Konfigurieren von FIPS auf Appliances in einer Hochverfügbarkeitseinrichtung
Wichtig! Die FIPS-Plattform MPX 9700/10500/12500/15500 hat das Lebensende erreicht.
Sie können zwei Appliances in einem High Availability (HA) -Paar als FIPS-Appliances konfigurieren.
Voraussetzungen
- Das Hardware Security Module (HSM) muss auf beiden Appliances konfiguriert sein. Weitere Informationen finden Sie unter Konfigurieren des HSM.
- Stellen Sie bei Verwendung der GUI sicher, dass sich die Appliances bereits in einem HA-Setup befinden. Weitere Informationen zum Konfigurieren eines HA-Setups finden Sie unter Hochverfügbarkeit.
Hinweis: Citrix empfiehlt die Verwendung des Konfigurationsdienstprogramms (GUI) für dieses Verfahren. Wenn Sie die Befehlszeile (CLI) verwenden, stellen Sie sicher, dass Sie die im Verfahren aufgeführten Schritte sorgfältig ausführen. Das Ändern der Reihenfolge der Schritte oder das Angeben einer falschen Eingabedatei kann zu Inkonsistenzen führen, die einen Neustart der Appliance erfordert. Wenn Sie die CLI verwenden, wird der Befehl create ssl fipskey
außerdem nicht an den sekundären Knoten weitergegeben. Wenn Sie den Befehl mit denselben Eingabewerten für Modulgröße und Exponent auf zwei verschiedenen FIPS-Appliances ausführen, sind die generierten Schlüssel nicht dieselben. Erstellen Sie den FIPS-Schlüssel auf einem der Knoten und übertragen Sie ihn dann auf den anderen Knoten. Wenn Sie jedoch das Konfigurationsdienstprogramm verwenden, um FIPS-Appliances in einem HA-Setup zu konfigurieren, wird der von Ihnen erstellte FIPS-Schlüssel automatisch an den sekundären Knoten übertragen. Das Verwalten und Übertragen der FIPS-Schlüssel wird als sicheres Informationsmanagement (SIM) bezeichnet.
Wichtig: Das HA-Setup muss innerhalb von sechs Minuten abgeschlossen sein. Wenn die Prozedur bei einem Schritt fehlschlägt, gehen Sie folgendermaßen vor:
- Starten Sie das Gerät neu oder warten Sie 10 Minuten.
- Entfernen Sie alle durch das Verfahren erstellten Dateien.
- Wiederholen Sie den HA-Setup-Vorgang.
Verwenden Sie keine vorhandenen Dateinamen wieder.
Im folgenden Verfahren ist Appliance A der primäre Knoten und Appliance B der sekundäre Knoten.
Konfigurieren Sie FIPS auf Appliances in einem Hochverfügbarkeits-Setup über die CLI
Das folgende Diagramm fasst den Übertragungsprozess auf der CLI zusammen.
Abbildung 1. Übertragen Sie die FIPS-Schlüsselzusammenfassung
-
Öffnen Sie auf Appliance A eine SSH-Verbindung zur Appliance mithilfe eines SSH-Clients, z. B. PuTTY.
-
Melden Sie sich mit den Administratoranmeldeinformationen bei der Appliance an.
-
Initialisieren Sie Appliance A als Quell-Appliance. Geben Sie an der Eingabeaufforderung Folgendes ein:
init ssl fipsSIMsource <certFile> <!--NeedCopy-->
Beispiel:
init fipsSIMsource /nsconfig/ssl/nodeA.cert
-
Kopieren Sie diese Datei
<certFile>
auf Appliance B im Ordner /nconfig/ssl.Beispiel:
scp /nsconfig/ssl/nodeA.cert nsroot@198.51.100.10:/nsconfig/ssl
-
Öffnen Sieauf Appliance Bmithilfe eines SSH-Clients wie PuTTY eine SSH-Verbindung zur Appliance.
-
Melden Sie sich mit den Administratoranmeldeinformationen bei der Appliance an.
-
Initialisieren Sie Appliance B als Ziel-Appliance. Geben Sie an der Eingabeaufforderung Folgendes ein:
init ssl fipsSIMtarget <certFile> <keyVector> <targetSecret> <!--NeedCopy-->
Beispiel:
init fipsSIMtarget /nsconfig/ssl/nodeA.cert /nsconfig/ssl/nodeB.key /nsconfig/ssl/nodeB.secret
-
Kopieren Sie diese Datei
<targetSecret>
auf Appliance A.Beispiel:
scp /nsconfig/ssl/fipslbdal0801b.secret nsroot@198.51.100.20:/nsconfig/ssl
-
Aktivieren Sieauf ApplianceA Appliance A als Quell-Appliance. Geben Sie an der Eingabeaufforderung Folgendes ein:
enable ssl fipsSIMSource <targetSecret> <sourceSecret> <!--NeedCopy-->
Beispiel:
enable fipsSIMsource /nsconfig/ssl/nodeB.secret /nsconfig/ssl/nodeA.secret
-
Kopieren Sie diese Datei
<sourceSecret>
auf Appliance B.Beispiel:
scp /nsconfig/ssl/fipslbdal0801b.secret nsroot@198.51.100.10:/nsconfig/ssl
-
Aktivieren Sieauf Einheit BEinheit B als Ziel-Appliance. Geben Sie an der Eingabeaufforderung Folgendes ein:
enable ssl fipsSIMtarget <keyVector> <sourceSecret> <!--NeedCopy-->
Beispiel:
enable fipsSIMtarget /nsconfig/ssl/nodeB.key /nsconfig/ssl/nodeA.secret
-
Erstellen Sieauf Appliance Aeinen FIPS-Schlüssel, wie unter Erstellen eines FIPS-Schlüsselsbeschrieben.
-
Exportieren Sie den FIPS-Schlüssel auf die Festplatte der Appliance, wie unter Einen FIPS-Schlüssel exportierenbeschrieben.
-
Kopieren Sie den FIPS-Schlüssel auf die Festplatte der sekundären Appliance mithilfe eines sicheren Dateiübertragungsdienstprogramms, z. B. SCP.
-
Importieren Sieauf Appliance Bden FIPS-Schlüssel von der Festplatte in das HSM der Appliance, wie unter Vorhandenen FIPS-Schlüssel importierenbeschrieben.
Konfigurieren von FIPS auf Appliances in einem Hochverfügbarkeitssetup über die GUI
- Navigieren Sie auf der Appliance, die als primäre Quell-Appliance konfiguriert werden soll, zu Traffic Management > SSL > FIPS.
- Klicken Sie im Detailbereich auf der Registerkarte FIPS-Info auf SIM aktivieren.
- Geben Sie im Dialogfeld SIM für HA-Paar aktivieren im Textfeld Zertifikatsdateiname den Dateinamen ein. Der Dateiname muss den Pfad zu dem Speicherort enthalten, an dem das FIPS-Zertifikat auf der Quell-Appliance gespeichert werden muss.
- Geben Sie im Textfeld Key Vector Dateiname den Dateinamen ein. Der Dateiname muss den Pfad zu dem Speicherort enthalten, an dem der FIPS-Schlüsselvektor auf der Quell-Appliance gespeichert werden muss.
- Geben Sie im Textfeld Target Secret File Name den Speicherort für die Speicherung der geheimen Daten auf der Ziel-Appliance ein.
- Geben Sie im Textfeld Source Secret File Name den Speicherort für die Speicherung der geheimen Daten auf der Quell-Appliance ein.
- Geben Sie unter Secondary System Login Credentialdie Werte für Benutzername und Kennwort ein.
- Klicken Sie auf OK. Die FIPS-Appliances sind jetzt im HA-Modus konfiguriert.
Hinweis: Erstellen Sie nach der Konfiguration der Appliances in HA einen FIPS-Schlüssel, wie unter Erstellen eines FIPS-Schlüsselsbeschrieben. Der FIPS-Schlüssel wird automatisch von der primären auf die sekundäre Appliance übertragen.