrix ADCアプライアンス)に割り当てる必要があります。

ADC での Thales Luna クライアントの設定の説明に従って、ADC で Thales Luna クライアントを構成した後、次の手順を実行して HA で Thales Luna HSM を設定します。

  1. Citrix ADC のシェルプロンプトで、lunacm(/usr/safenet/lunaclient/bin)を起動します。

    例:

    root@ns# cd /var/safenet/safenet/lunaclient/bin/
    
    root@ns# ./lunacm
    <!--NeedCopy-->
    
  2. パーティションのスロット ID を識別します。使用可能なスロット(パーティション)を一覧表示するには、次のように入力します。

    lunacm:> slot list
    <!--NeedCopy-->
    

    例:

        Slot Id ->              0
        HSM Label ->            trinity-p1
        HSM Serial Number ->    481681014
        HSM Model ->            LunaSA 6.2.1
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
        Slot Id ->              1
        HSM Label ->            trinity-p2
        HSM Serial Number ->    481681018
        HSM Model ->            LunaSA 6.2.1
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
         Slot Id ->              2
         HSM Label ->            neo-p1
         HSM Serial Number ->    487298014
         HSM Model ->            LunaSA 6.2.1
         HSM Firmware Version -> 6.10.9
         HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
        Slot Id ->              3
        HSM Label ->            neo-p2
        HSM Serial Number ->    487298018
        HSM Model ->            LunaSA 6.2.1
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
        Slot Id ->              7
        HSM Label ->            hsmha
        HSM Serial Number ->    1481681014
        HSM Model ->            LunaVirtual
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna Virtual HSM (PED) Signing With Cloning Mode
        HSM Status ->           N/A - HA Group
    
        Slot Id ->              8
        HSM Label ->            newha
        HSM Serial Number ->    1481681018
        HSM Model ->            LunaVirtual
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna Virtual HSM (PED) Signing With Cloning Mode
        HSM Status ->           N/A - HA Group
    
        Current Slot Id: 0
    <!--NeedCopy-->
    
  3. HA グループを作成します。最初のパーティションは、プライマリパーティションと呼ばれます。2 つ以上のセカンダリパーティションを追加できます。

    lunacm:> hagroup createGroup -slot <slot number of primary partition> -label <group name> -password <partition password >
    
    lunacm:> hagroup createGroup -slot 1 -label gp12 -password ******
    <!--NeedCopy-->
    
  4. セカンダリメンバー(HSM パーティション)を追加します。HA グループに追加するすべてのパーティションに対して、この手順を繰り返します。

    lunacm:> hagroup addMember -slot <slot number of secondary partition to be added> -group <group name> -password <partition password>
    <!--NeedCopy-->
    

    コード:

    lunacm:> hagroup addMember -slot 2 -group gp12 -password ******
    <!--NeedCopy-->
    
  5. HA 専用モードを有効にします。

    lunacm:> hagroup HAOnly –enable
    <!--NeedCopy-->
    
  6. アクティブリカバリモードを有効にします。

    lunacm:.>hagroup recoveryMode –mode active
    <!--NeedCopy-->
    
  7. 自動リカバリ間隔を秒単位で設定します。デフォルト値は60秒です。

    lunacm:.>hagroup interval –interval <value in seconds>
    <!--NeedCopy-->
    

    例:

    lunacm:.>hagroup interval –interval 120
    <!--NeedCopy-->
    
  8. リカバリの再試行回数を設定します。値が-1 の場合、再試行回数は無限になります。

    lunacm:> hagroup retry -count <xxx>
    <!--NeedCopy-->
    

    例:

    lunacm:> hagroup retry -count 2
    <!--NeedCopy-->
    
  9. 設定をChrystoki.confから SafeNet 設定ディレクトリにコピーします。

    cp /etc/Chrystoki.conf /var/safenet/config/
    <!--NeedCopy-->
    
  10. ADCアプライアンスを再起動します。

    reboot
    <!--NeedCopy-->
    

HA で Thales Luna HSM を設定した後、 ADC での詳細設定については、その他の ADC の設定を参照してください。

ADC の高可用性セットアップで Thales Luna HSM を構成する