Network Trust Link (NTL) einrichten

Ein Network Trust Link (NTL) ist ein sicherer Kanal für die Kommunikation zwischen dem Hardware Security Module (HSM) und dem Client. NTLs verwenden Zertifikate in beide Richtungen, um Daten zu authentifizieren und zu verschlüsseln, die zwischen HSM-Serverpartitionen und Clients übertragen werden.

Beachten Sie, dass für den Trust-Link TCP-Port 1792 sowohl in den NTLS-als auch in den NTLA-Protokollen (bidirektional) zugänglich sein muss. Diese Anordnung garantiert, dass alle Prozesse und Dienstprogramme ordnungsgemäß funktionieren.

Gehen Sie wie folgt vor, um den NTL einzurichten:

1. Navigieren Sie zum Verzeichnis /var/safenet/safenet/lunaclient/bin und erstellen Sie das Zertifikat mit Hilfe des VTL-Dienstprogramms.

   root@IBMADC690867-s6dr# cd /var/safenet/safenet/lunaclient/bin
   root@IBMADC690867-s6dr# vtl createcert -n 10.121.229.224
   Private Key created and written to: /var/safenet/safenet/lunaclient/cert/client/10.121.229.224Key.pem
   Certificate created and written to: /var/safenet/safenet/lunaclient/cert/client/10.121.229.224.pem
   

   Die Kennung, die für das Client-Zertifikat verwendet wird, ist die ihm zugewiesene private IP. Die Kennung wird später verwendet und vom HSM referenziert.

2. Übertragen Sie die Zertifikatsdatei mithilfe von SmartCloud Provisioning auf den HSM-Server:

   root@IBMADC690867-s6dr# scp /var/safenet/safenet/lunaclient/cert/client/	10.121.229.224.pem hsm_admin@10.121.229.201:
   
   The authenticity of host '10.121.229.201 (10.121.229.201)' can't be established.
   
   ECDSA key fingerprint is SHA256:UBltOfaDojRlUVxDXh6zI3CPMF8FRaJnls0uxeWgrCY.
   
   Are you sure you want to continue connecting (yes/no)? yes
   
   Warning: Permanently added '10.121.229.201' (ECDSA) to the list of known hosts.
   
   hsm_admin@10.121.229.201's password:
   
   10.121.229.224.pem                                                 
   	100%  818     	
   	1.6MB/s   
   	00:00
   

   Weitere Informationen zu Virtual Token Library (VTL) finden Sie unter Dienstprogramme-Referenzhandbuch{: external.

3. Übertragen Sie die HSM-Server-Zertifikatsdatei auf den Citrix Netscaler VPX-Client, indem Sie SmartCloud Provisioning verwenden, und fügen Sie dann den Server hinzu:

   root@IBMADC690867-s6dr# scp hsm_admin@10.121.229.201:server.pem .
   hsm_admin@10.121.229.201's password:
   
   server.pem                                                         
   100% 1180     	
   2.3MB/s   
   00:00
   
   root@IBMADC690867-s6dr# vtl addServer -n 10.121.229.201 -c server.pem
   
   New server 10.121.229.201 successfully added to server list.
   

   Im vorherigen Beispiel wird die folgende Syntax verwendet:

   vtl addServer -n <SA_hostname_or_IP> -c <server_certificate>
   

4. Bestätigen Sie das Hinzufügen des Servers:

   root@IBMADC690867-s6dr# vtl listservers
   Server: 10.121.229.201  HTL required: no
   

5. Führen Sie im HSM den folgenden Befehl aus, um alle vorhandenen Clients anzuzeigen:

   [jpmongehsm2] lunash:>client list
   
   registered client 1: NS-IBMADC690867-d85b
   registered client 2: NS-IBMADC690867-4v36
   registered client 3: NS-jpmongevsi05win2012vsi-4v3
   registered client 4: NS-IBMADC690867-k8ru
   registered client 5: NS-IBMADC690867-wnzs
   
   Command Result : 0 (Success)
   

6. Registrieren Sie den VPX als neuen Client:

   [jpmongehsm2] lunash:>client register -c NS-IBMADC690867-s6dr -ip 10.121.229.224
   
   'client register' successful.
   
   Command Result : 0 (Success)
   

   Die Syntax des vorangegangenen Befehls lautet wie folgt:

   client register -client <client_name> -ip <client_IP_address>
   

   Der Clientname muss jedoch nicht mit der Kennung übereinstimmen, die von IBM Cloudzugewiesen und verwendet wird. Diese Anordnung hält Namen konsistent.

7. Bestätigen Sie, dass der Client hinzugefügt wurde:

   [jpmongehsm2] lunash:>client list
   
   registered client 1: NS-IBMADC690867-d85b
   registered client 2: NS-IBMADC690867-4v36
   registered client 3: NS-jpmongevsi05win2012vsi-4v36
   registered client 4: NS-IBMADC690867-k8ru
   registered client 5: NS-IBMADC690867-wnzs
   registered client 6: NS-IBMADC690867-s6dr
   
   Command Result : 0 (Success)
   

8. Ordnen Sie dem Client eine Partition zu. Stellen Sie sicher, dass Sie auf die Partition verweisen, die zuvor erstellt wurde. Stellen Sie sicher, dass der Name mit der ID für den Client übereinstimmt, der im vorherigen Schritt angezeigt wurde.

   [jpmongehsm2] lunash:>client assignPartition -c NS-IBMADC690867-s6dr -p partition6
   
   'client assignPartition' successful.
   
   Command Result : 0 (Success)
   

   Die Syntax der vorangegangenen Ausgabe lautet wie folgt:

   client assignPartition -client <clientname> -partition <partition name
   

9. Überprüfen Sie die Konnektivität in Ihrer Citrix NetScaler VPX-Instanz:

   root@IBMADC690867-s6dr# vtl verify
   
   The following Luna SA Slots/Partitions were found:
   
   Slot    Serial #                Label
   ====    ================        =====
   0           534071053        partition6
   

   Die Ausgabe, die von vtl verify angezeigt wird, listet den "Slot #" der Partition, die Seriennummer und den Namen der Partition auf, die an diesen Trust Link gebunden ist. Jede andere Ausgabe weist auf ein Problem hin.

   Außerdem ist es ratsam, die Pfade der Zertifikate und des Servers in der Chrystoki-Datei zu bestätigen, die sich im Verzeichnis /etc befindet. Um dies zu tun:

   root@IBMADC690867-s6dr# cd /etc/
       root@IBMADC690867-s6dr# cat /etc/Chrystoki.conf
   	Chrystoki2 = {
   		LibUNIX64 = /var/safenet/safenet/lunaclient/lib/libCryptoki2_64.so;
   		}
   
   	[OUTPUT OMMITED]
   		ClientPrivKeyFile = /var/safenet/safenet/lunaclient/cert/client/10.121.229.224Key.pem;
   		ClientCertFile = /var/safenet/safenet/lunaclient/cert/client/10.121.229.224.pem;
   		ServerCAFile = /var/safenet/safenet/lunaclient/cert/server/CAFile.pem;
   		NetClient = 1;
   		HtlDir = /var/safenet/safenet/lunaclient/htl/;
   		ServerName00 = 10.121.229.201;
   		ServerPort00 = 1792;
   		ServerHtl00 = 0;
   	}
   	[OUTPUT OMITTED]
   

10. Speichern Sie die Konfiguration:

    root@IBMADC690867-s6dr# cp /etc/Chrystoki.conf /var/safenet/config/
    

    Der hier verwendete Kopierbefehl macht die Konfiguration über Neustarts in VPX hinweg beständig.

11. Starten Sie den für kryptografische Operationen erforderlichen Safe-Net-Gateway-Client-Prozess:

    root@IBMADC690867-s6dr# sh /var/safenet/gateway/start_safenet_gw
    

12. Bestätigen Sie, dass der Prozess läuft:

    root@IBMADC690867-s6dr# ps aux | grep safenet_gw
    root       
    6817  0.0  0.0 10068  1500  ??  Ss    
    4:48PM   
    0:00.00 /var/safenet/gateway/safenet_gw
    

13. Stellen Sie schließlich sicher, dass dieser Prozess während des Neustarts automatisch gestartet wird:

    root@IBMADC690867-s6dr# touch /var/safenet/safenet_is_enrolled
    

Ihr Network Trust Link ist jetzt eingerichtet.