Produktdokumentation
ADC
14.1 - Current Release 13.1 13.0 12.1

Aktualisieren der Firmware auf Version 2.2 auf einer FIPS-Karte

August 15, 2023
Beitrag von: 
C

Wichtig! Die FIPS-Plattform MPX 9700/10500/12500/15500 hat das Lebensende erreicht.

Die FIPS Firmware Version 2.2 unterstützt die TLS-Protokoll-Versionen 1.1 und 1.2. Über die Befehlszeile können Sie die Firmwareversion der FIPS-Karte einer NetScaler MPX 9700/10500/12500/15500 FIPS-Appliance von Version 1.1 auf Version 2.2 aktualisieren.

Für eine erfolgreiche Übertragung des SIM-Schlüssels vom primären zum sekundären in einem Hochverfügbarkeitspaar (HA) muss die Cavium-Firmware-Version auf jeder Appliance identisch sein. Führen Sie zuerst das Firmware-Update auf dem sekundären Gerät durch. Wenn der lang andauernde Aktualisierungsprozess zuerst auf der primären Appliance ausgeführt wird, führt er zu einem Failover.

Einschränkungen

  • Sichere Neuverhandlungen werden nur auf virtuellen SSL-Servern und Front-End-SSL-Diensten unterstützt.
  • Das Erstellen einer Zertifikatssignieranforderung mithilfe eines Schlüssels, der mit Firmware-Version 1.1 erstellt und auf Firmware-Version 2.2 aktualisiert wurde, schlägt fehl.
  • In der Firmware-Version 2.2 können Sie keinen 1024-Bit-RSA-Schlüssel erstellen. Wenn Sie jedoch einen 1024-Bit-FIPS-Schlüssel in Firmware-Version 1.1 importiert oder erstellt haben und dann auf Firmware-Version 2.2 aktualisieren, können Sie diesen FIPS-Schlüssel für Firmware-Version 2.2 verwenden.
  • Es werden nur 2048-Bit-RSA-Schlüssel unterstützt.

  • Das 4096-Bit-Clientzertifikat wird nicht unterstützt (wenn die Clientauthentifizierung auf dem Back-End-Server aktiviert ist).

  • Sichere Neuverhandlungen mit dem SSLv3-Protokoll werden nicht unterstützt.
  • Nach dem Upgrade der Firmware sind TLSv1.1 und TLSv1.2 standardmäßig auf dem vorhandenen virtuellen Server sowie bei internen, Front-End- und Back-End-Diensten deaktiviert. Um TLS 1.1/1.2 zu verwenden, müssen Sie diese Protokolle nach dem Upgrade explizit auf den SSL-Entitäten aktivieren.
  • FIPS-Schlüssel, die in der Firmware-Version 2.2 erstellt wurden, sind nicht verfügbar, wenn Sie ein Downgrade der Firmware auf Version 1.1 durchführen.

Voraussetzungen

Laden Sie die folgenden Dateien von der Download-Seite auf www.citrix.com herunter. Die Dateien müssen im Verzeichnis /var/nsinstall auf der Appliance gespeichert werden.

  • FW 2.2 Datei: FW-2.2-130013
  • FW 2.2 Signaturdatei: FW-2.2-130013.sign

FW-2.2-130013 ist die empfohlene Firmware-Version. Es enthält Korrekturen zur Verbesserung von DRBG.

Aktualisieren der FIPS-Firmware auf Version 2.2 auf einer eigenständigen Appliance

  1. Melden Sie sich mit den Administratoranmeldeinformationen bei der Appliance an.

  2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, um zu bestätigen, dass die FIPS-Karte initialisiert wurde.

    show fips

FIPS HSM Info:
HSM Label       : NetScaler FIPS
Initialization      : FIPS-140-2 Level-2
HSM Serial Number   : 3.0G1235-ICM000264
HSM State       : 2
HSM Model       : NITROX XL CN1620-NFBE

Hardware Version    : 2.0-G
Firmware Version    : 1.1
Firmware Release Date   : Jun04,2010

Max FIPS Key Memory : 3996
Free FIPS Key Memory    : 3992
Total SRAM Memory   : 467348
Free SRAM Memory    : 62512
Total Crypto Cores  : 3
Enabled Crypto Cores    : 1
Done
<!--NeedCopy-->

  3. Speichern Sie die Konfiguration. Geben Sie an der Eingabeaufforderung Folgendes ein:

    save config
<!--NeedCopy-->

  4. Führen Sie das Update durch. Geben Sie an der Eingabeaufforderung Folgendes ein:

    update ssl fips -fipsFW <path to the extracted contents>/CN16XX-NFBE-FW-2.2-1300013
<!--NeedCopy-->

    Drücken Sie Y, wenn die folgende Aufforderung erscheint:

    This command will update compatible version of the FIPS firmware.  You must save the current configuration (saveconfig) before executing this command. You must reboot the system after execution of this command, for the firmware update to take effect. Do you want to continue?(Y/N)Y

Done
<!--NeedCopy-->

Hinweis: Sie müssen nur die Firmware-Datei angeben, da sich die Firmware-Signaturdatei am selben Speicherort befindet.

Das Update dauert bis zu 10 Sekunden. Der Aktualisierungsbefehl ist blockiert, was bedeutet, dass keine weiteren Aktionen ausgeführt werden, bis der Befehl abgeschlossen ist. Die Eingabeaufforderung wird erneut angezeigt, wenn die Ausführung des Befehls abgeschlossen ist.

  1. Starten Sie die Appliance neu. Geben Sie an der Eingabeaufforderung Folgendes ein:

    reboot

Are you sure you want to restart NetScaler (Y/N)? [N]:Y
<!--NeedCopy-->

  2. Stellen Sie sicher, dass das Update erfolgreich war. Geben Sie an der Eingabeaufforderung Folgendes ein:

    show fips
<!--NeedCopy-->

    Die in der Ausgabe angezeigte Firmware-Version muss 2.2 sein. Zum Beispiel:

    sh fips
    FIPS HSM Info:
        HSM Label       : NetScaler FIPS
        Initialization      : FIPS-140-2 Level-2
        HSM Serial Number   : 2.1G1207-IC002429
        HSM State       : 2
        HSM Model       : NITROX XL CN1620-NFBE

        Hardware Version    : 2.0-G
        Firmware Version    : 2.2
        Firmware Build         : NFBE-FW-2.2-130013
        Max FIPS Key Memory : 3996
        Free FIPS Key Memory    : 3982
        Total SRAM Memory   : 467348
        Free SRAM Memory    : 50472
        Total Crypto Cores  : 3
        Enabled Crypto Cores    : 1
Done
<!--NeedCopy-->

Aktualisieren Sie die FIPS-Firmware auf Appliances in einem Paar mit hoher Verfügbarkeit auf Version 2.2

  1. Melden Sie sich am sekundären Knoten an und führen Sie das Update wie unter “Aktualisieren der FIPS-Firmware auf Version 2.2 auf einer eigenständigen Appliance” beschrieben durch.

    Erzwingt, dass der sekundäre Knoten primär wird. Geben Sie an der Eingabeaufforderung Folgendes ein:

    force failover
<!--NeedCopy-->

    Drücken Sie in der Bestätigungsaufforderung Y.

  2. Melden Sie sich am neuen sekundären Knoten (alter primärer Knoten) an und führen Sie das Update wie unter “Aktualisieren der FIPS-Firmware auf Version 2.2 auf einer eigenständigen Appliance” beschrieben durch.

  3. Erzwingen Sie, dass der neue sekundäre Knoten wieder primär wird. Geben Sie an der Eingabeaufforderung Folgendes ein:

    force failover
<!--NeedCopy-->

    Drücken Sie in der Bestätigungsaufforderung Y.

Aktualisieren der FIPS-Firmware auf Version 1.1 auf einer eigenständigen Appliance

  1. Laden Sie die Dateien nfb_firmware-r1235_100604 und nfb_firmware-r1235_100604.sign von der Downloadseite auf www.citrix.com in dasselbe Verzeichnis auf der Appliance herunter.

  2. Melden Sie sich mit den Administratoranmeldeinformationen bei der Appliance an.

  3. Geben Sie an der Eingabeaufforderung Folgendes ein:

    update ssl fips -fipsFW /<full path to the file>/nfb_firmware-r1235_100604
<!--NeedCopy-->
Aktualisieren der Firmware auf Version 2.2 auf einer FIPS-Karte
August 15, 2023
Beitrag von: 
C
August 15, 2023
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.