在 ADC 上配置 SafeNet 客户端
配置了 SafeNet HSM 并创建了所需的分区后,您必须创建客户端并将其分配给分区。首先在 Citrix ADC 上配置 SafeNet 客户端,然后在 SafeNet 客户端和 SafeNet HSM 之间设置网络信任链接 (NTL)。示例配置在中给出附录。
-
将目录更改为 /var/safenet 并安装 Safenet 客户端。在 shell 提示符处,键入:
cd /var/safenet要安装 Safenet 客户端版本 6.0.0,请键入:
install_client.sh -v 600要安装 SafENet 客户端版本 6.2.2,请键入:
install_client.sh -v 622要安装 Safenet 客户端版本 7.2.2,请键入:
install_client.sh -v 722 -
配置 Safenet 客户端 (ADC) 和 HSM 之间的 NTL。
创建 /var/safenet/ 目录后,在 ADC 上执行以下任务。
a) 将目录更改为 ‘/var/safenet/config/’ 并运行 ‘safenet_config’ 脚本。在 shell 提示符处,键入:
cd /var/safenet/config sh safenet_config这个脚本将“Chrystoki.conf”文件复制到 /etc/ 目录中。它还会在“/usr/lib/”目录中生成一个符号链接“libCryptoki2_64.so”。
b) 在 ADC 和 SafeNet HSM 之间创建并传输证书和密钥。
为了安全通信,ADC 和 HSM 必须交换证书。在 ADC 上创建证书和密钥,然后将其传输到 HSM。将 HSM 证书复制到 ADC。
i)将目录更改为 /var/safenet/safenet/lunaclient/bin。
ii) 在 ADC 上创建证书。在 shell 提示符处,键入:
./vtl createCert -n <ip address of Citrix ADC>此命令还将证书和密钥路径添加到“/ETC/Chrystoki.conf”文件中。
iii) 将此证书复制到 HSM。在 shell 提示符处,键入:
scp /var/safenet/safenet/lunaclient/cert/client/<ip address of NS>.pem <LunaSA_HSM account>@<IP address of Luna SA>iv) 将 HSM 证书复制到 Citrix ADC。在 shell 提示符处,键入:
scp <HSM account>@<HSM IP>:server.pem /var/safenet/safenet/lunaclient/server_<HSM ip>.pem -
将 Citrix ADC 注册为客户端,并在 SafeNet HSM 上为其分配一个分区。
登录到 HSM 并创建客户端。输入 NSIP 作为客户端 IP。此地址必须是您将证书传输到 HSM 的 ADC 的 IP 地址。成功注册客户端后,为其分配一个分区。在 HSM 上运行以下命令。
a) 使用 SSH 连接到 SafeNet HSM 并输入密码。
b) 在 SafeNet HSM 上注册 Citrix ADC。客户端是在 HSM 上创建的。IP 地址是客户端的 IP 地址。也就是说,NSIP 地址。
在提示符处,键入:
client register –client <client name> -ip <Citrix ADC ip>c)从分区列表中为客户端分配一个分区。要查看可用的分区,请键入:
<luna_sh> partition list从此列表中分配一个分区。类型:
<lunash:> client assignPartition -client <Client Name> -par <Partition Name> -
在 Citrix ADC 上使用其证书注册 HSM。
在 ADC 上,将目录更改为 “/var/safenet/lunaclient/bin”,然后在 shell 提示符下键入:
./vtl addserver -n <IP addr of HSM> -c /var/safenet/safenet/lunaclient/server_<HSM_IP>.pem要移除在 ADC 上注册的 HSM,请键入:
./vtl deleteServer -n <HSM IP> -c <cert path>要列出在 ADC 上配置的 HSM 服务器,请键入:
./vtl listServer注意:
使用删除 HSM 之前
vtl,请确保从设备中手动删除该 HSM 的所有密钥。HSM 服务器删除后,无法删除 HSM 密钥。 -
验证 ADC 和 HSM 之间的网络信任链路 (NTL) 连接。在 shell 提示符处,键入:
./vtl verify如果验证失败,请查看所有步骤。错误是由于客户端证书中的 IP 地址不正确。
-
保存配置。
上述步骤将更新 “/etC/chrystoki.conf” 配置文件。当 ADC 启动时,此文件将被删除。将配置复制到重新启动 ADC 时使用的默认配置文件。
在 shell 提示符处,键入:
root@ns# cp /etc/Chrystoki.conf /var/safenet/config/建议的做法是每次对与 SafeNet 相关的配置进行更改时运行此命令。
-
启动 SafeNet 网关进程。
在 shell 提示符处,键入:
sh /var/safenet/gateway/start_safenet_gw -
在引导时配置 Gateway 关守护进程的自动启动。
创建 safenet_is_enrolled 文件,该文件指示已在此 ADC 上配置了 SafeNet HSM。无论何时 ADC 重新启动并找到此文件,Gateway 关都会自动启动。
在 shell 提示符处,键入:
touch /var/safenet/safenet_is_enrolled