在ADC上配置泰勒斯Luna客户端

配置泰勒斯Luna HSM并创建所需的分区之后,必须创建客户端并将其分配给分区。首先在Citrix ADC上配置泰勒斯Luna客户端,然后在泰勒斯Luna客户端和泰利斯Luna HSM之间设置网络信任链接(NTL)。附录中给出了一个示例配置。

1. 将目录更改为/var/safenet并安装泰勒斯Luna客户端。在壳牌提示符下,键入:

   cd /var/safenet < !——NeedCopy >

   要安装泰勒斯Luna客户端版本0,请键入:

   安装_client.sh-v 600<！--NeedCopy-->

   要安装 月神泰利斯酒店客户端版本 6.2.2，请键入：

   Install_client.sh -v 622 

   要安装泰勒斯Luna客户端7.2.2版本,请键入:

   安装_client.sh-v 722<！--NeedCopy-->

2. 在泰勒斯Luna客户端(ADC)和HSM之间配置NTL。

   创建/var/safenet/目录后,在ADC上执行以下任务。

   一)将目录更改为/ var / safenet / config /”并运行“safenet_config”脚本。在壳牌提示符下,键入:

   CD /var/safenet/config sh safenet_config 

   这个脚本将“Chrystoki.conf”文件复制到/ etc /目录中。它还会在/ usr / lib /“目录中生成一个符号链接“libCryptoki2_64.so”。

   b)在ADC和泰利斯Luna HSM之间创建并转移证书和密钥。

   为了安全通信，模数转换器和 HSM必须交换证书。在 模数转换器上创建证书和密钥，然后将其传输到 HSM将 HSM证书复制到 ADC

   我)将目录更改为/var/safenet/safenet/lunaclient/bin.

   (ii)在 模数转换器上创建证书。在 壳提示符下，键入：

   ./vtl createCert -n  

   此命令还将证书和密钥路径添加到“/ ETC / Chrystoki.conf”文件中。

   3)将此证书复制到歌舞青春。在壳牌提示符下,键入:

   scp/var/safenet/safenet/lunaclient/cert/client/.pem@<！--NeedCopy-->

   (四)将HSM证书复制到Citrix ADC。在壳牌提示符下,键入:

   scp < HSM账户> @ < HSM IP >:服务器。pem /var/safenet/safenet/lunaclient/server_ < HSM ip >。pem < !——NeedCopy >

3. 将 Citrix ADC注册为客户端，然后在 泰利斯卢纳HSM上为其分配一个分区。

   登录到 HSM并创建客户端。输入 NSIP作为客户端 知识产权此地址必须是您将证书传输到 HSM的 模数转换器的 知识产权地址。成功注册客户端后，为其分配一个分区。在 HSM上运行以下命令。

   一)使用SSH连接到泰勒斯Luna HSM并输入密码。

   b)在泰勒斯Luna HSM上注册Citrix ADC。客户端是在HSM上创建的。IP地址是客户端的IP地址。也就是说,NSIP地址。

   在提示符下，键入：

   客户端注册-客户端<客户端名称>-ip<！--NeedCopy-->

   c)从分区列表中为客户端分配一个分区。要查看可用的分区，请键入：

    partition list 

   从此列表中分配一个分区。类型：

    client assignPartition -client < client Name> -par  

4. 在Citrix ADC上使用其证书注册HSM。

   在ADC上,将目录更改为" / var / safenet / lunaclient / bin”,然后在壳牌提示符下键入:

   /vtl addserver-n-c/var/safenet/safenet/lunaclient/server.pem<！--NeedCopy-->

   要移除在ADC上注册的歌舞青春,请键入:

   ./vtl deleteServer -n  -c  

   要列出在ADC上配置的HSM服务器,请键入:

   。/ vtl其实< !——NeedCopy >

   注意:使用删除HSM之前vtl，请确保从设备中手动删除该 HSM的所有密钥。HSM服务器删除后，无法删除 HSM密钥。

5. 验证ADC和HSM之间的网络信任链路(NTL)连接。在壳牌提示符下,键入:

   /vtl验证<！--NeedCopy-->

   如果验证失败，请查看所有步骤。错误是由于客户端证书中的IP地址不正确。

6. 保存配置。

   上述步骤将更新 “/etC/chrystoki.conf”配置文件。当 模数转换器启动时，此文件将被删除。将配置复制到重新启动 模数转换器时使用的默认配置文件。

   在壳牌提示符下,键入:

   cp /etc/Chrystoki.conf /var/safenet/config/ 

   推荐的做法是每次更改泰勒斯Luna相关配置时都运行此命令。

7. 启动泰勒斯Luna网关进程。

   在壳牌提示符下,键入:

   sh /var/safenet/gateway/start_safenet_gw < !——NeedCopy >

8. 在引导时配置网关关守护进程的自动启动。

   创建“safenet_is_已登记“文件,该文件表示在此ADC上配置了泰勒斯Luna HSM。无论何时ADC重新启动并找到此文件,网关关都会自动启动。

   在壳牌提示符下,键入:

   触摸/var/safenet/safenet_is_enrolled < !——NeedCopy >