ADC

Thales Luna-Clients auf ADC konfigurieren

Nachdem Sie das Thales Luna HSM konfiguriert und die erforderlichen Partitionen erstellt haben, müssen Sie Clients erstellen und sie Partitionen zuweisen. Konfigurieren Sie zunächst die Thales Luna-Clients auf dem NetScaler und richten Sie die Netzwerkvertrauensverbindungen (NTLs) zwischen den Thales Luna-Clients und dem Thales Luna HSM ein. Eine Beispielkonfiguration ist im Anhangangegeben.

Hinweis:

Wenn Sie ein Upgrade auf die Softwareversion 13.1 durchführen, müssen Sie den Thales Luna Client Version 10.3.0 installieren und die folgenden Schritte ausführen.

  1. Wechseln Sie das Verzeichnis in /var/safenet und installieren Sie den Thales Luna Client. Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

    cd /var/safenet
    <!--NeedCopy-->
    

    Um den Thales Luna-Client Version 6.0.0 zu installieren, geben Sie Folgendes ein:

    install_client.sh -v 600
    <!--NeedCopy-->
    

    Um den Thales Luna Client Version 6.2.2 zu installieren, geben Sie Folgendes ein:

    install_client.sh -v 622
    <!--NeedCopy-->
    

    Um den Thales Luna Client Version 7.2.2 zu installieren, geben Sie Folgendes ein:

    install_client.sh -v 722
    <!--NeedCopy-->
    

    Um den Thales Luna Client Version 10.3.0 zu installieren, geben Sie Folgendes ein:

    install_client.sh -v 1030
    <!--NeedCopy-->
    
  2. Konfigurieren Sie die NTLs zwischen Thales Luna Client (ADC) und HSM.

    Nachdem das Verzeichnis ‘/var/safenet/’ erstellt wurde, führen Sie die folgenden Aufgaben auf dem ADC aus.

    a) Ändern Sie das Verzeichnis in ‘/var/safenet/config/’ und führen Sie das ‘safenet_config’-Skript aus. Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

    cd /var/safenet/config
    
    sh safenet_config
    <!--NeedCopy-->
    

    Dieses Skript kopiert die Datei “Chrystoki.conf” in das Verzeichnis /etc/. Es erzeugt auch einen symbolischen Link ‘libCryptoki2_64.so’ im Verzeichnis ‘/usr/lib/’.

    b) Erstellen und übertragen Sie ein Zertifikat und einen Schlüssel zwischen dem ADC und dem Thales Luna HSM.

    Um sicher kommunizieren zu können, müssen der ADC und HSM Zertifikate austauschen. Erstellen Sie ein Zertifikat und einen Schlüssel auf dem ADC und übertragen Sie es dann an das HSM. Kopieren Sie das HSM-Zertifikat in den ADC.

    i) Wechseln Sie in das Verzeichnis /var/safenet/safenet/lunaclient/bin.

    ii) Erstellen Sie ein Zertifikat auf dem ADC. Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

    ./vtl createCert -n <ip address of NetScaler>
    <!--NeedCopy-->
    

    Dieser Befehl fügt auch das Zertifikat und den Schlüsselpfad zur Datei “/etc/Chrystoki.conf” hinzu.

    iii) Kopieren Sie dieses Zertifikat in das HSM. Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

    scp /var/safenet/safenet/lunaclient/cert/client/<ip address of NS>.pem <LunaSA_HSM account>@<IP address of Luna SA>
    <!--NeedCopy-->
    

    iv) Kopieren Sie das HSM-Zertifikat in den NetScaler. Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

    scp <HSM account>@<HSM IP>:server.pem  /var/safenet/safenet/lunaclient/server_<HSM ip>.pem
    <!--NeedCopy-->
    
  3. Registrieren Sie den NetScaler als Client und weisen Sie ihm eine Partition auf dem Thales Luna HSM zu.

    Melden Sie sich beim HSM an und erstellen Sie einen Client. Geben Sie das NSIP als Client-IP ein. Diese Adresse muss die IP-Adresse des ADC sein, von dem Sie das Zertifikat an das HSM übertragen haben. Nachdem der Client erfolgreich registriert wurde, weisen Sie ihm eine Partition zu. Führen Sie die folgenden Befehle auf dem HSM aus.

    a) Verwenden Sie SSH, um eine Verbindung zum Thales Luna HSM herzustellen und geben Sie das Kennwort ein.

    b) Registrieren Sie den NetScaler im Thales Luna HSM. Der Client wird auf dem HSM angelegt. Die IP-Adresse ist die IP-Adresse des Clients. Das heißt, die NSIP-Adresse.

    Geben Sie an der Eingabeaufforderung Folgendes ein:

    client register –client <client name> -ip <NetScaler ip>
    <!--NeedCopy-->
    

    c) Weisen Sie dem Client eine Partition aus der Partitionsliste zu. Geben Sie Folgendes ein, um die verfügbaren Partitionen anzuzeigen:

    <luna_sh> partition list
    <!--NeedCopy-->
    

    Weisen Sie eine Partition aus dieser Liste zu. Typ:

    <lunash:> client assignPartition -client <Client Name> -par <Partition Name>
    <!--NeedCopy-->
    
  4. Registrieren Sie das HSM mit seinem Zertifikat auf dem NetScaler.

    Ändern Sie auf dem ADC das Verzeichnis in “/var/safenet/safenet/lunaclient/bin” und geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

    ./vtl addserver -n <IP addr of HSM> -c /var/safenet/safenet/lunaclient/server_<HSM_IP>.pem
    <!--NeedCopy-->
    

    Geben Sie Folgendes ein, um das HSM zu entfernen, das am ADC registriert ist:

    ./vtl deleteServer -n <HSM IP> -c <cert path>
    <!--NeedCopy-->
    

    Geben Sie Folgendes ein, um die auf dem ADC konfigurierten HSM-Server aufzulisten:

    ./vtl listServer
    <!--NeedCopy-->
    

    Hinweis:

    Stellen Sie vor dem Entfernen des HSM mit vtl sicher, dass alle Schlüssel für dieses HSM manuell von der Appliance entfernt wurden. HSM-Schlüssel können nicht gelöscht werden, nachdem der HSM-Server entfernt wurde.

  5. Überprüfen Sie die Netzwerk-Trustlinks (NTLs) -Konnektivität zwischen ADC und HSM. Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

    ./vtl verify
    <!--NeedCopy-->
    

    Wenn die Überprüfung fehlschlägt, überprüfen Sie alle Schritte. Fehler sind auf eine falsche IP-Adresse in den Client-Zertifikaten zurückzuführen.

  6. Speichern Sie die Konfiguration.

    Die vorherigen Schritte aktualisieren die “/etc/Chrystoki.conf” -Konfigurationsdatei. Diese Datei wird gelöscht, wenn der ADC gestartet wird. Kopieren Sie die Konfiguration in die Standardkonfigurationsdatei, die beim Neustart eines ADC verwendet wird.

    Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

    root@ns# cp /etc/Chrystoki.conf /var/safenet/config/
    <!--NeedCopy-->
    

    Es wird empfohlen, diesen Befehl jedes Mal auszuführen, wenn die Konfiguration im Zusammenhang mit Thales Luna geändert wird.

  7. Starten Sie den Thales Luna Gateway-Prozess.

    Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

    sh /var/safenet/gateway/start_safenet_gw
    <!--NeedCopy-->
    
  8. Konfigurieren Sie den automatischen Start des Gateway Daemons beim Booten.

    Erstellen Sie die Datei “safenet_is_enrolled”, die angibt, dass Thales Luna HSM auf diesem ADC konfiguriert ist. Wenn der ADC neu gestartet wird und diese Datei gefunden wird, wird das Gateway automatisch gestartet.

    Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

    touch /var/safenet/safenet_is_enrolled
    <!--NeedCopy-->
    
  9. Starten Sie die NetScaler-Appliance neu. Geben Sie an der Eingabeaufforderung Folgendes ein:

    reboot
    <!--NeedCopy-->
    
Thales Luna-Clients auf ADC konfigurieren

In diesem Artikel