Establecer un enlace de confianza de red (NTL)
Un enlace de confianza de red (NTL) es un canal seguro para que el gestor de servicios de hardware (HSM) y el cliente se comuniquen. Las NTL utilizan certificados en ambas direcciones para autenticar y cifrar los datos que se transmiten entre las particiones del servidor HSM y los clientes.
Tenga en cuenta que el enlace de confianza requiere que el puerto TCP 1792 sea accesible en los protocolos NTLS y NTLA (bidireccional). Esta disposición garantiza que todos los procesos y utilidades funcionen correctamente.
Para establecer el enlace de confianza de red, realice el procedimiento siguiente:
-
Navegue hasta el directorio
/var/safenet/safenet/lunaclient/bin
y cree el certificado mediante la utilidad VTL.root@IBMADC690867-s6dr# cd /var/safenet/safenet/lunaclient/bin root@IBMADC690867-s6dr# vtl createcert -n 10.121.229.224 Private Key created and written to: /var/safenet/safenet/lunaclient/cert/client/10.121.229.224Key.pem Certificate created and written to: /var/safenet/safenet/lunaclient/cert/client/10.121.229.224.pem
El identificador que se utiliza para el certificado del cliente es la IP privada que tiene asignada. El identificador se utiliza más adelante y el HSM hace referencia a él.
-
Transfiera el archivo de certificado al servidor HSM mediante SmartCloud Provisioning:
root@IBMADC690867-s6dr# scp /var/safenet/safenet/lunaclient/cert/client/ 10.121.229.224.pem hsm_admin@10.121.229.201: The authenticity of host '10.121.229.201 (10.121.229.201)' can't be established. ECDSA key fingerprint is SHA256:UBltOfaDojRlUVxDXh6zI3CPMF8FRaJnls0uxeWgrCY. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '10.121.229.201' (ECDSA) to the list of known hosts. hsm_admin@10.121.229.201's password: 10.121.229.224.pem 100% 818 1.6MB/s 00:00
Para obtener más información sobre VTL (Biblioteca de señales virtuales), vaya a Guía de consulta de programas de utilidad{: externo.
-
Transfiera el archivo de certificado del servidor HSM al cliente Citrix Netscaler VPX mediante SmartCloud Provisioning y, a continuación, añada el servidor:
root@IBMADC690867-s6dr# scp hsm_admin@10.121.229.201:server.pem . hsm_admin@10.121.229.201's password: server.pem 100% 1180 2.3MB/s 00:00 root@IBMADC690867-s6dr# vtl addServer -n 10.121.229.201 -c server.pem New server 10.121.229.201 successfully added to server list.
El ejemplo anterior utiliza la sintaxis siguiente:
vtl addServer -n <SA_hostname_or_IP> -c <server_certificate>
-
Confirme la adición del servidor:
root@IBMADC690867-s6dr# vtl listservers Server: 10.121.229.201 HTL required: no
-
En el HSM, ejecute el siguiente comando para ver los clientes existentes:
[jpmongehsm2] lunash:>client list registered client 1: NS-IBMADC690867-d85b registered client 2: NS-IBMADC690867-4v36 registered client 3: NS-jpmongevsi05win2012vsi-4v3 registered client 4: NS-IBMADC690867-k8ru registered client 5: NS-IBMADC690867-wnzs Command Result : 0 (Success)
-
Registre el VPX como nuevo cliente:
[jpmongehsm2] lunash:>client register -c NS-IBMADC690867-s6dr -ip 10.121.229.224 'client register' successful. Command Result : 0 (Success)
El mandato anterior utiliza la sintaxis siguiente:
client register -client <client_name> -ip <client_IP_address>
Sin embargo, el nombre de cliente no tiene que coincidir con el identificador asignado y utilizado por IBM Cloud. Esta disposición mantiene la coherencia de los nombres.
-
Confirme que se ha añadido el cliente:
[jpmongehsm2] lunash:>client list registered client 1: NS-IBMADC690867-d85b registered client 2: NS-IBMADC690867-4v36 registered client 3: NS-jpmongevsi05win2012vsi-4v36 registered client 4: NS-IBMADC690867-k8ru registered client 5: NS-IBMADC690867-wnzs registered client 6: NS-IBMADC690867-s6dr Command Result : 0 (Success)
-
Asigne una partición al cliente. Asegúrese de que hace referencia a la partición que se ha creado antes. Asegúrese de que el nombre coincide con el identificador del cliente que se visualiza en el paso anterior.
[jpmongehsm2] lunash:>client assignPartition -c NS-IBMADC690867-s6dr -p partition6 'client assignPartition' successful. Command Result : 0 (Success)
El resultado anterior utiliza la sintaxis siguiente:
client assignPartition -client <clientname> -partition <partition name
-
Verifique la conectividad en Citrus Netscaler VPX:
root@IBMADC690867-s6dr# vtl verify The following Luna SA Slots/Partitions were found: Slot Serial # Label ==== ================ ===== 0 534071053 partition6
La salida mostrada por
vtl verify
muestra el "Slot #" de la partición, el número de serie y el nombre de la partición vinculada a este enlace de confianza. Cualquier otro resultado indica un problema.Además, también es buena idea confirmar las rutas de los certificados y del servidor en el archivo Chrystoki que se encuentra en el directorio
/etc
. Para ello:root@IBMADC690867-s6dr# cd /etc/ root@IBMADC690867-s6dr# cat /etc/Chrystoki.conf Chrystoki2 = { LibUNIX64 = /var/safenet/safenet/lunaclient/lib/libCryptoki2_64.so; } [OUTPUT OMMITED] ClientPrivKeyFile = /var/safenet/safenet/lunaclient/cert/client/10.121.229.224Key.pem; ClientCertFile = /var/safenet/safenet/lunaclient/cert/client/10.121.229.224.pem; ServerCAFile = /var/safenet/safenet/lunaclient/cert/server/CAFile.pem; NetClient = 1; HtlDir = /var/safenet/safenet/lunaclient/htl/; ServerName00 = 10.121.229.201; ServerPort00 = 1792; ServerHtl00 = 0; } [OUTPUT OMITTED]
-
Guarde la configuración:
root@IBMADC690867-s6dr# cp /etc/Chrystoki.conf /var/safenet/config/
El comando copy que se utiliza aquí hace que la configuración persista a través de reinicios en VPX.
-
Inicie el proceso de cliente de pasarela de red segura necesario para las operaciones criptográficas:
root@IBMADC690867-s6dr# sh /var/safenet/gateway/start_safenet_gw
-
Confirme que el proceso está en marcha:
root@IBMADC690867-s6dr# ps aux | grep safenet_gw root 6817 0.0 0.0 10068 1500 ?? Ss 4:48PM 0:00.00 /var/safenet/gateway/safenet_gw
-
Por último, asegúrese de que este proceso se inicia automáticamente durante el proceso de reinicio:
root@IBMADC690867-s6dr# touch /var/safenet/safenet_is_enrolled
Se ha establecido el enlace de confianza de red (NTL).