6.2. 为密钥管理器服务创建 secret

流程

1. 将 Luna 证书和密钥放在 /opt/luna 目录树中：

   $ cp <luna_client_name>.pem /opt/luna
   $ cp <luna_client_name>Key.pem /opt/luna

   Copy to Clipboard Toggle word wrap
   • 将 <luna_client_name > 替换为 Luna 证书的名称。

2. 从 HSM 设备下载服务器证书：

   $ scp -O <hsm-device.examle.com:server.pem> /opt/luna/

   Copy to Clipboard Toggle word wrap

3. 可选：如果您有多个 HSM for HA，请从 HSM 中获取每个证书，并将其串联为一个文件：

   $ scp -O <hsm-device-01.examle.com:server-01.pem> /opt/luna/
   $ scp -O <hsm-device-02.examle.com:server-02.pem> /opt/luna/
   $ cat /opt/luna/cert/server-01.pem > /opt/luna/CAFile.pem
   $ cat /opt/luna/cert/server-02.pem >> /opt/luna/CAFile.pem

   Copy to Clipboard Toggle word wrap

4. 更新您的 Crystoki.conf 文件，使其类似于如下：

   注意

   LunaClient-Minimal tarball 的内容提取到 Key Manager 容器的 /usr/local/luna/ 目录中。您必须更新 Crystoki.conf 文件中的路径以匹配此示例。

   Chrystoki2 = {
     LibUNIX = /usr/local/luna/libs/64/libCryptoki2.so;
     LibUNIX64 = /usr/local/luna/libs/64/libCryptoki2.so;
   }
   
   Luna = {
     DefaultTimeOut = 500000;
     PEDTimeout1 = 100000;
     PEDTimeout2 = 200000;
     PEDTimeout3 = 10000;
     KeypairGenTimeOut = 2700000;
     CloningCommandTimeOut = 300000;
     CommandTimeOutPedSet = 720000;
   }
   
   CardReader = {
     RemoteCommand = 1;
   }
   
   Misc = {
     PE1746Enabled = 0;
     ToolsDir = ./bin/64;
     PartitionPolicyTemplatePath = ./ppt/partition_policy_templates;
     ProtectedAuthenticationPathFlagStatus = 0;
     MutexFolder = ./lock;
   }
   
   LunaSA Client = {
     ReceiveTimeout = 20000;
     SSLConfigFile = /usr/local/luna/openssl.cnf;
     ClientPrivKeyFile = /usr/local/luna/<luna_client_name>Key.pem;
     ClientCertFile = /usr/local/luna/<luna_client_name>.pem;
     ServerCAFile = /usr/local/luna/CAFile.pem;
     NetClient = 1;
     TCPKeepAlive = 1;
     ServerName00 = <ip_address>;
     ServerPort00 = 1792;
     ServerHtl00 = 0;
   }

   Copy to Clipboard Toggle word wrap
   • 将 <luna_client_name > 替换为 Luna 证书的名称。
   • 将 <ip_address > 替换为 Luna HSM 的 IP 地址。

5. 可选：如果要配置 HA，您必须为每个 HSM 的 IP 地址包括额外的条目，以及 VirtualToken、HASynchronize、和 HAConfigurations 参数的配置：

   ...
     ServerName00 = <ip_address>;
     ServerPort00 = 1792;
     ServerHtl00 = 0;
     ServerName01 = <ip_address>;
     ServerPort01 = 1792;
     ServerHtl01 = 0;
   }
   
   VirtualToken = {
     VirtualToken00Label = myHAGroup;
     VirtualToken00SN = <virtual_token_sn>;
     VirtualToken00Members = <virtual_token_member>,<virtual_token_member>;
   }
   
   HASynchronize = {
     myHAGroup = 1;
   }
   
   HAConfiguration = {
     haLogStatus = enabled;
   }

   Copy to Clipboard Toggle word wrap
   • 将 <virtual_token_sn > 替换为第一个分区的序列号，并带有一个 1。例如，对于分区 545000014，使用值 1545000014
   • 将 <virtual_token_member > 替换为您使用的 HSM 的分区序列号。

6. 将 chrystoki.conf 配置文件移到 /opt/luna ：

   $ mv chrystoki.conf /opt/luna

   Copy to Clipboard Toggle word wrap

7. 创建名为 create-luna-secrets.yaml 的 Ansible playbook，以创建所需的 secret：

   ---
   - name: Create secrets with the HSM certs and hsm-login credentials
   ansible.builtin.include_role:
       name: rhoso_luna_hsm
       tasks_from: create_secrets
   vars:
       luna_client_name: <luna_client_name> 

   1

   
       chrystoki_conf_src: "/opt/luna/chrystoki.conf"
       luna_server_cert_src: "/opt/luna/<server.pem>" 

   2

   
       luna_client_cert_src: "/opt/luna/"
       luna_partition_password: "<my_partion_password>" 

   3

   
       kubeconfig_path: "<kubeconfig_path>" 

   4

   
       oc_dir: "<path_to_oc>" 

   5

   
       luna_data_secret: "luna_data_secret"
       login_secret: "login_secret"
   ---

   Copy to Clipboard Toggle word wrap

   1

   将 <luna_client_name > 替换为 Luna 证书的名称。

   2

   将 <server.pem > 替换为服务器证书的名称。

   3

   将 <my_partion_password& gt; 替换为您的 HSM 分区密码。

   4

   将 <kubeconfig_path > 替换为 .kube 配置文件的路径。例如： $HOME/.kube/config。

   5

   将 <path_to_oc > 替换为 oc 的输出。

8. 运行 Ansible play 书：

   ansible-playbook create-luna-secrets.yaml

   Copy to Clipboard Toggle word wrap