ADC で Thales Luna クライアントを構成する
Thales Luna HSM を構成し、必要なパーティションを作成したら、クライアントを作成してパーティションに割り当てる必要があります。まず、Citrix ADCでThales Lunaクライアントを構成し、Thales LunaクライアントとThales Luna HSMの間のネットワークトラストリンク(NTL)を設定します。設定例については、 付録に記載されています。
-
ディレクトリを /var/safenet に変更し、Thales Luna クライアントをインストールします。シェルプロンプトで、次のように入力します。
cd /var/safenetThales Luna クライアントバージョン 6.0.0 をインストールするには、次のように入力します。
install_client.sh -v 600Thales Luna クライアントバージョン 6.2.2 をインストールするには、次のように入力します。
install_client.sh -v 622Thales Luna クライアントバージョン 7.2.2 をインストールするには、次のように入力します。
install_client.sh -v 722 -
Thales Luna クライアント(ADC)と HSM の間の NTL を設定します。
‘/var/safenet/’ディレクトリを作成したら、ADCで次のタスクを実行します。
a) ディレクトリを ‘/var/safenet/config/’ に変更し、’safenet_config’ スクリプトを実行します。シェルプロンプトで、次のように入力します。
cd /var/safenet/config sh safenet_configこのスクリプトは「chrystoki.conf」ファイルを /etc/ ディレクトリにコピーします。また、’/usr/lib/’ ディレクトリにシンボリックリンク ‘libCryptoki2_64.so’ を生成します。
b) ADC と Thales Luna HSM の間で証明書とキーを作成し、転送します。
安全に通信するには、ADCとHSMが証明書を交換する必要があります。ADC で証明書とキーを作成し、HSM に転送します。HSM 証明書を ADC にコピーします。
i) ディレクトリを /var/safenet/safenet/lunaclient/bin に変更します。
ii) ADC で証明書を作成します。シェルプロンプトで、次のように入力します。
./vtl createCert -n <ip address of Citrix ADC>このコマンドはまた、証明書とキーパスを「/etc/chrystoki.conf」ファイルに追加します。
iii) この証明書を HSM にコピーします。シェルプロンプトで、次のように入力します。
scp /var/safenet/safenet/lunaclient/cert/client/<ip address of NS>.pem <LunaSA_HSM account>@<IP address of Luna SA>iv) HSM 証明書を Citrix ADC にコピーします。シェルプロンプトで、次のように入力します。
scp <HSM account>@<HSM IP>:server.pem /var/safenet/safenet/lunaclient/server_<HSM ip>.pem -
Citrix ADCをクライアントとして登録し、Thales Luna HSM上のパーティションを割り当てます。
HSM にログオンし、クライアントを作成します。クライアントIPとしてNSIPを入力します。このアドレスは、HSM への証明書の転送元の ADC の IP アドレスである必要があります。クライアントが正常に登録されたら、パーティションを割り当てます。HSM で次のコマンドを実行します。
a) SSH を使用して Thales Luna HSM に接続し、パスワードを入力します。
b) Thales Luna HSMにCitrix ADCを登録します。クライアントは HSM 上に作成されます。IP アドレスはクライアントの IP アドレスです。つまり、NSIP アドレスです。
プロンプトで、次のように入力します。
client register –client <client name> -ip <Citrix ADC ip>c) パーティションリストからクライアントにパーティションを割り当てます。使用可能なパーティションを表示するには、次のように入力します。
<luna_sh> partition listこのリストからパーティションを割り当てます。タイプ:
<lunash:> client assignPartition -client <Client Name> -par <Partition Name> -
HSMとその証明書をCitrix ADCに登録します。
ADCで、ディレクトリを「/var/safenet/safenet/lunaclient/bin」に変更し、シェルプロンプトで次のように入力します。
./vtl addserver -n <IP addr of HSM> -c /var/safenet/safenet/lunaclient/server_<HSM_IP>.pemADC に登録されている HSM を削除するには、次のように入力します。
./vtl deleteServer -n <HSM IP> -c <cert path>ADCに設定されているHSMサーバーを一覧表示するには、次のように入力します。
./vtl listServer注:
vtlを使用して HSM を削除する前に、その HSM のすべてのキーがアプライアンスから手動で削除されていることを確認してください。HSM サーバーを削除すると、HSM キーは削除できません。 -
ADC と HSM の間のネットワーク信頼リンク (NTL) 接続を確認します。シェルプロンプトで、次のように入力します。
./vtl verify検証に失敗した場合は、すべての手順を確認します。エラーは、クライアント証明書の IP アドレスが正しくないことが原因です。
-
構成を保存します。
前の手順では、「/etc/chrystoki.conf」設定ファイルを更新します。このファイルは、ADC が起動すると削除されます。構成をデフォルト構成ファイルにコピーします。このファイルは、ADC の再起動時に使用されます。
シェルプロンプトで、次のように入力します。
root@ns# cp /etc/Chrystoki.conf /var/safenet/config/推奨される方法は、Thales Luna 関連の設定が変更されるたびにこのコマンドを実行することです。
-
Thales Luna ゲートウェイプロセスを開始します。
シェルプロンプトで、次のように入力します。
sh /var/safenet/gateway/start_safenet_gw -
起動時にGateway デーモンの自動起動を設定します。
この ADC で Thales Luna HSM が設定されていることを示す「safenet_is_reglarbed」ファイルを作成します。ADCが再起動し、このファイルが見つかるたびに、Gateway が自動的に起動します。
シェルプロンプトで、次のように入力します。
touch /var/safenet/safenet_is_enrolled -
Citrix ADC アプライアンスを再起動します。コマンドプロンプトで入力します。
reboot