体系结构概述

作为 Citrix ADC-Thales 部署一部分的三个实体是 Thales nShield Connect 模块、远程文件服务器 (RFS) 和 Citrix ADC。

Thales nShield Connect 是一个网络连接的硬件安全模块。RFS 用于配置 HSM 并存储加密密钥文件。

硬服务器是 Thales 提供的专有守护进程,用于客户端 (ADC)、Thales HSM 和 RFS 之间的通信。它使用 IMPATH 安全通信协议。称为硬服务器 Gateway 关的网关守护进程用于 Citrix ADC 数据包引擎和硬服务器之间的通信。

注意: 本文档中可互换使用“Thales nShield Connect”、“Thales HSM”和“HSM”等术语。

下图说明了不同组件之间的交互作用。

Thales 体系结构概述

在典型部署中,RFS 用于安全地存储由 HSM 生成的密钥。生成密钥后,您可以将它们安全地传输到 ADC,然后使用 GUI 或命令行将密钥加载到 HSM。ADC 上的虚拟服务器使用 Thales 解密客户端密钥交换以完成 SSL 握手。之后,对 ADC 执行所有 SSL 操作。

注意:术语键和应用程序密钥令牌在本文档中可以互换使用。

下图说明了与 Thales HSM 的 SSL 握手中的数据包流。

图 1. 使用 Thales HSM 的 Citrix ADC 的 SSL 握手数据包流图

SSL 握手与 Thales

注意: ADC 和 HSM 之间的通信使用 Thales 专有通信协议,称为 IMPATH。

体系结构概述