ネットワーク・トラスト・リンク (NTL) の確立

ネットワーク・トラスト・リンク (NTL) は Hardware Security Module (HSM) および通信するクライアントのセキュア・チャネルです。 NTL は、HSM サーバー・パーティションとクライアント間で送信されるデータを認証し暗号化するために、双方向で証明書を使用する。

トラスト・リンクでは、NTLS プロトコルと NTLA (双方向) プロトコルの両方で TCP ポート 1792 にアクセスできる必要があることに注意してください。 この配置により、すべてのプロセスおよびユーティリティーが正しく機能することが保証されます。

NTL を確立するには、以下の手順を実行します。

1. ディレクトリ /var/safenet/safenet/lunaclient/bin に移動し、VTLユーティリティを使って証明書を作成する。

   root@IBMADC690867-s6dr# cd /var/safenet/safenet/lunaclient/bin
   root@IBMADC690867-s6dr# vtl createcert -n 10.121.229.224
   Private Key created and written to: /var/safenet/safenet/lunaclient/cert/client/10.121.229.224Key.pem
   Certificate created and written to: /var/safenet/safenet/lunaclient/cert/client/10.121.229.224.pem
   

   クライアント証明書に使用される識別子は、クライアントに割り当てられたプライベートIPである。 この ID は後で使用され、HSM によって参照されます。

2. SmartCloud Provisioning を使用して、証明書ファイルをHSMサーバーに転送します：

   root@IBMADC690867-s6dr# scp /var/safenet/safenet/lunaclient/cert/client/	10.121.229.224.pem hsm_admin@10.121.229.201:
   
   The authenticity of host '10.121.229.201 (10.121.229.201)' can't be established.
   
   ECDSA key fingerprint is SHA256:UBltOfaDojRlUVxDXh6zI3CPMF8FRaJnls0uxeWgrCY.
   
   Are you sure you want to continue connecting (yes/no)? yes
   
   Warning: Permanently added '10.121.229.201' (ECDSA) to the list of known hosts.
   
   hsm_admin@10.121.229.201's password:
   
   10.121.229.224.pem                                                 
   	100%  818     	
   	1.6MB/s   
   	00:00
   

   仮想トークン・ライブラリー (VTL) について詳しくは、ユーティリティー・リファレンス・ガイド{: external にアクセスしてください。

3. Citrix Netscaler VPX クライアントにSmartCloud Provisioning を使用してHSMサーバー証明書ファイルを転送し、サーバーを追加します：

   root@IBMADC690867-s6dr# scp hsm_admin@10.121.229.201:server.pem .
   hsm_admin@10.121.229.201's password:
   
   server.pem                                                         
   100% 1180     	
   2.3MB/s   
   00:00
   
   root@IBMADC690867-s6dr# vtl addServer -n 10.121.229.201 -c server.pem
   
   New server 10.121.229.201 successfully added to server list.
   

   上記の例は、以下の構文を使用しています。

   vtl addServer -n <SA_hostname_or_IP> -c <server_certificate>
   

4. サーバーの追加を確認します。

   root@IBMADC690867-s6dr# vtl listservers
   Server: 10.121.229.201  HTL required: no
   

5. HSMで以下のコマンドを実行し、既存のクライアントを確認する：

   [jpmongehsm2] lunash:>client list
   
   registered client 1: NS-IBMADC690867-d85b
   registered client 2: NS-IBMADC690867-4v36
   registered client 3: NS-jpmongevsi05win2012vsi-4v3
   registered client 4: NS-IBMADC690867-k8ru
   registered client 5: NS-IBMADC690867-wnzs
   
   Command Result : 0 (Success)
   

6. VPX を新規クライアントとして登録します。

   [jpmongehsm2] lunash:>client register -c NS-IBMADC690867-s6dr -ip 10.121.229.224
   
   'client register' successful.
   
   Command Result : 0 (Success)
   

   上記のコマンドは、以下の構文を使用しています。

   client register -client <client_name> -ip <client_IP_address>
   

   ただし、クライアント名は、 IBM Cloudによって割り当てられて使用される ID と一致する必要はありません。 この配置は、名前の整合性を保ちます。

7. クライアントが追加されたことを確認する：

   [jpmongehsm2] lunash:>client list
   
   registered client 1: NS-IBMADC690867-d85b
   registered client 2: NS-IBMADC690867-4v36
   registered client 3: NS-jpmongevsi05win2012vsi-4v36
   registered client 4: NS-IBMADC690867-k8ru
   registered client 5: NS-IBMADC690867-wnzs
   registered client 6: NS-IBMADC690867-s6dr
   
   Command Result : 0 (Success)
   

8. パーティションをクライアントに割り当てます。 前に作成したパーティションを参照していることを確認してください。 名前が、前のステップで表示されたクライアントの ID と一致することを確認します。

   [jpmongehsm2] lunash:>client assignPartition -c NS-IBMADC690867-s6dr -p partition6
   
   'client assignPartition' successful.
   
   Command Result : 0 (Success)
   

   上記の出力は、以下の構文を使用しています。

   client assignPartition -client <clientname> -partition <partition name
   

9. Citrus Netscaler VPX で接続を検証します。

   root@IBMADC690867-s6dr# vtl verify
   
   The following Luna SA Slots/Partitions were found:
   
   Slot    Serial #                Label
   ====    ================        =====
   0           534071053        partition6
   

   vtl verify が表示する出力は、パーティションの「スロット番号」、シリアル番号、このトラストリンクにバインドされたパーティション名を一覧表示します。 他の出力は、問題を示します。

   また、/etc ディレクトリにあるChrystokiファイルで、証明書とサーバーのパスを確認しておくとよいでしょう。 そのためには、以下のようにします。

   root@IBMADC690867-s6dr# cd /etc/
       root@IBMADC690867-s6dr# cat /etc/Chrystoki.conf
   	Chrystoki2 = {
   		LibUNIX64 = /var/safenet/safenet/lunaclient/lib/libCryptoki2_64.so;
   		}
   
   	[OUTPUT OMMITED]
   		ClientPrivKeyFile = /var/safenet/safenet/lunaclient/cert/client/10.121.229.224Key.pem;
   		ClientCertFile = /var/safenet/safenet/lunaclient/cert/client/10.121.229.224.pem;
   		ServerCAFile = /var/safenet/safenet/lunaclient/cert/server/CAFile.pem;
   		NetClient = 1;
   		HtlDir = /var/safenet/safenet/lunaclient/htl/;
   		ServerName00 = 10.121.229.201;
   		ServerPort00 = 1792;
   		ServerHtl00 = 0;
   	}
   	[OUTPUT OMITTED]
   

10. 以下のように、構成を保存します。

    root@IBMADC690867-s6dr# cp /etc/Chrystoki.conf /var/safenet/config/
    

    ここで使用される copy コマンドは、VPX の再起動をまたいで構成を永続化します。

11. 暗号処理に必要なセーフネットゲートウェイクライアントプロセスを開始する：

    root@IBMADC690867-s6dr# sh /var/safenet/gateway/start_safenet_gw
    

12. プロセスが実行されていることを確認する：

    root@IBMADC690867-s6dr# ps aux | grep safenet_gw
    root       
    6817  0.0  0.0 10068  1500  ??  Ss    
    4:48PM   
    0:00.00 /var/safenet/gateway/safenet_gw
    

13. 最後に、このプロセスが再起動プロセス中に自動的に開始されることを確認する：

    root@IBMADC690867-s6dr# touch /var/safenet/safenet_is_enrolled
    

これでネットワーク・トラスト・リンクが確立されました。