ADC で Thales Luna クライアントを構成する
Thales Luna HSM を構成し、必要なパーティションを作成したら、クライアントを作成してパーティションに割り当てる必要があります。まず、Citrix ADCでThales Lunaクライアントを構成し、Thales LunaクライアントとThales Luna HSMの間のネットワークトラストリンク(NTL)を設定します。設定例については、 付録に記載されています。
-
ディレクトリを /var/safenet に変更し、Thales Luna クライアントをインストールします。シェルプロンプトで、次のように入力します。
cd /var/safenet <!--NeedCopy-->
Thales Luna クライアントバージョン 6.0.0 をインストールするには、次のように入力します。
install_client.sh -v 600 <!--NeedCopy-->
Thales Luna クライアントバージョン 6.2.2 をインストールするには、次のように入力します。
install_client.sh -v 622 <!--NeedCopy-->
Thales Luna クライアントバージョン 7.2.2 をインストールするには、次のように入力します。
install_client.sh -v 722 <!--NeedCopy-->
-
Thales Luna クライアント(ADC)と HSM の間の NTL を設定します。
‘/var/safenet/’ディレクトリを作成したら、ADCで次のタスクを実行します。
a)ディレクトリを ‘/var/safenet/config/’に変更し、’safenet_config’スクリプトを実行します。シェルプロンプトで、次のように入力します。
cd /var/safenet/config sh safenet_config <!--NeedCopy-->
このスクリプトは、「Chrystoki.conf」ファイルを /etc/ ディレクトリにコピーします。また、’/usr/lib/’ ディレクトリにシンボリックリンク ‘libCryptoki2_64.so’ を生成します。
b) ADC と Thales Luna HSM の間で証明書とキーを作成し、転送します。
安全に通信するには、ADCとHSMが証明書を交換する必要があります。ADC で証明書とキーを作成し、HSM に転送します。HSM 証明書を ADC にコピーします。
i) ディレクトリを /var/safet/safenet/lunaclient/bin に変更します。
ii) ADCに証明書を作成します。シェルプロンプトで、次のように入力します。
./vtl createCert -n <ip address of Citrix ADC> <!--NeedCopy-->
このコマンドは、「/etc/Chrystoki.conf」ファイルに証明書とキーのパスを追加します。
iii) この証明書を HSM にコピーします。シェルプロンプトで、次のように入力します。
scp /var/safenet/safenet/lunaclient/cert/client/<ip address of NS>.pem <LunaSA_HSM account>@<IP address of Luna SA> <!--NeedCopy-->
iv)HSM証明書をCitrix ADCにコピーします。シェルプロンプトで、次のように入力します。
scp <HSM account>@<HSM IP>:server.pem /var/safenet/safenet/lunaclient/server_<HSM ip>.pem <!--NeedCopy-->
-
Citrix ADCをクライアントとして登録し、Thales Luna HSM上のパーティションを割り当てます。
HSM にログオンし、クライアントを作成します。NSIPをクライアントIPとして入力します。このアドレスは、証明書をHSMに転送したADCのIPアドレスである必要があります。クライアントが正常に登録されたら、そのクライアントにパーティションを割り当てます。HSM で次のコマンドを実行します。
a) SSH を使用して Thales Luna HSM に接続し、パスワードを入力します。
b) Thales Luna HSMにCitrix ADCを登録します。クライアントは HSM 上に作成されます。IP アドレスは、クライアントの IP アドレスです。つまり、NSIP アドレスです。
プロンプトで、次のように入力します。
client register –client <client name> -ip <Citrix ADC ip> <!--NeedCopy-->
c) パーティションリストからクライアントにパーティションを割り当てます。使用可能なパーティションを表示するには、次のように入力します。
<luna_sh> partition list <!--NeedCopy-->
このリストからパーティションを割り当てます。タイプ:
<lunash:> client assignPartition -client <Client Name> -par <Partition Name> <!--NeedCopy-->
-
Citrix ADC上の証明書を使用してHSMを登録します。
ADCで、ディレクトリを「/var/safenet/safenet/lunaclient/bin」に変更し、シェルプロンプトで次のように入力します。
./vtl addserver -n <IP addr of HSM> -c /var/safenet/safenet/lunaclient/server_<HSM_IP>.pem <!--NeedCopy-->
ADC に登録されている HSM を削除するには、次のように入力します。
./vtl deleteServer -n <HSM IP> -c <cert path> <!--NeedCopy-->
ADC上で構成されているHSMサーバを一覧表示するには、次のように入力します。
./vtl listServer <!--NeedCopy-->
注:
vtl
を使用して HSM を削除する前に、その HSM のすべてのキーがアプライアンスから手動で削除されていることを確認します。HSM サーバの削除後は、HSM キーを削除できません。 -
ADC と HSM の間のネットワーク信頼リンク (NTL) の接続を確認します。シェルプロンプトで、次のように入力します。
./vtl verify <!--NeedCopy-->
検証に失敗した場合は、すべての手順を確認します。エラーは、クライアント証明書のIPアドレスが正しくないことが原因です。
-
構成を保存します。
上記の手順では、「/etc/Chrystoki.conf」設定ファイルを更新します。このファイルは、ADC起動時に削除されます。構成をデフォルトの構成ファイルにコピーします。このファイルは、ADCの再起動時に使用されます。
シェルプロンプトで、次のように入力します。
root@ns# cp /etc/Chrystoki.conf /var/safenet/config/ <!--NeedCopy-->
推奨される方法は、Thales Luna 関連の設定が変更されるたびにこのコマンドを実行することです。
-
Thales Luna ゲートウェイプロセスを開始します。
シェルプロンプトで、次のように入力します。
sh /var/safenet/gateway/start_safenet_gw <!--NeedCopy-->
-
起動時にGateway デーモンの自動起動を設定します。
この ADC で Thales Luna HSM が設定されていることを示す「safenet_is_reglarbed」ファイルを作成します。ADCが再起動し、このファイルが見つかるたびに、Gateway が自動的に起動します。
シェルプロンプトで、次のように入力します。
touch /var/safenet/safenet_is_enrolled <!--NeedCopy-->