ADC

ADC で Thales Luna クライアントを構成する

Thales Luna HSM を構成し、必要なパーティションを作成したら、クライアントを作成してパーティションに割り当てる必要があります。まず、Citrix ADCでThales Lunaクライアントを構成し、Thales LunaクライアントとThales Luna HSMの間のネットワークトラストリンク(NTL)を設定します。設定例については、 付録に記載されています

  1. ディレクトリを /var/safenet に変更し、Thales Luna クライアントをインストールします。シェルプロンプトで、次のように入力します。

    cd /var/safenet
    <!--NeedCopy-->
    

    Thales Luna クライアントバージョン 6.0.0 をインストールするには、次のように入力します。

    install_client.sh -v 600
    <!--NeedCopy-->
    

    Thales Luna クライアントバージョン 6.2.2 をインストールするには、次のように入力します。

    install_client.sh -v 622
    <!--NeedCopy-->
    

    Thales Luna クライアントバージョン 7.2.2 をインストールするには、次のように入力します。

    install_client.sh -v 722
    <!--NeedCopy-->
    
  2. Thales Luna クライアント(ADC)と HSM の間の NTL を設定します。

    ‘/var/safenet/’ディレクトリを作成したら、ADCで次のタスクを実行します。

    a)ディレクトリを ‘/var/safenet/config/’に変更し、’safenet_config’スクリプトを実行します。シェルプロンプトで、次のように入力します。

    cd /var/safenet/config
    
    sh safenet_config
    <!--NeedCopy-->
    

    このスクリプトは、「Chrystoki.conf」ファイルを /etc/ ディレクトリにコピーします。また、’/usr/lib/’ ディレクトリにシンボリックリンク ‘libCryptoki2_64.so’ を生成します。

    b) ADC と Thales Luna HSM の間で証明書とキーを作成し、転送します。

    安全に通信するには、ADCとHSMが証明書を交換する必要があります。ADC で証明書とキーを作成し、HSM に転送します。HSM 証明書を ADC にコピーします。

    i) ディレクトリを /var/safet/safenet/lunaclient/bin に変更します。

    ii) ADCに証明書を作成します。シェルプロンプトで、次のように入力します。

    ./vtl createCert -n <ip address of Citrix ADC>
    <!--NeedCopy-->
    

    このコマンドは、「/etc/Chrystoki.conf」ファイルに証明書とキーのパスを追加します。

    iii) この証明書を HSM にコピーします。シェルプロンプトで、次のように入力します。

    scp /var/safenet/safenet/lunaclient/cert/client/<ip address of NS>.pem <LunaSA_HSM account>@<IP address of Luna SA>
    <!--NeedCopy-->
    

    iv)HSM証明書をCitrix ADCにコピーします。シェルプロンプトで、次のように入力します。

    scp <HSM account>@<HSM IP>:server.pem  /var/safenet/safenet/lunaclient/server_<HSM ip>.pem
    <!--NeedCopy-->
    
  3. Citrix ADCをクライアントとして登録し、Thales Luna HSM上のパーティションを割り当てます。

    HSM にログオンし、クライアントを作成します。NSIPをクライアントIPとして入力します。このアドレスは、証明書をHSMに転送したADCのIPアドレスである必要があります。クライアントが正常に登録されたら、そのクライアントにパーティションを割り当てます。HSM で次のコマンドを実行します。

    a) SSH を使用して Thales Luna HSM に接続し、パスワードを入力します。

    b) Thales Luna HSMにCitrix ADCを登録します。クライアントは HSM 上に作成されます。IP アドレスは、クライアントの IP アドレスです。つまり、NSIP アドレスです。

    プロンプトで、次のように入力します。

    client register –client <client name> -ip <Citrix ADC ip>
    <!--NeedCopy-->
    

    c) パーティションリストからクライアントにパーティションを割り当てます。使用可能なパーティションを表示するには、次のように入力します。

    <luna_sh> partition list
    <!--NeedCopy-->
    

    このリストからパーティションを割り当てます。タイプ:

    <lunash:> client assignPartition -client <Client Name> -par <Partition Name>
    <!--NeedCopy-->
    
  4. Citrix ADC上の証明書を使用してHSMを登録します。

    ADCで、ディレクトリを「/var/safenet/safenet/lunaclient/bin」に変更し、シェルプロンプトで次のように入力します。

    ./vtl addserver -n <IP addr of HSM> -c /var/safenet/safenet/lunaclient/server_<HSM_IP>.pem
    <!--NeedCopy-->
    

    ADC に登録されている HSM を削除するには、次のように入力します。

    ./vtl deleteServer -n <HSM IP> -c <cert path>
    <!--NeedCopy-->
    

    ADC上で構成されているHSMサーバを一覧表示するには、次のように入力します。

    ./vtl listServer
    <!--NeedCopy-->
    

    注:

    vtlを使用して HSM を削除する前に、その HSM のすべてのキーがアプライアンスから手動で削除されていることを確認します。HSM サーバの削除後は、HSM キーを削除できません。

  5. ADC と HSM の間のネットワーク信頼リンク (NTL) の接続を確認します。シェルプロンプトで、次のように入力します。

    ./vtl verify
    <!--NeedCopy-->
    

    検証に失敗した場合は、すべての手順を確認します。エラーは、クライアント証明書のIPアドレスが正しくないことが原因です。

  6. 構成を保存します。

    上記の手順では、「/etc/Chrystoki.conf」設定ファイルを更新します。このファイルは、ADC起動時に削除されます。構成をデフォルトの構成ファイルにコピーします。このファイルは、ADCの再起動時に使用されます。

    シェルプロンプトで、次のように入力します。

    root@ns# cp /etc/Chrystoki.conf /var/safenet/config/
    <!--NeedCopy-->
    

    推奨される方法は、Thales Luna 関連の設定が変更されるたびにこのコマンドを実行することです。

  7. Thales Luna ゲートウェイプロセスを開始します。

    シェルプロンプトで、次のように入力します。

    sh /var/safenet/gateway/start_safenet_gw
    <!--NeedCopy-->
    
  8. 起動時にGateway デーモンの自動起動を設定します。

    この ADC で Thales Luna HSM が設定されていることを示す「safenet_is_reglarbed」ファイルを作成します。ADCが再起動し、このファイルが見つかるたびに、Gateway が自動的に起動します。

    シェルプロンプトで、次のように入力します。

    touch /var/safenet/safenet_is_enrolled
    <!--NeedCopy-->
    
ADC で Thales Luna クライアントを構成する

この記事の概要