ADC

Configurer un client Thales Luna sur ADC

Une fois que vous avez configuré le HSM Thales Luna et créé les partitions requises, vous devez créer des clients et les affecter à des partitions. Commencez par configurer les clients Thales Luna sur NetScaler et par configurer les liens de confiance réseau (NTL) entre les clients Thales Luna et le HSM Thales Luna. Un exemple de configuration est fourni dans l’ annexe.

Remarque

Si vous effectuez une mise à niveau vers la version 13.1 du logiciel, vous devez installer le client Thales Luna version 10.3.0 et suivre les étapes suivantes.

  1. Remplacez le répertoire par /var/safenet et installez le client Thales Luna. À l’invite shell, tapez :

    cd /var/safenet
    <!--NeedCopy-->
    

    Pour installer le client Thales Luna version 6.0.0, tapez :

    install_client.sh -v 600
    <!--NeedCopy-->
    

    Pour installer le client Thales Luna version 6.2.2, tapez :

    install_client.sh -v 622
    <!--NeedCopy-->
    

    Pour installer le client Thales Luna version 7.2.2, tapez :

    install_client.sh -v 722
    <!--NeedCopy-->
    

    Pour installer le client Thales Luna version 10.3.0, tapez :

    install_client.sh -v 1030
    <!--NeedCopy-->
    
  2. Configurez les NTL entre le client Thales Luna (ADC) et HSM.

    Une fois le répertoire ‘/var/safenet/’ créé, effectuez les tâches suivantes sur ADC.

    a) Changez le répertoire en « /var/safenet/config/ » et exécutez le script « safenet_config ». À l’invite shell, tapez :

    cd /var/safenet/config
    
    sh safenet_config
    <!--NeedCopy-->
    

    Ce script copie le fichier « Chrystoki.conf » dans le répertoire /etc/. Il génère également un lien symbolique ‘LibCryptoki2_64.so’ dans le répertoire ‘/usr/lib/’.

    b) Créer et transférer un certificat et une clé entre l’ADC et le HSM Thales Luna.

    Pour communiquer en toute sécurité, l’ADC et le HSM doivent échanger des certificats. Créez un certificat et une clé sur l’ADC, puis transférez-les vers le HSM. Copiez le certificat HSM dans l’ADC.

    i) Changez de répertoire en /var/safenet/safenet/lunaclient/bin.

    ii) Créez un certificat sur l’ADC. À l’invite shell, tapez :

    ./vtl createCert -n <ip address of NetScaler>
    <!--NeedCopy-->
    

    Cette commande ajoute également le certificat et le chemin de clé au fichier « /etc/Chrystoki.conf ».

    iii) Copiez ce certificat sur le HSM. À l’invite shell, tapez :

    scp /var/safenet/safenet/lunaclient/cert/client/<ip address of NS>.pem <LunaSA_HSM account>@<IP address of Luna SA>
    <!--NeedCopy-->
    

    iv) Copiez le certificat HSM sur NetScaler. À l’invite shell, tapez :

    scp <HSM account>@<HSM IP>:server.pem  /var/safenet/safenet/lunaclient/server_<HSM ip>.pem
    <!--NeedCopy-->
    
  3. Enregistrez le NetScaler en tant que client et attribuez-lui une partition sur le Thales Luna HSM.

    Connectez-vous au HSM et créez un client. Entrez le NSIP comme adresse IP du client. Cette adresse doit être l’adresse IP de l’ADC à partir duquel vous avez transféré le certificat vers le HSM. Une fois le client enregistré avec succès, attribuez-lui une partition. Exécutez les commandes suivantes sur le HSM.

    a) Utilisez SSH pour vous connecter au HSM Thales Luna et entrez le mot de passe.

    b) Enregistrez le NetScaler sur le HSM Thales Luna. Le client est créé sur le HSM. L’adresse IP est l’adresse IP du client. C’est-à-dire l’adresse NSIP.

    À l’invite, tapez :

    client register –client <client name> -ip <NetScaler ip>
    <!--NeedCopy-->
    

    c) Attribuez au client une partition à partir de la liste des partitions. Pour afficher les partitions disponibles, tapez :

    <luna_sh> partition list
    <!--NeedCopy-->
    

    Attribuez une partition à partir de cette liste. Type :

    <lunash:> client assignPartition -client <Client Name> -par <Partition Name>
    <!--NeedCopy-->
    
  4. Enregistrez le HSM avec son certificat sur NetScaler.

    Sur l’ADC, remplacez le répertoire par « /var/safenet/safenet/lunaclient/bin » et, à l’invite du shell, tapez :

    ./vtl addserver -n <IP addr of HSM> -c /var/safenet/safenet/lunaclient/server_<HSM_IP>.pem
    <!--NeedCopy-->
    

    Pour supprimer le HSM inscrit sur l’ADC, tapez :

    ./vtl deleteServer -n <HSM IP> -c <cert path>
    <!--NeedCopy-->
    

    Pour répertorier les serveurs HSM configurés sur l’ADC, tapez :

    ./vtl listServer
    <!--NeedCopy-->
    

    Remarque :

    Avant de supprimer le HSM à l’aide de vtl, assurez-vous que toutes les clés de ce HSM sont supprimées manuellement de l’appliance. Les clés HSM ne peuvent pas être supprimées après la suppression du serveur HSM.

  5. Vérifiez la connectivité des liens d’approbation réseau (NLT) entre l’ADC et le HSM. À l’invite shell, tapez :

    ./vtl verify
    <!--NeedCopy-->
    

    Si la vérification échoue, passez en revue toutes les étapes. Les erreurs sont dues à une adresse IP incorrecte dans les certificats clients.

  6. Enregistrez la configuration.

    Les étapes précédentes mettent à jour le fichier de configuration « /etc/Chrystoki.conf ». Ce fichier est supprimé au démarrage de l’ADC. Copiez la configuration dans le fichier de configuration par défaut, qui est utilisé lors du redémarrage d’un ADC.

    À l’invite shell, tapez :

    root@ns# cp /etc/Chrystoki.conf /var/safenet/config/
    <!--NeedCopy-->
    

    La pratique recommandée consiste à exécuter cette commande chaque fois qu’il y a une modification de la configuration associée à Thales Luna.

  7. Démarrez le processus de passerelle Thales Luna.

    À l’invite shell, tapez :

    sh /var/safenet/gateway/start_safenet_gw
    <!--NeedCopy-->
    
  8. Configurez le démarrage automatique du démon de Gateway au démarrage.

    Créez le fichier « safenet_is_enrolled », qui indique que Thales Luna HSM est configuré sur cet ADC. Chaque fois que ADC redémarre et que ce fichier est trouvé, la Gateway est automatiquement démarrée.

    À l’invite shell, tapez :

    touch /var/safenet/safenet_is_enrolled
    <!--NeedCopy-->
    
  9. Redémarrez l’appliance NetScaler. À l’invite de commandes, tapez :

    reboot
    <!--NeedCopy-->
    
Configurer un client Thales Luna sur ADC