Documentation Produit
ADC
14.1 - Current Release 13.1 13.0 12.1
Voir PDF
Merci pour vos commentaires

Ce article a été traduit automatiquement. (Clause de non responsabilité)

  Lire en anglais

Configurer un client Thales Luna sur ADC

August 11, 2023
Contributeur: 
C

Une fois que vous avez configuré le HSM Thales Luna et créé les partitions requises, vous devez créer des clients et les affecter à des partitions. Commencez par configurer les clients Thales Luna sur NetScaler et par configurer les liens de confiance réseau (NTL) entre les clients Thales Luna et le HSM Thales Luna. Un exemple de configuration est fourni dans l’ annexe.

Remarque

Si vous effectuez une mise à niveau vers la version 14.1 du logiciel, vous devez installer la version 10.3.0 du client Thales Luna et suivre les étapes suivantes.

  1. Remplacez le répertoire par /var/safenet et installez le client Thales Luna. À l’invite shell, tapez :

    cd /var/safenet

    Pour installer le client Thales Luna version 6.0.0, tapez :

    install_client.sh -v 600

    Pour installer le client Thales Luna version 6.2.2, tapez :

    install_client.sh -v 622

    Pour installer le client Thales Luna version 7.2.2, tapez :

    install_client.sh -v 722

    Pour installer le client Thales Luna version 10.3.0, tapez :

    install_client.sh -v 1030

  2. Configurez les NTL entre le client Thales Luna (ADC) et HSM.

    Une fois le répertoire ‘/var/safenet/’ créé, effectuez les tâches suivantes sur ADC.

    a) Changez le répertoire en « /var/safenet/config/ » et exécutez le script « safenet_config ». À l’invite shell, tapez :

    cd /var/safenet/config

sh safenet_config

    Ce script copie le fichier « Chrystoki.conf » dans le répertoire /etc/. Il génère également un lien symbolique ‘LibCryptoki2_64.so’ dans le répertoire ‘/usr/lib/’.

    b) Créer et transférer un certificat et une clé entre l’ADC et le HSM Thales Luna.

    Pour communiquer en toute sécurité, l’ADC et le HSM doivent échanger des certificats. Créez un certificat et une clé sur l’ADC, puis transférez-les vers le HSM. Copiez le certificat HSM dans l’ADC.

    i) Changez de répertoire en /var/safenet/safenet/lunaclient/bin.

    ii) Créez un certificat sur l’ADC. À l’invite shell, tapez :

    ./vtl createCert -n <ip address of NetScaler>

    Cette commande ajoute également le certificat et le chemin de clé au fichier « /etc/Chrystoki.conf ».

    iii) Copiez ce certificat sur le HSM. À l’invite shell, tapez :

    scp /var/safenet/safenet/lunaclient/cert/client/<ip address of NS>.pem <LunaSA_HSM account>@<IP address of Luna SA>

    iv) Copiez le certificat HSM sur NetScaler. À l’invite shell, tapez :

    scp <HSM account>@<HSM IP>:server.pem  /var/safenet/safenet/lunaclient/server_<HSM ip>.pem

  3. Enregistrez le NetScaler en tant que client et attribuez-lui une partition sur le Thales Luna HSM.

    Connectez-vous au HSM et créez un client. Entrez le NSIP comme adresse IP du client. Cette adresse doit être l’adresse IP de l’ADC à partir duquel vous avez transféré le certificat vers le HSM. Une fois le client enregistré avec succès, attribuez-lui une partition. Exécutez les commandes suivantes sur le HSM.

    a) Utilisez SSH pour vous connecter au HSM Thales Luna et entrez le mot de passe.

    b) Enregistrez le NetScaler sur le HSM Thales Luna. Le client est créé sur le HSM. L’adresse IP est l’adresse IP du client. C’est-à-dire l’adresse NSIP.

    À l’invite, tapez :

    client register –client <client name> -ip <NetScaler ip>

    c) Attribuez au client une partition à partir de la liste des partitions. Pour afficher les partitions disponibles, tapez :

    <luna_sh> partition list

    Attribuez une partition à partir de cette liste. Type :

    <lunash:> client assignPartition -client <Client Name> -par <Partition Name>

  4. Enregistrez le HSM avec son certificat sur NetScaler.

    Sur l’ADC, remplacez le répertoire par « /var/safenet/safenet/lunaclient/bin » et, à l’invite du shell, tapez :

    ./vtl addserver -n <IP addr of HSM> -c /var/safenet/safenet/lunaclient/server_<HSM_IP>.pem

    Pour supprimer le HSM inscrit sur l’ADC, tapez :

    ./vtl deleteServer -n <HSM IP> -c <cert path>

    Pour répertorier les serveurs HSM configurés sur l’ADC, tapez :

    ./vtl listServer

    Remarque :

    Avant de supprimer le HSM à l’aide de vtl, assurez-vous que toutes les clés de ce HSM sont supprimées manuellement de l’appliance. Les clés HSM ne peuvent pas être supprimées après la suppression du serveur HSM.

  5. Vérifiez la connectivité des liens d’approbation réseau (NLT) entre l’ADC et le HSM. À l’invite shell, tapez :

    ./vtl verify

    Si la vérification échoue, passez en revue toutes les étapes. Les erreurs sont dues à une adresse IP incorrecte dans les certificats clients.

  6. Enregistrez la configuration.

    Les étapes précédentes mettent à jour le fichier de configuration « /etc/Chrystoki.conf ». Ce fichier est supprimé au démarrage de l’ADC. Copiez la configuration dans le fichier de configuration par défaut, qui est utilisé lors du redémarrage d’un ADC.

    À l’invite shell, tapez :

    root@ns# cp /etc/Chrystoki.conf /var/safenet/config/

    La pratique recommandée consiste à exécuter cette commande chaque fois qu’il y a une modification de la configuration associée à Thales Luna.

  7. Démarrez le processus de passerelle Thales Luna.

    À l’invite shell, tapez :

    sh /var/safenet/gateway/start_safenet_gw

  8. Configurez le démarrage automatique du démon de Gateway au démarrage.

    Créez le fichier « safenet_is_enrolled », qui indique que Thales Luna HSM est configuré sur cet ADC. Chaque fois que ADC redémarre et que ce fichier est trouvé, la Gateway est automatiquement démarrée.

    À l’invite shell, tapez :

    touch /var/safenet/safenet_is_enrolled

  9. Redémarrez l’appliance NetScaler. À l’invite de commandes, tapez :

    reboot
La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.
Configurer un client Thales Luna sur ADC
August 11, 2023
Contributeur: 
C
Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999-2025 Cloud Software Group, Inc. All rights reserved.