Citrix ADC

在 ADC 的高可用性设置中配置 Safenet HSM

January 7, 2021

贡献者:

在高可用性 (HA) 中配置 Safenet HSM 可确保即使除其中一个设备之外的所有设备都不可用，也能确保不间断的服务。在 HA 设置中，每个 HSM 以主动-主动模式加入 HA 组。HA 设置中的 SafeNet HSM 可为所有组成员提供负载平衡，以提高性能和响应时间，同时提供高可用性服务的保证。有关更多信息，请联系 SafeNet 销售和支持部门。

必备条件：

至少两台 SafeNet HSM 设备。HA 组中的所有设备必须具有 PED（受信任路径）身份验证或密码身份验证。不支持 HA 组中的受信任路径身份验证和密码身份验证的组合。
即使标签（名称）不同，每个 HSM 设备上的分区也必须具有相同的密码。
HA 中的所有分区必须分配给客户端（Citrix ADC 设备）。

如中所述在 ADC 上配置 SafeNet 客户端后在 ADC 上配置 SafeNet 客户端，请执行以下步骤以在 HA 中配置 Safenet HSM：

在 Citrix ADC shell 提示符下，启动 lunacm （/usr/safenet/lunaclient/bin）

示例：
```
root@ns# cd /var/safenet/safenet/lunaclient/bin/

root@ns# ./lunacm
```

标识分区的插槽 ID。要列出可用插槽（分区），请键入：

lunacm:> slot list

示例：

    Slot Id ->              0
    HSM Label ->            trinity-p1
    HSM Serial Number ->    481681014
    HSM Model ->            LunaSA 6.2.1
    HSM Firmware Version -> 6.10.9
    HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
    HSM Status ->           OK

    Slot Id ->              1
    HSM Label ->            trinity-p2
    HSM Serial Number ->    481681018
    HSM Model ->            LunaSA 6.2.1
    HSM Firmware Version -> 6.10.9
    HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
    HSM Status ->           OK

     Slot Id ->              2
     HSM Label ->            neo-p1
     HSM Serial Number ->    487298014
     HSM Model ->            LunaSA 6.2.1
     HSM Firmware Version -> 6.10.9
     HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
    HSM Status ->           OK

    Slot Id ->              3
    HSM Label ->            neo-p2
    HSM Serial Number ->    487298018
    HSM Model ->            LunaSA 6.2.1
    HSM Firmware Version -> 6.10.9
    HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
    HSM Status ->           OK

    Slot Id ->              7
    HSM Label ->            hsmha
    HSM Serial Number ->    1481681014
    HSM Model ->            LunaVirtual
    HSM Firmware Version -> 6.10.9
    HSM Configuration ->    Luna Virtual HSM (PED) Signing With Cloning Mode
    HSM Status ->           N/A - HA Group

    Slot Id ->              8
    HSM Label ->            newha
    HSM Serial Number ->    1481681018
    HSM Model ->            LunaVirtual
    HSM Firmware Version -> 6.10.9
    HSM Configuration ->    Luna Virtual HSM (PED) Signing With Cloning Mode
    HSM Status ->           N/A - HA Group

    Current Slot Id: 0

创建 HA 组。第一个分区称为主分区。您可以添加多个辅助分区。

lunacm:> hagroup createGroup -slot <slot number of primary partition> -label <group name> -password <partition password >

lunacm:> hagroup createGroup -slot 1 -label gp12 -password ******

添加辅助成员（HSM 分区）。对要添加到 HA 组的所有分区重复此步骤。

lunacm:> hagroup addMember -slot <slot number of secondary partition to be added> -group <group name> -password <partition password>

代码：

lunacm:> hagroup addMember -slot 2 -group gp12 -password ******

启用仅 HA 模式。
```
lunacm:> hagroup HAOnly –enable
```

启用主动恢复模式。

lunacm:.>hagroup recoveryMode –mode active

设置自动恢复间隔时间（以秒为单位）。默认值为 60 秒。

lunacm:.>hagroup interval –interval <value in seconds>

示例：

lunacm:.>hagroup interval –interval 120

设置恢复重试计数。值为-1 允许无限次重试。

lunacm:> hagroup retry -count <xxx>

示例：

lunacm:> hagroup retry -count 2

将配置从复制 Chrystoki.conf 到 SafENet 配置目录。
```
cp /etc/Chrystoki.conf /var/safenet/config/
```
重新启动 ADC 设备。
```
reboot
```

在 HA 中配置 SafeNet HSM 后，请参阅其他 ADC 配置进一步了解 ADC 上配置。

本内容的正式版本为英文版。部分 Citrix 文档内容采用了机器翻译，仅供您参考。Citrix 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Citrix 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Citrix 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Citrix 不承担任何责任。

在 ADC 的高可用性设置中配置 Safenet HSM

January 7, 2021

贡献者:

January 7, 2021

贡献者:

在 ADC 的高可用性设置中配置 Safenet HSM

本文中包含的内容