ADC

在 ADC 上配置 Thales Luna 客户端

配置 Thales Luna HSM 并创建所需的分区之后,必须创建客户端并将其分配给分区。首先在 NetScaler 上配置 Thales Luna 客户端,然后在 Thales Luna 客户端和 Thales Luna HSM 之间设置网络信任链接 (NTL)。 附录中给出了一个示例配置。

注意

如果您升级到软件版本 14.1,则必须安装 Thales Luna 客户端 10.3.0 版并执行以下步骤。

  1. 将目录更改为 /var/safenet 并安装 Thales Luna 客户端。在 shell 提示符下,键入:

    cd /var/safenet
    <!--NeedCopy-->
    

    要安装 Thales Luna 客户端版本 6.0.0,请键入:

    install_client.sh -v 600
    <!--NeedCopy-->
    

    要安装 Thales Luna 客户端版本 6.2.2,请键入:

    install_client.sh -v 622
    <!--NeedCopy-->
    

    要安装 Thales Luna 客户端 7.2.2 版本,请键入:

    install_client.sh -v 722
    <!--NeedCopy-->
    

    要安装 Thales Luna 客户端 10.3.0 版本,请键入:

    install_client.sh -v 1030
    <!--NeedCopy-->
    
  2. 在 Thales Luna 客户端 (ADC) 和 HSM 之间配置 NTL。

    创建 /var/safenet/ 目录后,在 ADC 上执行以下任务。

    a) 将目录更改为 /var/safenet/config/,然后运行 safenet_config 脚本。在 shell 提示符下,键入:

    cd /var/safenet/config
    
    sh safenet_config
    <!--NeedCopy-->
    

    这个脚本将“Chrystoki.conf”文件复制到 /etc/ 目录中。它还会在“/usr/lib/”目录中生成一个符号链接“libCryptoki2_64.so”。

    b) 在 ADC 和 Thales Luna HSM 之间创建并转移证书和密钥。

    为了安全通信,ADC 和 HSM 必须交换证书。在 ADC 上创建证书和密钥,然后将其传输到 HSM。将 HSM 证书复制到 ADC。

    i) 将目录更改为 /var/safenet/safenet/lunaclient/bin。

    ii) 在 ADC 上创建证书。在 shell 提示符下,键入:

    ./vtl createCert -n <ip address of NetScaler>
    <!--NeedCopy-->
    

    此命令还会将证书和密钥路径添加到“/etc/Chrystoki.conf”文件中。

    iii) 将此证书复制到 HSM。在 shell 提示符下,键入:

    scp /var/safenet/safenet/lunaclient/cert/client/<ip address of NS>.pem <LunaSA_HSM account>@<IP address of Luna SA>
    <!--NeedCopy-->
    

    iv) 将 HSM 证书复制到 NetScaler。在 shell 提示符下,键入:

    scp <HSM account>@<HSM IP>:server.pem  /var/safenet/safenet/lunaclient/server_<HSM ip>.pem
    <!--NeedCopy-->
    
  3. 将 NetScaler 注册为客户端,然后在 Thales Luna HSM 上为其分配一个分区。

    登录到 HSM 并创建客户端。输入 NSIP 作为客户端 IP。此地址必须是将证书传输到 HSM 的 ADC 的 IP 地址。成功注册客户机后,为其分配一个分区。在 HSM 上运行以下命令。

    a) 使用 SSH 连接到 Thales Luna HSM 并输入密码。

    b) 在 Thales Luna HSM 上注册 NetScaler。客户端是在 HSM 上创建的。IP 地址是客户机的 IP 地址。也就是说,NSIP 地址。

    在提示符处,键入:

    client register –client <client name> -ip <NetScaler ip>
    <!--NeedCopy-->
    

    c) 从分区列表中为客户端分配一个分区。要查看可用分区,请键入:

    <luna_sh> partition list
    <!--NeedCopy-->
    

    从此列表中分配一个分区。类型:

    <lunash:> client assignPartition -client <Client Name> -par <Partition Name>
    <!--NeedCopy-->
    
  4. 在 NetScaler 上使用其证书注册 HSM。

    在 ADC 上,将目录更改为“/var/safenet/safenet/safenet/lunaclient/bin”,然后在外壳提示符下键入:

    ./vtl addserver -n <IP addr of HSM> -c /var/safenet/safenet/lunaclient/server_<HSM_IP>.pem
    <!--NeedCopy-->
    

    要删除在 ADC 上注册的 HSM,请键入以下内容:

    ./vtl deleteServer -n <HSM IP> -c <cert path>
    <!--NeedCopy-->
    

    要列出 ADC 上配置的 HSM 服务器,请键入以下内容:

    ./vtl listServer
    <!--NeedCopy-->
    

    注意:

    在使用 vtl 删除 HSM 之前,请确保已从设备中手动移除该 HSM 的所有密钥。删除 HSM 服务器后,无法删除 HSM 密钥。

  5. 验证 ADC 和 HSM 之间的网络信任链路 (NTL) 连接。在 shell 提示符下,键入:

    ./vtl verify
    <!--NeedCopy-->
    

    如果验证失败,请查看所有步骤。错误是由于客户端证书中的 IP 地址不正确造成的。

  6. 保存配置。

    前面的步骤更新了“/etc/chrystoki.conf”配置文件。此文件在 ADC 启动时被删除。将配置复制到默认配置文件,该文件在 ADC 重启时使用。

    在 shell 提示符下,键入:

    root@ns# cp /etc/Chrystoki.conf /var/safenet/config/
    <!--NeedCopy-->
    

    推荐的做法是每次更改 Thales Luna 相关配置时都运行此命令。

  7. 启动 Thales Luna 网关进程。

    在 shell 提示符下,键入:

    sh /var/safenet/gateway/start_safenet_gw
    <!--NeedCopy-->
    
  8. 在引导时配置 Gateway 关守护进程的自动启动。

    创建“safenet_is_已登记”文件,该文件表示在此 ADC 上配置了 Thales Luna HSM。无论何时 ADC 重新启动并找到此文件,Gateway 关都会自动启动。

    在 shell 提示符下,键入:

    touch /var/safenet/safenet_is_enrolled
    <!--NeedCopy-->
    
  9. 重新启动 NetScaler 设备。在命令提示符下,键入:

    reboot
    <!--NeedCopy-->
    
在 ADC 上配置 Thales Luna 客户端

在本文中