ADC

Thales Luna HSMs in einem Hochverfügbarkeitssetup auf ADC konfigurieren

Die Konfiguration von Thales Luna HSMs in einer Hochverfügbarkeit (HA) gewährleistet einen unterbrechungsfreien Service, auch wenn alle, außer eines der Geräte, nicht verfügbar sind. In einem HA-Setup schließt sich jeder HSM im Aktiv-Aktiv-Modus einer HA-Gruppe an. Thales Luna HSMs in einem HA-Setup bieten einen Lastenausgleich aller Gruppenmitglieder, um die Leistung und Reaktionszeit zu erhöhen und gleichzeitig die Gewährleistung eines Hochverfügbarkeitsdienstes zu gewährleisten. Für weitere Informationen wenden Sie sich an den Verkauf und Support von Thales Luna.

Voraussetzungen:

  • Mindestens zwei Thales Luna HSM-Geräte. Alle Geräte in einer HA-Gruppe müssen entweder eine PED-Authentifizierung (vertrauenswürdiger Pfad) oder eine Kennwortauthentifizierung aufweisen. Eine Kombination aus Trusted Path Authentication und Passwortauthentifizierung in einer HA-Gruppe wird nicht unterstützt.
  • Partitionen auf jedem HSM-Gerät müssen dasselbe Passwort haben, auch wenn die Bezeichnung (Name) unterschiedlich ist.
  • Alle Partitionen in HA müssen dem Client zugewiesen werden (NetScaler Appliance).

Nachdem Sie einen Thales Luna-Client auf dem ADC konfiguriert haben, wie unter Konfigurieren eines Thales Luna-Clients auf dem ADCbeschrieben, führen Sie die folgenden Schritte aus, um Thales Luna HSMs in HA zu konfigurieren:

  1. Starten Sie an der NetScaler Shell-Eingabeaufforderung lunacm (/usr/safenet/lunaclient/bin)

    Beispiel:

    root@ns# cd /var/safenet/safenet/lunaclient/bin/
    
    root@ns# ./lunacm
    <!--NeedCopy-->
    
  2. Identifizieren Sie die Slot-IDs der Partitionen. Um die verfügbaren Steckplätze (Partitionen) aufzulisten, geben Sie Folgendes ein:

    lunacm:> slot list
    <!--NeedCopy-->
    

    Beispiel:

        Slot Id ->              0
        HSM Label ->            trinity-p1
        HSM Serial Number ->    481681014
        HSM Model ->            LunaSA 6.2.1
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
        Slot Id ->              1
        HSM Label ->            trinity-p2
        HSM Serial Number ->    481681018
        HSM Model ->            LunaSA 6.2.1
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
         Slot Id ->              2
         HSM Label ->            neo-p1
         HSM Serial Number ->    487298014
         HSM Model ->            LunaSA 6.2.1
         HSM Firmware Version -> 6.10.9
         HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
        Slot Id ->              3
        HSM Label ->            neo-p2
        HSM Serial Number ->    487298018
        HSM Model ->            LunaSA 6.2.1
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode
        HSM Status ->           OK
    
        Slot Id ->              7
        HSM Label ->            hsmha
        HSM Serial Number ->    1481681014
        HSM Model ->            LunaVirtual
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna Virtual HSM (PED) Signing With Cloning Mode
        HSM Status ->           N/A - HA Group
    
        Slot Id ->              8
        HSM Label ->            newha
        HSM Serial Number ->    1481681018
        HSM Model ->            LunaVirtual
        HSM Firmware Version -> 6.10.9
        HSM Configuration ->    Luna Virtual HSM (PED) Signing With Cloning Mode
        HSM Status ->           N/A - HA Group
    
        Current Slot Id: 0
    <!--NeedCopy-->
    
  3. Erstellen Sie die HA-Gruppe. Die erste Partition wird als primäre Partition bezeichnet. Sie können mehr als eine sekundäre Partition hinzufügen.

    lunacm:> hagroup createGroup -slot <slot number of primary partition> -label <group name> -password <partition password >
    
    lunacm:> hagroup createGroup -slot 1 -label gp12 -password ******
    <!--NeedCopy-->
    
  4. Fügen Sie die sekundären Mitglieder (HSM-Partitionen) hinzu. Wiederholen Sie diesen Schritt für alle Partitionen, die der HA-Gruppe hinzugefügt werden sollen.

    lunacm:> hagroup addMember -slot <slot number of secondary partition to be added> -group <group name> -password <partition password>
    <!--NeedCopy-->
    

    Code:

    lunacm:> hagroup addMember -slot 2 -group gp12 -password ******
    <!--NeedCopy-->
    
  5. Aktivieren Sie den Modus „Nur HA“.

    lunacm:> hagroup HAOnly –enable
    <!--NeedCopy-->
    
  6. Aktivieren Sie den aktiven Wiederherstellungsmodus.

    lunacm:.>hagroup recoveryMode –mode active
    <!--NeedCopy-->
    
  7. Stellen Sie das Intervall für die automatische Wiederherstellung ein (in Sekunden). Die Standardeinstellung ist 60 Sekunden.

    lunacm:.>hagroup interval –interval <value in seconds>
    <!--NeedCopy-->
    

    Beispiel:

    lunacm:.>hagroup interval –interval 120
    <!--NeedCopy-->
    
  8. Stellen Sie die Anzahl der Wiederholungsversuche für die Wiederherstellung ein. Ein Wert von -1 ermöglicht eine unendliche Anzahl von Wiederholungen.

    lunacm:> hagroup retry -count <xxx>
    <!--NeedCopy-->
    

    Beispiel:

    lunacm:> hagroup retry -count 2
    <!--NeedCopy-->
    
  9. Kopieren Sie die Konfiguration aus Chrystoki.conf dem SafeNet-Konfigurationsverzeichnis.

    cp /etc/Chrystoki.conf /var/safenet/config/
    <!--NeedCopy-->
    
  10. Starten Sie die ADC-Appliance neu.

    reboot
    <!--NeedCopy-->
    

Nach der Konfiguration von Thales Luna HSM in HA finden Sie unter Andere ADC-Konfiguration für weitere Konfiguration auf dem ADC.

Thales Luna HSMs in einem Hochverfügbarkeitssetup auf ADC konfigurieren

In diesem Artikel