Thales Luna-Clients auf ADC konfigurieren

Nachdem您das泰勒斯Luna HSM今敏figuriert und die erforderlichen Partitionen erstellt haben, müssen Sie Clients erstellen und sie Partitionen zuweisen. Konfigurieren Sie zunächst die Thales Luna-Clients auf dem NetScaler und richten Sie die Netzwerkvertrauensverbindungen (NTLs) zwischen den Thales Luna-Clients und dem Thales Luna HSM ein. Eine Beispielkonfiguration ist imAnhangangegeben.

Hinweis:

Wenn Sie auf Softwareversion 14.1 aktualisieren, müssen Sie die Thales Luna-Client-Version 10.3.0 installieren und die folgenden Schritte ausführen.

1. Wechseln Sie das Verzeichnis in /var/safenet und installieren Sie den Thales Luna Client. Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

   cd /var/safenet 

   Um den Thales Luna-Client Version 6.0.0 zu installieren, geben Sie Folgendes ein:

   install_client.sh -v 600 

   Um den Thales Luna Client Version 6.2.2 zu installieren, geben Sie Folgendes ein:

   install_client.sh -v 622 

   Um den Thales Luna Client Version 7.2.2 zu installieren, geben Sie Folgendes ein:

   install_client.sh -v 722 

   Um den Thales Luna Client Version 10.3.0 zu installieren, geben Sie Folgendes ein:

   install_client.sh -v 1030 

2. Konfigurieren Sie die NTLs zwischen Thales Luna Client (ADC) und HSM.

   Nachdem das Verzeichnis ‘/var/safenet/’ erstellt wurde, führen Sie die folgenden Aufgaben auf dem ADC aus.

   a) Ändern Sie das Verzeichnis in ‘/var/safenet/config/’ und führen Sie das ‘safenet_config’-Skript aus. Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

   cd /var/safenet/config sh safenet_config 

   Dieses Skript kopiert die Datei “Chrystoki.conf” in das Verzeichnis /etc/. Es erzeugt auch einen symbolischen Link ‘libCryptoki2_64.so’ im Verzeichnis ‘/usr/lib/’.

   b) Erstellen und übertragen Sie ein Zertifikat und einen Schlüssel zwischen dem ADC und dem Thales Luna HSM.

   Um sicher kommunizieren zu können, müssen der ADC und HSM Zertifikate austauschen. Erstellen Sie ein Zertifikat und einen Schlüssel auf dem ADC und übertragen Sie es dann an das HSM. Kopieren Sie das HSM-Zertifikat in den ADC.

   i) Wechseln Sie in das Verzeichnis /var/safenet/safenet/lunaclient/bin.

   ii) Erstellen Sie ein Zertifikat auf dem ADC. Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

   ./vtl createCert -n  

   Dieser Befehl fügt auch das Zertifikat und den Schlüsselpfad zur Datei “/etc/Chrystoki.conf” hinzu.

   iii) Kopieren Sie dieses Zertifikat in das HSM. Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

   scp /var/safenet/safenet/lunaclient/cert/client/.pem @ 

   iv) Kopieren Sie das HSM-Zertifikat in den NetScaler. Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

   scp @:server.pem /var/safenet/safenet/lunaclient/server_.pem 

3. Registrieren Sie den NetScaler als Client und weisen Sie ihm eine Partition auf dem Thales Luna HSM zu.

   Melden Sie sich beim HSM an und erstellen Sie einen Client. Geben Sie das NSIP als Client-IP ein. Diese Adresse muss die IP-Adresse des ADC sein, von dem Sie das Zertifikat an das HSM übertragen haben. Nachdem der Client erfolgreich registriert wurde, weisen Sie ihm eine Partition zu. Führen Sie die folgenden Befehle auf dem HSM aus.

   a) Verwenden Sie SSH, um eine Verbindung zum Thales Luna HSM herzustellen und geben Sie das Kennwort ein.

   b) Registrieren Sie den NetScaler im Thales Luna HSM. Der Client wird auf dem HSM angelegt. Die IP-Adresse ist die IP-Adresse des Clients. Das heißt, die NSIP-Adresse.

   Geben Sie an der Eingabeaufforderung Folgendes ein:

   client register –client  -ip  

   c) Weisen Sie dem Client eine Partition aus der Partitionsliste zu. Geben Sie Folgendes ein, um die verfügbaren Partitionen anzuzeigen:

    partition list 

   Weisen Sie eine Partition aus dieser Liste zu. Typ:

    client assignPartition -client  -par  

4. Registrieren Sie das HSM mit seinem Zertifikat auf dem NetScaler.

   Ändern Sie auf dem ADC das Verzeichnis in “/var/safenet/safenet/lunaclient/bin” und geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

   ./vtl addserver -n  -c /var/safenet/safenet/lunaclient/server_.pem 

   您Folgendes静脉,嗯das HSM祖茂堂entfernen,das am ADC registriert ist:

   ./vtl deleteServer -n  -c  

   Geben Sie Folgendes ein, um die auf dem ADC konfigurierten HSM-Server aufzulisten:

   ./vtl listServer 

   Hinweis:

   Stellen Sie vor dem Entfernen des HSM mitvtlsicher, dass alle Schlüssel für dieses HSM manuell von der Appliance entfernt wurden. HSM-Schlüssel können nicht gelöscht werden, nachdem der HSM-Server entfernt wurde.

5. Überprüfen Sie die Netzwerk-Trustlinks (NTLs) -Konnektivität zwischen ADC und HSM. Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

   ./vtl verify 

   Wenn die Überprüfung fehlschlägt, überprüfen Sie alle Schritte. Fehler sind auf eine falsche IP-Adresse in den Client-Zertifikaten zurückzuführen.

6. Speichern Sie die Konfiguration.

   Die vorherigen Schritte aktualisieren die “/etc/Chrystoki.conf” -Konfigurationsdatei. Diese Datei wird gelöscht, wenn der ADC gestartet wird. Kopieren Sie die Konfiguration in die Standardkonfigurationsdatei, die beim Neustart eines ADC verwendet wird.

   Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

   root@ns# cp /etc/Chrystoki.conf /var/safenet/config/ 

   Es wird empfohlen, diesen Befehl jedes Mal auszuführen, wenn die Konfiguration im Zusammenhang mit Thales Luna geändert wird.

7. Starten Sie den Thales Luna Gateway-Prozess.

   Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

   sh /var/safenet/gateway/start_safenet_gw 

8. Konfigurieren Sie den automatischen Start des Gateway Daemons beim Booten.

   Erstellen Sie die Datei “safenet_is_enrolled”, die angibt, dass Thales Luna HSM auf diesem ADC konfiguriert ist. Wenn der ADC neu gestartet wird und diese Datei gefunden wird, wird das Gateway automatisch gestartet.

   Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

   touch /var/safenet/safenet_is_enrolled 

9. Starten Sie die NetScaler-Appliance neu. Geben Sie an der Eingabeaufforderung Folgendes ein:

   reboot