ネットワーク・トラスト・リンク (NTL) の確立
ネットワーク・トラスト・リンク (NTL) は Hardware Security Module (HSM) および通信するクライアントのセキュア・チャネルです。 NTL は、HSM サーバー・パーティションとクライアント間で送信されるデータを認証し暗号化するために、双方向で証明書を使用する。
トラスト・リンクでは、NTLS プロトコルと NTLA (双方向) プロトコルの両方で TCP ポート 1792 にアクセスできる必要があることに注意してください。 この配置により、すべてのプロセスおよびユーティリティーが正しく機能することが保証されます。
NTL を確立するには、以下の手順を実行します。
-
ディレクトリ
/var/safenet/safenet/lunaclient/bin
に移動し、VTLユーティリティを使って証明書を作成する。root@IBMADC690867-s6dr# cd /var/safenet/safenet/lunaclient/bin root@IBMADC690867-s6dr# vtl createcert -n 10.121.229.224 Private Key created and written to: /var/safenet/safenet/lunaclient/cert/client/10.121.229.224Key.pem Certificate created and written to: /var/safenet/safenet/lunaclient/cert/client/10.121.229.224.pem
クライアント証明書に使用される識別子は、クライアントに割り当てられたプライベートIPである。 この ID は後で使用され、HSM によって参照されます。
-
SmartCloud Provisioning を使用して、証明書ファイルをHSMサーバーに転送します:
root@IBMADC690867-s6dr# scp /var/safenet/safenet/lunaclient/cert/client/ 10.121.229.224.pem hsm_admin@10.121.229.201: The authenticity of host '10.121.229.201 (10.121.229.201)' can't be established. ECDSA key fingerprint is SHA256:UBltOfaDojRlUVxDXh6zI3CPMF8FRaJnls0uxeWgrCY. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '10.121.229.201' (ECDSA) to the list of known hosts. hsm_admin@10.121.229.201's password: 10.121.229.224.pem 100% 818 1.6MB/s 00:00
仮想トークン・ライブラリー (VTL) について詳しくは、ユーティリティー・リファレンス・ガイド{: external にアクセスしてください。
-
Citrix Netscaler VPX クライアントにSmartCloud Provisioning を使用してHSMサーバー証明書ファイルを転送し、サーバーを追加します:
root@IBMADC690867-s6dr# scp hsm_admin@10.121.229.201:server.pem . hsm_admin@10.121.229.201's password: server.pem 100% 1180 2.3MB/s 00:00 root@IBMADC690867-s6dr# vtl addServer -n 10.121.229.201 -c server.pem New server 10.121.229.201 successfully added to server list.
上記の例は、以下の構文を使用しています。
vtl addServer -n <SA_hostname_or_IP> -c <server_certificate>
-
サーバーの追加を確認します。
root@IBMADC690867-s6dr# vtl listservers Server: 10.121.229.201 HTL required: no
-
HSMで以下のコマンドを実行し、既存のクライアントを確認する:
[jpmongehsm2] lunash:>client list registered client 1: NS-IBMADC690867-d85b registered client 2: NS-IBMADC690867-4v36 registered client 3: NS-jpmongevsi05win2012vsi-4v3 registered client 4: NS-IBMADC690867-k8ru registered client 5: NS-IBMADC690867-wnzs Command Result : 0 (Success)
-
VPX を新規クライアントとして登録します。
[jpmongehsm2] lunash:>client register -c NS-IBMADC690867-s6dr -ip 10.121.229.224 'client register' successful. Command Result : 0 (Success)
上記のコマンドは、以下の構文を使用しています。
client register -client <client_name> -ip <client_IP_address>
ただし、クライアント名は、 IBM Cloudによって割り当てられて使用される ID と一致する必要はありません。 この配置は、名前の整合性を保ちます。
-
クライアントが追加されたことを確認する:
[jpmongehsm2] lunash:>client list registered client 1: NS-IBMADC690867-d85b registered client 2: NS-IBMADC690867-4v36 registered client 3: NS-jpmongevsi05win2012vsi-4v36 registered client 4: NS-IBMADC690867-k8ru registered client 5: NS-IBMADC690867-wnzs registered client 6: NS-IBMADC690867-s6dr Command Result : 0 (Success)
-
パーティションをクライアントに割り当てます。 前に作成したパーティションを参照していることを確認してください。 名前が、前のステップで表示されたクライアントの ID と一致することを確認します。
[jpmongehsm2] lunash:>client assignPartition -c NS-IBMADC690867-s6dr -p partition6 'client assignPartition' successful. Command Result : 0 (Success)
上記の出力は、以下の構文を使用しています。
client assignPartition -client <clientname> -partition <partition name
-
Citrus Netscaler VPX で接続を検証します。
root@IBMADC690867-s6dr# vtl verify The following Luna SA Slots/Partitions were found: Slot Serial # Label ==== ================ ===== 0 534071053 partition6
vtl verify
が表示する出力は、パーティションの「スロット番号」、シリアル番号、このトラストリンクにバインドされたパーティション名を一覧表示します。 他の出力は、問題を示します。また、
/etc
ディレクトリにあるChrystokiファイルで、証明書とサーバーのパスを確認しておくとよいでしょう。 そのためには、以下のようにします。root@IBMADC690867-s6dr# cd /etc/ root@IBMADC690867-s6dr# cat /etc/Chrystoki.conf Chrystoki2 = { LibUNIX64 = /var/safenet/safenet/lunaclient/lib/libCryptoki2_64.so; } [OUTPUT OMMITED] ClientPrivKeyFile = /var/safenet/safenet/lunaclient/cert/client/10.121.229.224Key.pem; ClientCertFile = /var/safenet/safenet/lunaclient/cert/client/10.121.229.224.pem; ServerCAFile = /var/safenet/safenet/lunaclient/cert/server/CAFile.pem; NetClient = 1; HtlDir = /var/safenet/safenet/lunaclient/htl/; ServerName00 = 10.121.229.201; ServerPort00 = 1792; ServerHtl00 = 0; } [OUTPUT OMITTED]
-
以下のように、構成を保存します。
root@IBMADC690867-s6dr# cp /etc/Chrystoki.conf /var/safenet/config/
ここで使用される copy コマンドは、VPX の再起動をまたいで構成を永続化します。
-
暗号処理に必要なセーフネットゲートウェイクライアントプロセスを開始する:
root@IBMADC690867-s6dr# sh /var/safenet/gateway/start_safenet_gw
-
プロセスが実行されていることを確認する:
root@IBMADC690867-s6dr# ps aux | grep safenet_gw root 6817 0.0 0.0 10068 1500 ?? Ss 4:48PM 0:00.00 /var/safenet/gateway/safenet_gw
-
最後に、このプロセスが再起動プロセス中に自動的に開始されることを確認する:
root@IBMADC690867-s6dr# touch /var/safenet/safenet_is_enrolled
これでネットワーク・トラスト・リンクが確立されました。