Configurar un cliente de Thales Luna en el ADC
Después de configurar el HSM de Thales Luna y crear las particiones necesarias, debe crear clientes y asignarlos a particiones. Comience por configurar los clientes de Thales Luna en Citrix ADC y configurar los enlaces de confianza de red (NTLs) entre los clientes de Thales Luna y el HSM de Thales Luna. En el apéndicese proporciona una configuración de ejemplo.
-
Cambie el directorio a /var/safenet e instale el cliente Thales Luna. En el símbolo del shell, escriba:
cd /var/safenet <!--NeedCopy-->
Para instalar el cliente Thales Luna versión 6.0.0, escriba:
install_client.sh -v 600 <!--NeedCopy-->
Para instalar el cliente Thales Luna versión 6.2.2, escriba:
install_client.sh -v 622 <!--NeedCopy-->
Para instalar el cliente Thales Luna versión 7.2.2, escriba:
install_client.sh -v 722 <!--NeedCopy-->
-
Configure los NTLs entre el cliente Thales Luna (ADC) y HSM.
Después de crear el directorio ‘/var/safenet/’, realice las siguientes tareas en el ADC.
a) Cambie el directorio a ‘/var/safenet/config/’ y ejecute el script ‘safenet_config’. En el símbolo del shell, escriba:
cd /var/safenet/config sh safenet_config <!--NeedCopy-->
Este script copia el archivo “Chrystoki.conf” en el directorio /etc/. También genera un enlace simbólico ‘libCryptoki2_64.so’ en el directorio ‘/usr/lib/’.
b) Cree y transfiera un certificado y una clave entre el ADC y el HSM de Thales Luna.
Para comunicarse de forma segura, el ADC y el HSM deben intercambiar certificados. Cree un certificado y una clave en el ADC y, a continuación, transfiéralo al HSM. Copie el certificado HSM en el ADC.
i) Cambiar directorio a /var/safenet/safenet/lunaclient/bin.
ii) Crear un certificado en el ADC. En el símbolo del shell, escriba:
./vtl createCert -n <ip address of Citrix ADC> <!--NeedCopy-->
Este comando también agrega el certificado y la ruta de acceso de clave al archivo “/etc/chrystoki.conf”.
iii) Copie este certificado al HSM. En el símbolo del shell, escriba:
scp /var/safenet/safenet/lunaclient/cert/client/<ip address of NS>.pem <LunaSA_HSM account>@<IP address of Luna SA> <!--NeedCopy-->
iv) Copie el certificado HSM al Citrix ADC. En el símbolo del shell, escriba:
scp <HSM account>@<HSM IP>:server.pem /var/safenet/safenet/lunaclient/server_<HSM ip>.pem <!--NeedCopy-->
-
Registre Citrix ADC como cliente y asígnele una partición en el HSM de Thales Luna.
Inicie sesión en el HSM y cree un cliente. Introduzca el NSIP como IP del cliente. Esta dirección debe ser la dirección IP del ADC desde el que transfirió el certificado al HSM. Después de que el cliente se haya registrado correctamente, asigne una partición a él. Ejecute los siguientes comandos en el HSM.
a) Utilice SSH para conectarse al HSM de Thales Luna e introduzca la contraseña.
b) Registre Citrix ADC en el HSM de Thales Luna. El cliente se crea en el HSM. La dirección IP es la dirección IP del cliente. Es decir, la dirección del NSIP.
En el símbolo del sistema, escriba:
client register –client <client name> -ip <Citrix ADC ip> <!--NeedCopy-->
c) Asigne al cliente una partición de la lista de particiones. Para ver las particiones disponibles, escriba:
<luna_sh> partition list <!--NeedCopy-->
Asigne una partición de esta lista. Tipo:
<lunash:> client assignPartition -client <Client Name> -par <Partition Name> <!--NeedCopy-->
-
Registre el HSM con su certificado en el Citrix ADC.
En el ADC, cambie el directorio a “/var/safenet/safenet/lunaclient/bin” y, en el símbolo del shell, escriba:
./vtl addserver -n <IP addr of HSM> -c /var/safenet/safenet/lunaclient/server_<HSM_IP>.pem <!--NeedCopy-->
Para quitar el HSM inscrito en el ADC, escriba:
./vtl deleteServer -n <HSM IP> -c <cert path> <!--NeedCopy-->
Para enumerar los servidores HSM configurados en el ADC, escriba:
./vtl listServer <!--NeedCopy-->
Nota:
Antes de extraer el HSM mediante el uso
vtl
, asegúrese de que todas las claves de ese HSM se han extraído manualmente del dispositivo. Las claves HSM no se pueden eliminar después de quitar el servidor HSM. -
Compruebe la conectividad de vínculos de confianza de red (NTL) entre el ADC y HSM. En el símbolo del shell, escriba:
./vtl verify <!--NeedCopy-->
Si la verificación falla, revise todos los pasos. Los errores se deben a una dirección IP incorrecta en los certificados de cliente.
-
Guarde la configuración.
Los pasos anteriores actualizan el archivo de configuración “/etc/chrystoki.conf”. Este archivo se elimina cuando se inicia el ADC. Copie la configuración en el archivo de configuración predeterminado, que se utiliza cuando se reinicia un ADC.
En el símbolo del shell, escriba:
root@ns# cp /etc/Chrystoki.conf /var/safenet/config/ <!--NeedCopy-->
La práctica recomendada es ejecutar este comando cada vez que se produce un cambio en la configuración relacionada con Thales Luna.
-
Inicie el proceso de puerta de enlace de Thales Luna.
En el símbolo del shell, escriba:
sh /var/safenet/gateway/start_safenet_gw <!--NeedCopy-->
-
Configure el inicio automático del daemon de Gateway en el momento del arranque.
Cree el archivo “safenet_is_enrolled”, que indica que Thales Luna HSM está configurado en este ADC. Cada vez que el ADC se reinicia y se encuentra este archivo, la Gateway se inicia automáticamente.
En el símbolo del shell, escriba:
touch /var/safenet/safenet_is_enrolled <!--NeedCopy-->