VPX FIPS-Appliances
Die NetScaler VPX FIPS-Appliance wird derzeit vom National Institute of Standards and Technology (NIST https://csrc.nist.gov/projects/cryptographic-module-validation-program/modules-in-process/iut-list) für FIPS 140-3 Level 1 validiert (derzeit in IUT). Weitere Informationen zum FIPS 140-3-Standard und zum Validierungsprogramm finden Sie auf der Website des NIST und des Cryptographic Module Validation Program (CMVP) des Canadian Center for Cyber Security (CCCS) unter. https://csrc.nist.gov/projects/cryptographic-module-validation-program
Hinweis
- Nur die Firmware-Versionen, die auf der NetScaler-Downloadseite unter “NetScaler Release 13.1-FIPS” aufgeführt sind, werden auf den Plattformen MPX 8900 FIPS, MPX 9100 FIPS, MPX 15000-50G FIPS und VPX FIPS unterstützt.
- Wenn Sie klassische Richtlinien auf Ihrer NetScaler FIPS-Appliance mit der 12.1-FIPS-Softwareversion konfiguriert haben, lesen Sie https://support.citrix.com/article/CTX234821/citrix-adc-deprecated-classic-policy-based-features-and-functionalities-faqs, bevor Sie ein Upgrade auf 13.1-FIPS durchführen.
- TLS 1.3 auf 13.1-FIPS kann nur mit erweiterten SSL-Profilen konfiguriert werden. Weitere Informationen zur Konfiguration von TLS 1.3 mithilfe von Profilen finden Sie unter TLS 1.3-Protokollunterstützung, wie in RFC 8446 definiert.
Voraussetzungen
-
Laden Sie für lokale Hypervisoren den speziellen Build von der Citrix-Website herunter. Laden Sie das komplette VPX FIPS-Paket für den jeweiligen Hypervisor herunter.
-
Eine NetScaler VPX FIPS-Appliance benötigt eine FIPS-Instanzlizenz und einen Bandbreitenpool, um im gepoolten Lizenzmodell wie erwartet zu funktionieren. Für nicht gepoolte Lizenzen ist eine einzige VPX-FIPS-Lizenz mit der erforderlichen Bandbreitenkapazität erforderlich.
Konfiguration
Das Modul ist als Softwarepaket erhältlich, das sowohl die Anwendungssoftware als auch das Betriebssystem enthält. Nach dem Kauf der NetScaler VPX FIPS-Lizenz erhalten Sie das neueste NetScaler VPX FIPS-Image von der Citrix-Website.
Gehen Sie wie folgt vor:
- Laden Sie das neueste NetScaler VPX FIPS-Image auf einen der folgenden Hypervisoren hoch: ESXi, Citrix Hypervisor, Hyper-V, KVM, AWS, Azure oder GCP.
Hinweis:
VPX FIPS soll für ESXi 7.0.3 qualifiziert werden.
-
Wenden Sie die NetScaler VPX FIPS-Plattformlizenz und die NetScaler VPX-Bandbreitenlizenz an und starten Sie die Appliance warm neu.
-
Führen Sie nach dem Start der Appliance den folgenden Befehl in der CLI aus:
> show system fipsStatus <!--NeedCopy-->Sie müssen die folgende Ausgabe erhalten.
FipsStatus: System is operating in FIPS mode Done <!--NeedCopy-->Falls Sie die folgende Ausgabe erhalten, finden Sie im Abschnitt zur Fehlerbehebung die entsprechenden Schritte.
FipsStatus: "System is operating in non FIPS mode" Done > <!--NeedCopy--> - Folgen Sie den Konfigurationsrichtlinien im Secure Deployment Guide.
Informationen zur Remoteauthentifizierung mit RADIUS finden Sie unter Konfigurieren der Remoteauthentifizierung mit RADIUS.
Verschlüsselungen, die auf einer VPX FIPS-Appliance unterstützt werden
Alle Verschlüsselungen, die auf einer NetScaler MPX/SDX 14000 FIPS-Appliance unterstützt werden, mit Ausnahme der 3DES-Chiffre, werden auf einer VPX FIPS-Appliance unterstützt. Eine vollständige Liste der Verschlüsselungen, die auf einer NetScaler VPX FIPS-Appliance unterstützt werden, finden Sie im folgenden Thema:
Aktualisieren Sie eine VPX FIPS-Appliance
Folgen Sie den Schritten unter Aktualisieren einer eigenständigen NetScaler-Appliance, um die VPX FIPS-Appliance zu aktualisieren.
Wichtig: Ersetzen Sie den Befehl ./installns durch ./installns -F.
Hinweis:
Wenn Sie ein Upgrade auf Version 13.1 FIPS Build 37.159 oder höher durchführen, schlägt das Hinzufügen eines Zertifikatsschlüsselpaars mithilfe von PFX-Dateien fehl.
Workaround: Verwenden Sie FIPS-zertifizierte Verschlüsselungen wie AES256, um vor dem Upgrade eine PFX-Datei zu erstellen.
Beispiel:
root@ns# cd /nsconfig/ssl/ root@ns# openssl pkcs12 -export -out example.name.pfx -inkey example.key -in example.pem -certpbe AES-256-CBC -keypbe AES-256-CBC <!--NeedCopy-->
Einschränkungen
-
Die TACACS-Authentifizierung wird auf der VPX FIPS-Appliance nicht unterstützt.
-
VPX FIPS ist ein separates Image. Ein Upgrade der Softwareversion von der VPX-Version auf die VPX-FIPS-Version wird nicht unterstützt. Außerdem kann die VPX FIPS-Softwareversion nicht herabgestuft oder auf die VPX-Softwareversion aktualisiert werden.
-
Das VPX-FIPS-Image wird auf einer NetScaler SDX- und NetScaler SDX FIPS-Appliance nicht unterstützt.
Problembehandlung
Wenn Sie den Befehl show system fipsStatus ausführen und die Ausgabe wie folgt aussieht:
FipsStatus: "System is operating in non FIPS mode"
Done
>
<!--NeedCopy-->
Der Grund könnte einer der folgenden sein:
-
Die Lizenz ist abgelaufen oder falsch.
-
Das System kann im FIPS-Modus nicht gestartet werden. Dieser Fehler kann auf einen POST-Fehler auf dem Verwaltungskern oder der Paket-Engine zurückzuführen sein.
Um Folgendes zu lösen:
-
Stellen Sie sicher, dass die richtige NetScaler VPX FIPS-Lizenz installiert ist und dass die Lizenz nicht abgelaufen ist.
-
Überprüfen Sie, ob der Power-On-Selbsttest (POST) auf dem Verwaltungskern oder auf einer Paket-Engine fehlgeschlagen ist. Führen Sie den folgenden Befehl aus:
>shell #nsconmsg -g drbg -g ssl_err -g fips -d statswt0 <!--NeedCopy-->Der Wert
nsssl_err_fips_post_failed counterwird erhöht, wenn POST beim Booten auf der Paket-Engine fehlschlägt. Das heißt, es liegt ein Ausfall der Datenebene vor.Wenn der Zähler nicht erhöht wird, überprüfen Sie die Protokolldatei
(/var/log/FIPS-post.log)auf einen fehlgeschlagenen Algorithmus-Testeintrag. Das heißt, überprüfen Sie, ob der Verwaltungskern einen POST-Fehler aufweist (Ausfall der Steuerungsebene).Wenden Sie sich in beiden Fällen an den NetScaler-Support.