产品文档
ADC
14.1 - Current Release 13.1 13.0 12.1
查看 PDF
感谢您提供反馈

这篇文章已经过机器翻译.放弃

  切换到英文

在 ADC 上配置 Thales Luna 客户端

June 22, 2022
投稿者: 
C

配置 Thales Luna HSM 并创建所需的分区之后,必须创建客户端并将其分配给分区。首先在 Citrix ADC 上配置 Thales Luna 客户端,然后在 Thales Luna 客户端和 Thales Luna HSM 之间设置网络信任链接 (NTL)。 附录中给出了一个示例配置。

  1. 将目录更改为 /var/safenet 并安装 Thales Luna 客户端。在 shell 提示符下,键入:

    cd /var/safenet

    要安装 Thales Luna 客户端版本 6.0.0,请键入:

    install_client.sh -v 600

    要安装 Thales Luna 客户端版本 6.2.2,请键入:

    install_client.sh -v 622

    要安装 Thales Luna 客户端 7.2.2 版本,请键入:

    install_client.sh -v 722

  2. 在 Thales Luna 客户端 (ADC) 和 HSM 之间配置 NTL。

    创建 /var/safenet/ 目录后,在 ADC 上执行以下任务。

    a) 将目录更改为 /var/safenet/config/,然后运行 safenet_config 脚本。在 shell 提示符下,键入:

    cd /var/safenet/config

sh safenet_config

    这个脚本将“Chrystoki.conf”文件复制到 /etc/ 目录中。它还会在“/usr/lib/”目录中生成一个符号链接“libCryptoki2_64.so”。

    b) 在 ADC 和 Thales Luna HSM 之间创建并转移证书和密钥。

    为了安全通信,ADC 和 HSM 必须交换证书。在 ADC 上创建证书和密钥,然后将其传输到 HSM。将 HSM 证书复制到 ADC。

    i) 将目录更改为 /var/safenet/safenet/lunaclient/bin。

    ii) 在 ADC 上创建证书。在 shell 提示符下,键入:

    ./vtl createCert -n <ip address of Citrix ADC>

    此命令还会将证书和密钥路径添加到“/etc/Chrystoki.conf”文件中。

    iii) 将此证书复制到 HSM。在 shell 提示符下,键入:

    scp /var/safenet/safenet/lunaclient/cert/client/<ip address of NS>.pem <LunaSA_HSM account>@<IP address of Luna SA>

    iv) 将 HSM 证书复制到 Citrix ADC。在 shell 提示符下,键入:

    scp <HSM account>@<HSM IP>:server.pem  /var/safenet/safenet/lunaclient/server_<HSM ip>.pem

  3. 将 Citrix ADC 注册为客户端,然后在 Thales Luna HSM 上为其分配一个分区。

    登录到 HSM 并创建客户端。输入 NSIP 作为客户端 IP。此地址必须是将证书传输到 HSM 的 ADC 的 IP 地址。成功注册客户机后,为其分配一个分区。在 HSM 上运行以下命令。

    a) 使用 SSH 连接到 Thales Luna HSM 并输入密码。

    b) 在 Thales Luna HSM 上注册 Citrix ADC。客户端是在 HSM 上创建的。IP 地址是客户机的 IP 地址。也就是说,NSIP 地址。

    在提示符下,键入:

    client register –client <client name> -ip <Citrix ADC ip>

    c) 从分区列表中为客户端分配一个分区。要查看可用分区,请键入:

    <luna_sh> partition list

    从此列表中分配一个分区。键入:

    <lunash:> client assignPartition -client <Client Name> -par <Partition Name>

  4. 在 Citrix ADC 上使用其证书注册 HSM。

    在 ADC 上,将目录更改为“/var/safenet/safenet/safenet/lunaclient/bin”,然后在外壳提示符下键入:

    ./vtl addserver -n <IP addr of HSM> -c /var/safenet/safenet/lunaclient/server_<HSM_IP>.pem

    要删除在 ADC 上注册的 HSM,请键入以下内容:

    ./vtl deleteServer -n <HSM IP> -c <cert path>

    要列出 ADC 上配置的 HSM 服务器,请键入以下内容:

    ./vtl listServer

    注意:

    在使用 vtl 删除 HSM 之前,请确保已从设备中手动移除该 HSM 的所有密钥。删除 HSM 服务器后,无法删除 HSM 密钥。

  5. 验证 ADC 和 HSM 之间的网络信任链路 (NTL) 连接。在 shell 提示符下,键入:

    ./vtl verify

    如果验证失败,请查看所有步骤。错误是由于客户端证书中的 IP 地址不正确造成的。

  6. 保存配置。

    前面的步骤更新了“/etc/chrystoki.conf”配置文件。此文件在 ADC 启动时被删除。将配置复制到默认配置文件,该文件在 ADC 重启时使用。

    在 shell 提示符下,键入:

    root@ns# cp /etc/Chrystoki.conf /var/safenet/config/

    推荐的做法是每次更改 Thales Luna 相关配置时都运行此命令。

  7. 启动 Thales Luna 网关进程。

    在 shell 提示符下,键入:

    sh /var/safenet/gateway/start_safenet_gw

  8. 在引导时配置 Gateway 关守护进程的自动启动。

    创建 “safenet_is_已登记” 文件,该文件表示在此 ADC 上配置了 Thales Luna HSM。无论何时 ADC 重新启动并找到此文件,Gateway 关都会自动启动。

    在 shell 提示符下,键入:

    touch /var/safenet/safenet_is_enrolled

  9. 重新启动 Citrix ADC 设备。在命令提示符下,键入:

    reboot
本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译,仅供您参考。Cloud Software Group 无法控制机器翻译的内容,这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性,或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容,我们均不作任何明示或暗示的保证,并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议(产品或服务与已进行机器翻译的任何文档保持一致)下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题,Cloud Software Group 不承担任何责任。
在 ADC 上配置 Thales Luna 客户端
June 22, 2022
投稿者: 
C
站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999-2025 Cloud Software Group, Inc. All rights reserved.