在SSL卸载和加速
Citrix ADC 12.1
在Citrix ADC中
在所有产品中
产品文档
在SSL卸载和加速
Citrix ADC 12.1
在Citrix ADC中
在所有产品中
Citrix ADC
当前版本 13.0 12.1 11.1
查看PDF

在ADC上配置一个Thales Luna客户端

2021年3月23日
由:
C

在配置了Thales Luna HSM并创建了所需的分区之后,必须创建客户端并将它们分配给分区。首先在Citrix ADC上配置Thales Luna客户端,并在Thales Luna客户端和Thales Luna HSM之间设置网络信任链接(NTLs)。中给出了一个示例配置附录

1.将目录更改为/var/safenet并安装Thales Luna客户端。在shell提示符下,输入:

CD /var/safenet

要安装泰利斯Luna客户端版本6.0.0,输入:

Install_client.sh -v 600

要安装泰利斯Luna客户端6.2.2版本,输入:

安装\_client.sh -v 622

请注意

在12.0版本51中支持泰利斯Luna客户端6.2.2版本。X和以后。

2.配置Thales Luna client (ADC)和HSM之间的NTLs。

创建“/var/safenet/”目录后,在ADC上执行以下任务。

a)切换目录到“/var/safenet/config/”,执行“safenet_config”脚本。在shell提示符下,输入:

CD /var/ safenet_config sh safenet_config

该脚本将“Chrystoki.conf”文件复制到“/etc/”目录。它还生成一个符号链接' libCryptoki2_64。在' /usr/lib/ '目录中。

b)创建并在ADC和泰利斯Luna HSM之间传输证书和密钥。

为了安全通信,ADC和HSM必须交换证书。在ADC上创建证书和密钥,然后将其传输到HSM。拷贝HSM证书到ADC。

i)修改目录为/var/safenet/safenet/ lunclient /bin。

ii)在ADC上创建证书。在shell提示符下,输入:

./vtl createCert -n < Citrix ADC的ip地址>

该命令还会将证书和密钥路径添加到“/etc/Chrystoki.conf”文件中。

iii)将此证书复制到HSM。在shell提示符下,输入:

scp /var/safenet/safenet/ lunclient /cert/client/< NS>的ip地址。pem @< LunaSA的IP地址>

iv)拷贝HSM证书到Citrix ADC。在shell提示符下,输入:

scp @:服务器。pem /var/safenet/safenet/ lunclient /server_. pem /var/safenet/safenet/ lunclient /server_. pempem < !——NeedCopy >

3)注册Citrix ADC作为客户端,并在Thales Luna HSM上为其分配一个分区。

登录HSM并创建客户端。输入NSIP作为客户端IP。这必须是您将证书传输到HSM的ADC的IP地址。客户端注册成功后,为其分配分区。在HSM上执行以下命令。

a)使用SSH连接到泰利斯Luna HSM,并输入密码。

b)在泰利斯Luna HSM上注册Citrix ADC。客户端已在HSM上创建。IP地址为客户端的IP地址。即NSIP地址。

在提示符下,输入:

客户端注册-客户端<客户端名称> -ip

c)从分区列表中为客户端分配一个分区。要查看可用分区,输入:

分区列表

从这个列表中分配一个分区。类型:

 client assignPartition -client < client Name> -par

4)在Citrix ADC上注册HSM及其证书。

在ADC上,将目录更改为“/var/safenet/safenet/lunaclient/bin”,并在shell提示符下输入:

./vtl addserver -n  -c /var/safenet/safenet/ lunclientent /server_.使用实例pem < !——NeedCopy >

要删除在ADC上注册的HSM,输入:

./vtl deleteServer -n  -c

要列出ADC上配置的HSM服务器,输入:

./vtl listServer

注意:

在使用vtl删除HSM之前,请确保已手动从设备中删除该HSM的所有密钥。删除HSM服务器后,无法删除HSM密钥。

5)验证ADC和HSM之间的网络信任链路(NTLs)连通性。在shell提示符下,输入:

./vtl verify

如果验证失败,请重新检查所有步骤。错误通常是由于客户端证书中的IP地址不正确。

6)保存配置。

以上步骤更新“/etc/Chrystoki.conf”配置文件。该文件将在ADC启动时删除。将配置复制到ADC重启时使用的默认配置文件中。

在shell提示符下,输入:

root@ns# cp /etc/Chrystoki.conf /var/safenet/config/

推荐的做法是每次Thales luna相关配置发生变化时都运行此命令。

7)启动泰利斯Luna网关流程。

在shell提示符下,输入:

Sh /var/ safenet_gateway /start_safenet_gw

8)配置网关守护进程在启动时自动启动。

创建“safenet_is_enroll”文件,该文件表示在此ADC上配置了Thales Luna HSM。每当ADC重新启动并找到该文件时,网关就会自动启动。

在shell提示符下,输入:

点击/var/ safenet_is_enroll
在ADC上配置一个Thales Luna客户端
2021年3月23日
由:
C
2021年3月23日
由:
C

在本文中

    网站反馈 | 隐私和法律条款 | 饼干的偏好 | 同意设置
    ©1999 -思杰系统公司版权所有。