In SSL 卸载与加速
In Citrix ADC 13.0
In Citrix ADC
In All products
产品文档
In SSL 卸载与加速
In Citrix ADC 13.0
In Citrix ADC
In All products
Citrix ADC
Current Release 12.1 11.1
查看 PDF

在 ADC 上配置 SafeNet 客户端

January 7, 2021
贡献者: 
C

配置了 SafeNet HSM 并创建了所需的分区后,您必须创建客户端并将其分配给分区。首先在 Citrix ADC 上配置 SafeNet 客户端,然后在 SafeNet 客户端和 SafeNet HSM 之间设置网络信任链接 (NTL)。示例配置在中给出附录

  1. 将目录更改为 /var/safenet 并安装 Safenet 客户端。在 shell 提示符处,键入:

    cd /var/safenet

    要安装 Safenet 客户端版本 6.0.0,请键入:

    install_client.sh -v 600

    要安装 SafENet 客户端版本 6.2.2,请键入:

    install_client.sh -v 622

    要安装 Safenet 客户端版本 7.2.2,请键入:

    install_client.sh -v 722

  2. 配置 Safenet 客户端 (ADC) 和 HSM 之间的 NTL。

    创建 /var/safenet/ 目录后,在 ADC 上执行以下任务。

    a) 将目录更改为 ‘/var/safenet/config/’ 并运行 ‘safenet_config’ 脚本。在 shell 提示符处,键入:

    cd /var/safenet/config

sh safenet_config

    这个脚本将“Chrystoki.conf”文件复制到 /etc/ 目录中。它还会在“/usr/lib/”目录中生成一个符号链接“libCryptoki2_64.so”。

    b) 在 ADC 和 SafeNet HSM 之间创建并传输证书和密钥。

    为了安全通信,ADC 和 HSM 必须交换证书。在 ADC 上创建证书和密钥,然后将其传输到 HSM。将 HSM 证书复制到 ADC。

    i)将目录更改为 /var/safenet/safenet/lunaclient/bin。

    ii) 在 ADC 上创建证书。在 shell 提示符处,键入:

    ./vtl createCert -n <ip address of Citrix ADC>

    此命令还将证书和密钥路径添加到“/ETC/Chrystoki.conf”文件中。

    iii) 将此证书复制到 HSM。在 shell 提示符处,键入:

    scp /var/safenet/safenet/lunaclient/cert/client/<ip address of NS>.pem <LunaSA_HSM account>@<IP address of Luna SA>

    iv) 将 HSM 证书复制到 Citrix ADC。在 shell 提示符处,键入:

    scp <HSM account>@<HSM IP>:server.pem  /var/safenet/safenet/lunaclient/server_<HSM ip>.pem

  3. 将 Citrix ADC 注册为客户端,并在 SafeNet HSM 上为其分配一个分区。

    登录到 HSM 并创建客户端。输入 NSIP 作为客户端 IP。此地址必须是您将证书传输到 HSM 的 ADC 的 IP 地址。成功注册客户端后,为其分配一个分区。在 HSM 上运行以下命令。

    a) 使用 SSH 连接到 SafeNet HSM 并输入密码。

    b) 在 SafeNet HSM 上注册 Citrix ADC。客户端是在 HSM 上创建的。IP 地址是客户端的 IP 地址。也就是说,NSIP 地址。

    在提示符处,键入:

    client register –client <client name> -ip <Citrix ADC ip>

    c)从分区列表中为客户端分配一个分区。要查看可用的分区,请键入:

    <luna_sh> partition list

    从此列表中分配一个分区。类型:

    <lunash:> client assignPartition -client <Client Name> -par <Partition Name>

  4. 在 Citrix ADC 上使用其证书注册 HSM。

    在 ADC 上,将目录更改为 “/var/safenet/lunaclient/bin”,然后在 shell 提示符下键入:

    ./vtl addserver -n <IP addr of HSM> -c /var/safenet/safenet/lunaclient/server_<HSM_IP>.pem

    要移除在 ADC 上注册的 HSM,请键入:

    ./vtl deleteServer -n <HSM IP> -c <cert path>

    要列出在 ADC 上配置的 HSM 服务器,请键入:

    ./vtl listServer

    注意:

    使用删除 HSM 之前 vtl,请确保从设备中手动删除该 HSM 的所有密钥。HSM 服务器删除后,无法删除 HSM 密钥。

  5. 验证 ADC 和 HSM 之间的网络信任链路 (NTL) 连接。在 shell 提示符处,键入:

    ./vtl verify

    如果验证失败,请查看所有步骤。错误是由于客户端证书中的 IP 地址不正确。

  6. 保存配置。

    上述步骤将更新 “/etC/chrystoki.conf” 配置文件。当 ADC 启动时,此文件将被删除。将配置复制到重新启动 ADC 时使用的默认配置文件。

    在 shell 提示符处,键入:

    root@ns# cp /etc/Chrystoki.conf /var/safenet/config/

    建议的做法是每次对与 SafeNet 相关的配置进行更改时运行此命令。

  7. 启动 SafeNet 网关进程。

    在 shell 提示符处,键入:

    sh /var/safenet/gateway/start_safenet_gw

  8. 在引导时配置 Gateway 关守护进程的自动启动。

    创建 safenet_is_enrolled 文件,该文件指示已在此 ADC 上配置了 SafeNet HSM。无论何时 ADC 重新启动并找到此文件,Gateway 关都会自动启动。

    在 shell 提示符处,键入:

    touch /var/safenet/safenet_is_enrolled
在 ADC 上配置 SafeNet 客户端
January 7, 2021
贡献者: 
C
January 7, 2021
贡献者: 
C

本文中包含的内容

站点反馈 | 隐私和法律条款 | Cookie 首选项 | Consent settings
© 1999- Citrix Systems, Inc. All rights reserved.