MPX 9700/10500/12500/15500 FIPS-Geräte
Wichtig! Die FIPS-Plattform MPX 9700/10500/12500/15500 hat das Lebensende erreicht.
Der Federal Information Processing Standard (FIPS), ausgestellt vom US National Institute of Standards and Technologies, legt die Sicherheitsanforderungen für ein kryptografisches Modul fest, das in einem Sicherheitssystem verwendet wird. Die NetScaler FIPS-Appliance entspricht der zweiten Version dieses Standards, FIPS-140-2.
Anmerkung: Von nun an implizieren alle Verweise auf FIPS-140-2.
Die FIPS-Appliance ist mit einem manipulationssicheren (manipulationssicheren) kryptografischen Modul und einem Cavium CN1620-NFBE3-2.0-G auf den MPX 9700/10500/12500/15500 FIPS-Appliances ausgestattet, das den FIPS 140-2 Level-2-Spezifikationen entspricht. Die kritischen Sicherheitsparameter (CSPs), in erster Linie der private Schlüssel des Servers, werden sicher im kryptografischen Modul gespeichert und generiert, das auch als Hardware Security Module (HSM) bezeichnet wird. Auf die CSPs wird niemals außerhalb der Grenzen des HSM zugegriffen. Nur der Superuser kann Operationen mit den im HSM gespeicherten Schlüsseln ausführen.
In der folgenden Tabelle sind die Unterschiede zwischen Standard-NetScaler- und NetScaler FIPS-Appliances zusammengefasst.
Einstellung | NetScaler Appliance | NetScaler FIPS-Appliance |
---|---|---|
Aufbewahrung von Schlüsseln | Auf der Festplatte | Auf der FIPS-Karte |
Chiffrierunterstützung | Alle Chiffren | FIPS-zugelassene Chiffren |
Zugriff auf Schlüssel | Von der Festplatte | Nicht zugänglich |
Die Konfiguration einer FIPS-Appliance umfasst die Konfiguration des HSM unmittelbar nach Abschluss des generischen Konfigurationsprozesses. Anschließend erstellen oder importieren Sie einen FIPS-Schlüssel. Nachdem Sie einen FIPS-Schlüssel erstellt haben, müssen Sie ihn zur Backup exportieren. Möglicherweise müssen Sie auch einen FIPS-Schlüssel exportieren, damit Sie ihn in eine andere Appliance importieren können. Zum Beispiel erfordert das Konfigurieren von FIPS-Appliances in einem Hochverfügbarkeits-Setup die Übertragung des FIPS-Schlüssels vom primären Knoten auf den sekundären Knoten unmittelbar nach Abschluss des Standard-Hochverfügbarkeits-Setups.
Sie können die Firmware-Version auf der FIPS-Karte von Version 4.6.0 auf 4.6.1 aktualisieren. Sie können auch ein HSM zurücksetzen, das gesperrt wurde, um eine unbefugte Anmeldung zu verhindern. Nur FIPS-genehmigte Verschlüsselungen werden auf einer NetScaler FIPS-Appliance unterstützt.
HSM-Konfiguration
Bevor Sie das HSM Ihrer NetScaler FIPS-Appliance konfigurieren können, müssen Sie die anfängliche Hardwarekonfiguration abschließen. Weitere Informationen zu MPX-Appliances finden Sie unter Erstkonfiguration. Für Informationen zu SDX-Appliances klicken Sie hier.
Durch die Konfiguration des HSM Ihrer NetScaler FIPS-Appliance werden alle vorhandenen Daten auf dem HSM gelöscht. Um das HSM zu konfigurieren, müssen Sie als Superuser an der Appliance angemeldet sein. Das HSM ist mit Standardwerten für das Security Officer (SO) -Kennwort und Benutzerkennwort vorkonfiguriert, mit denen Sie das HSM konfigurieren oder ein gesperrtes HSM zurücksetzen. Die maximal zulässige Länge für das Kennwort beträgt 14 alphanumerische Zeichen. Symbole sind nicht erlaubt.
Wichtig: Führen Sie den
set ssl fips
Befehl erst aus, nachdem Sie zuerst die FIPS-Karte zurückgesetzt und die MPX FIPS-Appliance neu gestartet haben.
Obwohl die FIPS-Appliance mit den Standardkennwortwerten verwendet werden kann, müssen Sie diese vor der Verwendung ändern. Das HSM kann nur konfiguriert werden, wenn Sie sich als Superuser bei der Appliance anmelden und die SO- und Benutzerkennwörter angeben.
Wichtig: Aufgrund von Sicherheitsbeschränkungen bietet die Appliance keine Möglichkeit zum Abrufen des SO-Kennworts. Bewahren Sie eine Kopie des Kennworts sicher auf. Wenn Sie das HSM neu initialisieren müssen, müssen Sie dieses Kennwort als das alte SO-Kennwort angeben.
Bevor Sie das HSM initialisieren, können Sie auf den neuesten Build der Software upgraden. Informationen zum Upgrade auf den neuesten Build finden Sie unter Upgrade oder Downgrade der Systemsoftware.
Stellen Sie nach dem Upgrade sicher, dass das Verzeichnis /nsconfig/fips
erfolgreich auf der Appliance erstellt wurde.
Konfigurieren des HSM auf der FIPS-Plattform MPX 9700/10500/12500/15500 über die CLI
Nachdem Sie sich als Superuser bei der Appliance angemeldet und die Erstkonfiguration abgeschlossen haben, geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um das HSM zu konfigurieren und die Konfiguration zu überprüfen:
show ssl fips
reset ssl fips
reboot
set ssl fips -initHSM Level-2 <newSOpassword> <oldSOpassword> <userPassword> [-hsmLabel <string>]
save ns config
reboot
show ssl fips
<!--NeedCopy-->
Beispiel:
show fips
FIPS Card is not configured
Done
reset fips
reboot
Are you sure you want to restart NetScaler (Y/N)? [N]:y
set ssl fips -initHSM Level-2 sopin12345 so12345 user123 -hsmLabel cavium
This command will erase all data on the FIPS card. You must save the configuration
(saveconfig) after executing this command.
Do you want to continue?(Y/N)y
Done
save ns config
reboot
Are you sure you want to restart NetScaler (Y/N)? [N]:y
show fips
FIPS HSM Info:
HSM Label : NetScaler FIPS
Initialization : FIPS-140-2 Level-2
HSM Serial Number : 2.1G1008-IC000021
HSM State : 2
HSM Model : NITROX XL CN1620-NFBE
Firmware Version : 1.1
Firmware Release Date : Jun04,2010
Max FIPS Key Memory : 3996
Free FIPS Key Memory : 3994
Total SRAM Memory : 467348
Free SRAM Memory : 62564
Total Crypto Cores : 3
Enabled Crypto Cores : 1
Done
Note: If you upgrade the firmware to version 2.2, the firmware release date is replaced with the firmware build.
> show fips
FIPS HSM Info:
HSM Label : NetScaler FIPS
Initialization : FIPS-140-2 Level-2
HSM Serial Number : 3.0G1235-ICM000264
HSM State : 2
HSM Model : NITROX XL CN1620-NFBE
Hardware Version : 2.0-G
Firmware Version : 2.2
Firmware Build : NFBE-FW-2.2-130009
Max FIPS Key Memory : 3996
Free FIPS Key Memory : 3958
Total SRAM Memory : 467348
Free SRAM Memory : 50524
Total Crypto Cores : 3
Enabled Crypto Cores : 3
Done
<!--NeedCopy-->
Konfigurieren Sie das HSM auf der FIPS-Plattform MPX 9700/10500/12500/15500 über die GUI
-
Navigieren Sie zu Traffic Management > SSL > FIPS.
-
Klicken Sie im Detailbereich auf der Registerkarte FIPS-Infoauf FIPS zurücksetzen.
-
Klicken Sie im Navigationsbereich auf System.
-
Klicken Sie im Detailbereich auf Reboot.
-
Klicken Sie im Detailbereich auf der Registerkarte FIPS-Info auf HSM initialisieren.
-
Geben Sie im Dialogfeld HSM initialisieren Werte für die folgenden Parameter an:
- Kennwort des Sicherheitsbeauftragten (SO) * — Neues SO-Kennwort
- Altes SO-Kennwort* — Altes SO-P
- Benutzerkennwort* — Benutzerkennwort
- level — initHSM (Derzeit auf Level2 gesetzt und kann nicht geändert werden)
- HSM-Label — hsmLabel
* Ein erforderlicher Parameter
-
Klicken Sie auf OK.
-
Klicken Sie im Detailbereich auf Speichern.
-
Klicken Sie im Navigationsbereich auf System.
-
Klicken Sie im Detailbereich auf Reboot.
-
Überprüfen Sie unter FIPS HSM Info, ob die angezeigten Informationen für das von Ihnen konfigurierte FIPS HSM korrekt sind.
FIPS-Schlüssel erstellen und übertragen
Nachdem Sie das HSM Ihrer FIPS-Appliance konfiguriert haben, können Sie einen FIPS-Schlüssel erstellen. Der FIPS-Schlüssel wird im HSM der Appliance erstellt. Sie können den FIPS-Schlüssel dann als gesichertes Backup auf die CompactFlash-Karte der Appliance exportieren. Wenn Sie den Schlüssel exportieren, können Sie ihn auch übertragen, indem Sie ihn in das /flash einer anderen Appliance kopieren und dann in das HSM dieser Appliance importieren. Aktivieren Sie SIM zwischen zwei Standalone-Knoten, bevor Sie die Schlüssel exportieren und übertragen. Wenn in einem Hochverfügbarkeits-Setup einer der Knoten durch einen neuen ersetzt wird, müssen Sie die folgenden Schritte ausführen:
- Aktivieren Sie SIM zwischen dieser neuen Appliance und der vorhandenen Appliance des Hochverfügbarkeits-Setups.
- Exportieren oder importieren Sie FIPS-Schlüssel.
Anstatt einen FIPS-Schlüssel zu erstellen, können Sie einen vorhandenen FIPS-Schlüssel importieren oder einen externen Schlüssel als FIPS-Schlüssel importieren. Wenn Sie ein Zertifikatschlüsselpaar von 2048 Bits auf MPX 9700/10500/12500/15500 FIPS-Appliances hinzufügen, stellen Sie sicher, dass Sie über das richtige Zertifikat und das richtige Schlüsselpaar verfügen.
Hinweis: Wenn Sie ein Hochverfügbarkeits-Setup planen, stellen Sie sicher, dass die FIPS-Appliances in einem Hochverfügbarkeits-Setup konfiguriert sind, bevor Sie einen FIPS-Schlüssel erstellen.
FIPS-Schlüssel erstellen
Stellen Sie vor dem Erstellen eines FIPS-Schlüssels sicher, dass das HSM konfiguriert ist.
Geben Sie den Schlüsseltyp (RSA oder ECDSA) und die Kurve für ECDSA-Schlüssel an.
Erstellen eines FIPS-Schlüssels mit der GUI
- Navigieren Sie zu Traffic Management > SSL > FIPS.
- Klicken Sie im Detailbereich auf der Registerkarte FIPS-Schlüssel auf Hinzufügen.
-
Geben Sie im Dialogfeld FIPS-Schlüssel erstellen Werte für die folgenden Parameter an:
- FIPS-Schlüsselname*—FIPSKeyname
- Modul*—Modul
- Exponent*—Exponent
* Ein erforderlicher Parameter
- Klicken Sie auf Erstellenund dann auf Schließen.
- Vergewissern Sie sich auf der Registerkarte FIPS-Tasten, dass die für den von Ihnen erstellten FIPS-Schlüssel angezeigten Einstellungen korrekt sind.
Erstellen Sie über die CLI einen FIPS-Schlüssel
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen FIPS-Schlüssel zu erstellen und die Einstellungen zu überprüfen:
create ssl fipsKey <fipsKeyName> -modulus <positive_integer> [-exponent ( 3 | F4 )]
show ssl fipsKey [<fipsKeyName>]
<!--NeedCopy-->
Beispiel:
create fipskey Key-FIPS-1 -keytype RSA -modulus 2048 -exponent 3
show ssl fipsKey Key-FIPS-1
FIPS Key Name: Key-FIPS-1 Key Type: RSA Modulus: 2048 Public Exponent: F4 (Hex: 0x10001)
<!--NeedCopy-->
Exportieren Sie FIPS-Schlüssel
Citrix empfiehlt, ein Backup eines Schlüssels zu erstellen, der im FIPS HSM erstellt wurde. Wenn ein Schlüssel im HSM gelöscht wird, gibt es keine Möglichkeit, denselben Schlüssel erneut zu erstellen, und alle damit verbundenen Zertifikate werden unbrauchbar gemacht.
Zusätzlich zum Exportieren eines Schlüssels als Backup müssen Sie möglicherweise einen Schlüssel für die Übertragung auf eine andere Appliance exportieren.
Das folgende Verfahren enthält Anweisungen zum Exportieren eines FIPS-Schlüssels in den Ordner /nsconfig/ssl
auf dem CompactFlash der Appliance und zum Sichern des exportierten Schlüssels mithilfe einer starken asymmetrischen Schlüsselverschlüsselungsmethode.
Exportieren Sie einen FIPS-Schlüssel über die CLI
Geben Sie an der Eingabeaufforderung Folgendes ein:
export ssl fipsKey <fipsKeyName> -key <string>
<!--NeedCopy-->
Beispiel:
export fipskey Key-FIPS-1 -key Key-FIPS-1.key
<!--NeedCopy-->
Exportieren Sie einen FIPS-Schlüssel über die GUI
-
Navigieren Sie zu Traffic Management > SSL > FIPS.
-
Klicken Sie im Detailbereich auf der Registerkarte FIPS-Schlüssel auf Exportieren.
-
Geben Sie im Dialogfeld FIPS-Schlüssel in eine Datei exportieren Werte für die folgenden Parameter an:
- FIPS-Schlüsselname*—FIPSKeyname
- Dateiname* — Schlüssel (Um die Datei an einem anderen als dem Standardspeicherort abzulegen, können Sie entweder den vollständigen Pfad angeben oder auf die Schaltfläche Durchsuchen klicken und zu einem Speicherort navigieren.)
* Ein erforderlicher Parameter
-
Klicken Sie auf Exportierenund dann auf Schließen.
Importieren Sie einen vorhandenen FIPS-Schlüssel
Um einen vorhandenen FIPS-Schlüssel mit Ihrer FIPS-Appliance zu verwenden, müssen Sie den FIPS-Schlüssel von der Festplatte der Appliance in das HSM übertragen.
Hinweis: Um Fehler beim Importieren eines FIPS-Schlüssels zu vermeiden, stellen Sie sicher, dass der Name des importierten Schlüssels mit dem ursprünglichen Schlüsselnamen übereinstimmt, als er erstellt wurde.
Importieren Sie einen FIPS-Schlüssel auf die MPX 9700/10500/12500/15500 FIPS-Appliances über die CLI
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen FIPS-Schlüssel zu importieren und die Einstellungen zu überprüfen:
- import ssl fipsKey <fipsKeyName> -key <string> -inform SIM -exponent (F4 | 3)
- show ssl fipskey <fipsKeyName>
<!--NeedCopy-->
Beispiel:
import fipskey Key-FIPS-2 -key Key-FIPS-2.key -inform SIM -exponent F4
show ssl fipskey key-FIPS-2
FIPS Key Name: Key-FIPS-2 Modulus: 2048 Public Exponent: F4 (Hex value 0x10001)
<!--NeedCopy-->
Importieren eines FIPS-Schlüssels mit der GUI
-
Navigieren Sie zu Traffic Management > SSL > FIPS.
-
Klicken Sie im Detailbereich auf der Registerkarte FIPS-Schlüssel auf Importieren.
-
Wählen Sie im Dialogfeld Als FIPS-Schlüssel importieren die FIPS-Schlüsseldatei aus und legen Sie Werte für die folgenden Parameter fest:
- FIPS-Schlüsselname*
- Schlüsseldateiname* — Um die Datei an einem anderen als dem Standardspeicherort abzulegen, können Sie entweder den vollständigen Pfad angeben oder auf Durchsuchen klicken und zu einem Speicherort navigieren.
- Exponent*
* Ein erforderlicher Parameter
-
Klicken Sie auf Importierenund dann auf Schließen.
-
Vergewissern Sie sich auf der Registerkarte FIPS-Tasten, dass die für den importierten FIPS-Schlüssel angezeigten Einstellungen korrekt sind.
Importieren eines externen Schlüssels
Sie können FIPS-Schlüssel übertragen, die im HSM der NetScaler-Appliance erstellt wurden. Sie können auch externe private Schlüssel (wie Schlüssel, die mit einem Standard-NetScaler, Apache oder IIS erstellt wurden) auf eine NetScaler FIPS-Appliance übertragen. Externe Schlüssel werden außerhalb des HSM mithilfe eines Tools wie OpenSSL erstellt. Bevor Sie einen externen Schlüssel in das HSM importieren, kopieren Sie ihn auf das Flash-Laufwerk der Appliance unter /nsconfig/ssl
.
Auf den MPX 9700/10500/12500/15500 FIPS-Appliances ist der Parameter -exponent im Befehl import ssl fipskey
beim Importieren eines externen Schlüssels nicht erforderlich. Der richtige öffentliche Exponent wird automatisch erkannt, wenn der Schlüssel importiert wird, und der Wert des -exponent-Parameters wird ignoriert.
Die NetScaler FIPS-Appliance unterstützt keine externen Schlüssel mit einem anderen öffentlichen Exponenten als 3 oder F4.
Sie benötigen keinen Wrap-Schlüssel für die MPX 9700/10500/12500/15500 FIPS-Appliances.
Sie können einen externen, verschlüsselten FIPS-Schlüssel nicht direkt in eine MPX 9700/10500/12500/15500 FIPS-Appliance importieren. Um den Schlüssel zu importieren, müssen Sie zuerst den Schlüssel entschlüsseln und dann importieren. Um den Schlüssel zu entschlüsseln, geben Sie an der Shell-Eingabeaufforderung Folgendes ein:
openssl rsa -in <EncryptedKey.key> > <DecryptedKey.out>
<!--NeedCopy-->
Hinweis: Wenn Sie einen RSA-Schlüssel als FIPS-Schlüssel importieren, empfiehlt Citrix, den RSA-Schlüssel aus Sicherheitsgründen aus der Appliance zu löschen.
Importieren eines externen Schlüssels als FIPS-Schlüssel in eine MPX 9700/10500/12500/15500 FIPS-Appliance über die CLI
- Kopieren Sie den externen Schlüssel auf das Flash-Laufwerk der Appliance.
-
Wenn der Schlüssel im PFX-Format ist, müssen Sie ihn zuerst in das PEM-Format konvertieren. Geben Sie an der Eingabeaufforderung Folgendes ein:
convert ssl pkcs12 <output file> -import -pkcs12File <input .pfx file name> -password <password> <!--NeedCopy-->
-
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um den externen Schlüssel als FIPS-Schlüssel zu importieren und die Einstellungen zu überprüfen:
import ssl fipsKey <fipsKeyName> -key <string> -informPEM show ssl fipskey<fipsKeyName> <!--NeedCopy-->
Beispiel:
convert ssl pkcs12 iis.pem -password 123456 -import -pkcs12File iis.pfx
import fipskey Key-FIPS-2 -key iis.pem -inform PEM
show ssl fipskey key-FIPS-2
FIPS Key Name: Key-FIPS-2 Modulus: 0 Public Exponent: F4 (Hex value 0x10001)
<!--NeedCopy-->
Importieren eines externen Schlüssels als FIPS-Schlüssel in eine MPX 9700/10500/12500/15500 FIPS-Appliance über die GUI
-
Wenn der Schlüssel im PFX-Format ist, müssen Sie ihn zuerst in das PEM-Format konvertieren.
- Navigieren Sie zu Traffic Management > SSL.
- Klicken Sie im Detailbereich unter Tools auf PKCS importieren #12.
- Stellen Sie im Dialogfeld PKCS12-Datei importieren die folgenden Parameter ein:
- Name der Ausgabedatei*
- PKCS12-Dateiname* — Geben Sie den Pfx-Dateinamen an.
- Kennwort importieren*
- Kodierungsformat *Ein erforderlicher Parameter
-
Navigieren Sie zu Traffic Management > SSL > FIPS.
-
Klicken Sie im Detailbereich auf der Registerkarte FIPS-Schlüssel auf Importieren.
-
Wählen Sie im Dialogfeld Als FIPS-Schlüssel importieren die PEM-Datei aus und legen Sie Werte für die folgenden Parameter fest:
- FIPS-Schlüsselname*
- Schlüsseldateiname* — Um die Datei an einem anderen als dem Standardspeicherort abzulegen, können Sie entweder den vollständigen Pfad angeben oder auf Durchsuchen klicken und zu einem Speicherort navigieren.
* Ein erforderlicher Parameter
-
Klicken Sie auf Importierenund dann auf Schließen.
-
Vergewissern Sie sich auf der Registerkarte FIPS-Tasten, dass die für den importierten FIPS-Schlüssel angezeigten Einstellungen korrekt sind.