ADC
Danke für das Feedback

Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)

MPX 9700/10500/12500/15500 FIPS-Geräte

Wichtig! Die FIPS-Plattform MPX 9700/10500/12500/15500 hat das Lebensende erreicht.

Der Federal Information Processing Standard (FIPS), ausgestellt vom US National Institute of Standards and Technologies, legt die Sicherheitsanforderungen für ein kryptografisches Modul fest, das in einem Sicherheitssystem verwendet wird. Die Citrix ADC FIPS-Appliance erfüllt die zweite Version dieses Standards, FIPS-140-2.

Hinweis: Alle Verweise auf FIPS implizieren fortan FIPS-140-2.

Die FIPS-Appliance ist mit einem manipulationssicheren (manipulationssicheren) Kryptografie-Modul und einem Cavium CN1620-NFBE3-2.0-G der MPX 9700/10500/12500/15500 FIPS Appliances ausgestattet, die den FIPS 140-2 Level-2-Spezifikationen entsprechen. Die kritischen Sicherheitsparameter (CSPs), in erster Linie der private Schlüssel des Servers, werden sicher im kryptografischen Modul gespeichert und generiert, auch als Hardwaresicherheitsmodul (HSM) bezeichnet. Auf die CSPs wird niemals außerhalb der Grenzen des HSM zugegriffen. Nur der Superuser kann Operationen an den im HSM gespeicherten Schlüsseln ausführen.

In der folgenden Tabelle werden die Unterschiede zwischen Standard-Citrix ADC und Citrix ADC FIPS-Appliances zusammengefasst.

Einstellung Citrix ADC Appliance Citrix ADC FIPS-Appliance
Schlüsselspeicher Auf der Festplatte Auf der FIPS-Karte
Verschlüsselungsunterstützung Alle Chiffre FIPS-zugelassene Chiffre
Zugriff auf Schlüssel Von der Festplatte Nicht zugänglich

Die Konfiguration einer FIPS-Appliance beinhaltet die Konfiguration des HSM unmittelbar nach Abschluss des generischen Konfigurationsprozesses. Anschließend erstellen oder importieren Sie einen FIPS-Schlüssel. Nachdem Sie einen FIPS-Schlüssel erstellt haben, müssen Sie ihn zur Sicherung exportieren. Möglicherweise müssen Sie auch einen FIPS-Schlüssel exportieren, damit Sie ihn in eine andere Appliance importieren können. Zum Beispiel erfordert das Konfigurieren von FIPS-Appliances in einem Hochverfügbarkeits-Setup die Übertragung des FIPS-Schlüssels vom primären Knoten auf den sekundären Knoten unmittelbar nach Abschluss des Standard-Hochverfügbarkeits-Setups.

Sie können die Firmware-Version auf der FIPS-Karte von Version 4.6.0 auf 4.6.1 aktualisieren. Sie können auch ein HSM zurücksetzen, das gesperrt wurde, um eine unbefugte Anmeldung zu verhindern. Auf einer Citrix ADC FIPS-Appliance werden nur FIPS-zugelassene Chiffre unterstützt.

HSM-Konfiguration

Bevor Sie das HSM Ihrer Citrix ADC FIPS-Appliance konfigurieren können, müssen Sie die anfängliche Hardwarekonfiguration abschließen. Weitere Informationen zu MPX-Appliances finden Sie unter Erstkonfiguration. Für Informationen zu SDX-Appliances klicken Sie hier.

Durch die Konfiguration des HSM Ihrer Citrix ADC FIPS-Appliance werden alle vorhandenen Daten auf dem HSM gelöscht. Um das HSM zu konfigurieren, müssen Sie als Superuser bei der Appliance angemeldet sein. Das HSM ist mit Standardwerten für das Security Officer (SO) Kennwort und das Benutzerkennwort vorkonfiguriert, mit denen Sie das HSM konfigurieren oder ein gesperrtes HSM zurücksetzen. Die maximal zulässige Länge für das Kennwort beträgt 14 alphanumerische Zeichen. Symbole sind nicht zulässig.

Wichtig: Führen Sie den set ssl fips Befehl erst aus, nachdem Sie die FIPS-Karte zum ersten Mal zurückgesetzt und die MPX FIPS-Appliance neu gestartet haben.

Obwohl die FIPS-Appliance mit den Standardkennwortwerten verwendet werden kann, müssen Sie sie vor der Verwendung ändern. Das HSM kann nur konfiguriert werden, wenn Sie sich bei der Appliance als Superuser anmelden und die SO- und Benutzerkennwörter angeben.

Wichtig: Aufgrund von Sicherheitseinschränkungen bietet die Appliance keine Möglichkeit zum Abrufen des SO-Kennworts. Speichern Sie eine Kopie des Kennworts sicher. Wenn Sie das HSM neu initialisieren müssen, müssen Sie dieses Kennwort als altes SO-Kennwort angeben.

Bevor Sie das HSM initialisieren, können Sie auf den neuesten Build der Software upgraden. Informationen zum Upgrade auf den neuesten Build finden Sie unter Upgrade oder Downgrade der Systemsoftware.

Stellen Sie nach dem Upgrade sicher, dass das /nsconfig/fips Verzeichnis erfolgreich auf der Appliance erstellt wurde.

Konfigurieren Sie das HSM auf der MPX 9700/10500/12500/15500 FIPS-Plattform mit der CLI

Nachdem Sie sich bei der Appliance als Superuser angemeldet und die Erstkonfiguration abgeschlossen haben, geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um das HSM zu konfigurieren und die Konfiguration zu überprüfen:

show ssl fips reset ssl fips reboot set ssl fips -initHSM Level-2 <newSOpassword> <oldSOpassword> <userPassword> [-hsmLabel <string>] save ns config reboot show ssl fips

Beispiel:

show fips FIPS Card is not configured Done reset fips reboot Are you sure you want to restart NetScaler (Y/N)? [N]:y set ssl fips -initHSM Level-2 sopin12345 so12345 user123 -hsmLabel cavium This command will erase all data on the FIPS card. You must save the configuration (saveconfig) after executing this command. Do you want to continue?(Y/N)y Done save ns config reboot Are you sure you want to restart NetScaler (Y/N)? [N]:y show fips FIPS HSM Info: HSM Label : Citrix ADC FIPS Initialization : FIPS-140-2 Level-2 HSM Serial Number : 2.1G1008-IC000021 HSM State : 2 HSM Model : NITROX XL CN1620-NFBE Firmware Version : 1.1 Firmware Release Date : Jun04,2010 Max FIPS Key Memory : 3996 Free FIPS Key Memory : 3994 Total SRAM Memory : 467348 Free SRAM Memory : 62564 Total Crypto Cores : 3 Enabled Crypto Cores : 1 Done Note: If you upgrade the firmware to version 2.2, the firmware release date is replaced with the firmware build. > show fips FIPS HSM Info: HSM Label : Citrix ADC FIPS Initialization : FIPS-140-2 Level-2 HSM Serial Number : 3.0G1235-ICM000264 HSM State : 2 HSM Model : NITROX XL CN1620-NFBE Hardware Version : 2.0-G Firmware Version : 2.2 Firmware Build : NFBE-FW-2.2-130009 Max FIPS Key Memory : 3996 Free FIPS Key Memory : 3958 Total SRAM Memory : 467348 Free SRAM Memory : 50524 Total Crypto Cores : 3 Enabled Crypto Cores : 3 Done

Konfigurieren Sie das HSM auf der MPX 9700/10500/12500/15500 FIPS-Plattform mit der GUI

  1. Navigieren Sie zu Traffic Management > SSL > FIPS.

  2. Klicken Sie im Detailbereich auf der Registerkarte FIPS Infosauf FIPS zurücksetzen.

  3. Klicken Sie im Navigationsbereich auf System.

  4. Klicken Sie im Detailbereich auf Reboot.

  5. Klicken Sie im Detailbereich auf der Registerkarte FIPS-Info auf Initialize HSM.

  6. Geben Sie im Dialogfeld HSM initialisieren Werte für die folgenden Parameter an:

    • Security Officer (SO) Kennwort*- Neues SO-Kennwort
    • Altes SO-Kennwort*-altes SO-Kennwort
    • Benutzerkennwort*- Benutzerkennwort
    • Level - InithSM (momentan auf Level2 eingestellt und kann nicht geändert werden)
    • HSM-Beschriftung - HSMLabel

    * Ein erforderlicher Parameter

  7. Klicken Sie auf OK.

  8. Klicken Sie im Detailbereich auf Speichern.

  9. Klicken Sie im Navigationsbereich auf System.

  10. Klicken Sie im Detailbereich auf Reboot.

  11. Stellen Sie unter FIPS HSM Info sicher, dass die angezeigten Informationen für das von Ihnen konfigurierte FIPS-HSM korrekt sind.

FIPS-Schlüssel erstellen und übertragen

Nachdem Sie das HSM Ihrer FIPS-Appliance konfiguriert haben, können Sie einen FIPS-Schlüssel erstellen. Der FIPS-Schlüssel wird im HSM der Appliance erstellt. Sie können den FIPS-Schlüssel dann als gesichertes Backup auf die CompactFlash-Karte der Appliance exportieren. Wenn Sie den Schlüssel exportieren, können Sie ihn auch übertragen, indem Sie ihn in das /flash einer anderen Appliance kopieren und dann in das HSM dieser Appliance importieren. Aktivieren Sie SIM zwischen zwei Standalone-Knoten, bevor Sie die Schlüssel exportieren und übertragen. Wenn in einem Hochverfügbarkeits-Setup einer der Knoten durch einen neuen ersetzt wird, müssen Sie die folgenden Schritte ausführen:

  1. Aktivieren Sie SIM zwischen dieser neuen Appliance und der vorhandenen Appliance des Hochverfügbarkeits-Setups.
  2. Exportieren oder importieren Sie FIPS-Schlüssel.

Anstatt einen FIPS-Schlüssel zu erstellen, können Sie einen vorhandenen FIPS-Schlüssel importieren oder einen externen Schlüssel als FIPS-Schlüssel importieren. Wenn Sie ein Zertifikatschlüsselpaar von 2048 Bits auf MPX 9700/10500/12500/15500 FIPS-Appliances hinzufügen, stellen Sie sicher, dass Sie über das richtige Zertifikat und das richtige Schlüsselpaar verfügen.

Hinweis: Wenn Sie ein Hochverfügbarkeits-Setup planen, stellen Sie sicher, dass die FIPS-Appliances in einem Hochverfügbarkeits-Setup konfiguriert sind, bevor Sie einen FIPS-Schlüssel erstellen.

FIPS-Schlüssel erstellen

Stellen Sie vor dem Erstellen eines FIPS-Schlüssels sicher, dass der HSM konfiguriert ist.

Geben Sie den Schlüsseltyp (RSA oder ECDSA) an und geben Sie die Kurve für ECDSA-Schlüssel an.

Erstellen eines FIPS-Schlüssels mit der GUI

  1. Navigieren Sie zu Traffic Management > SSL > FIPS.
  2. Klicken Sie im Detailbereich auf der Registerkarte FIPS-Schlüssel auf Hinzufügen.
  3. Geben Sie im Dialogfeld FIPS-Schlüssel erstellen Werte für die folgenden Parameter an:

    • FIPS-Schlüsselname* - FIPSKeyName
    • Modul*-Modul
    • Exponent* - Exponent

    * Ein erforderlicher Parameter

  4. Klicken Sie auf Erstellenund dann auf Schließen.
  5. Vergewissern Sie sich auf der Registerkarte FIPS-Tasten, dass die für den von Ihnen erstellten FIPS-Schlüssel angezeigten Einstellungen korrekt sind.

Erstellen eines FIPS-Schlüssels mit der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen FIPS-Schlüssel zu erstellen und die Einstellungen zu überprüfen:

create ssl fipsKey <fipsKeyName> -modulus <positive_integer> [-exponent ( 3 | F4 )] show ssl fipsKey [<fipsKeyName>]

Beispiel:

create fipskey Key-FIPS-1 -keytype RSA -modulus 2048 -exponent 3 show ssl fipsKey Key-FIPS-1 FIPS Key Name: Key-FIPS-1 Key Type: RSA Modulus: 2048 Public Exponent: F4 (Hex: 0x10001)

FIPS-Schlüssel exportieren

Citrix empfiehlt, ein Backup eines Schlüssels zu erstellen, der im FIPS HSM erstellt wurde. Wenn ein Schlüssel im HSM gelöscht wird, gibt es keine Möglichkeit, denselben Schlüssel erneut zu erstellen, und alle damit verbundenen Zertifikate werden nutzlos gerendert.

Zusätzlich zum Exportieren eines Schlüssels als Backup müssen Sie möglicherweise einen Schlüssel für die Übertragung auf eine andere Appliance exportieren.

Das folgende Verfahren enthält Anweisungen zum Exportieren eines FIPS-Schlüssels in den /nsconfig/ssl Ordner auf dem CompactFlash der Appliance und zum Sichern des exportierten Schlüssels mithilfe einer starken asymmetrischen Schlüsselverschlüsselungsmethode.

Exportieren eines FIPS-Schlüssels mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

export ssl fipsKey <fipsKeyName> -key <string>

Beispiel:

export fipskey Key-FIPS-1 -key Key-FIPS-1.key

Exportieren eines FIPS-Schlüssels mit der GUI

  1. Navigieren Sie zu Traffic Management > SSL > FIPS.

  2. Klicken Sie im Detailbereich auf der Registerkarte FIPS-Keys auf Exportieren.

  3. Geben Sie im Dialogfeld FIPS-Schlüssel in eine Datei exportieren Werte für die folgenden Parameter an:

    • FIPS-Schlüsselname* - FIPSKeyName
    • Dateiname* - Schlüssel (Um die Datei an einem anderen Speicherort als dem Standardspeicherort zu platzieren, können Sie entweder den vollständigen Pfad angeben oder auf die Schaltfläche Durchsuchen klicken und zu einem Speicherort navigieren.)

    * Ein erforderlicher Parameter

  4. Klicken Sie auf Exportierenund dann auf Schließen.

Importieren eines vorhandenen FIPS-Schlüssels

Um einen vorhandenen FIPS-Schlüssel mit Ihrer FIPS-Appliance zu verwenden, müssen Sie den FIPS-Schlüssel von der Festplatte der Appliance in das HSM übertragen.

Hinweis: Um Fehler beim Importieren eines FIPS-Schlüssels zu vermeiden, stellen Sie sicher, dass der Name des importierten Schlüssels mit dem ursprünglichen Schlüsselnamen übereinstimmt, wenn er erstellt wurde.

Importieren eines FIPS-Schlüssels auf MPX 9700/10500/12500/15500 FIPS-Appliances mit der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen FIPS-Schlüssel zu importieren und die Einstellungen zu überprüfen:

- import ssl fipsKey <fipsKeyName> -key <string> -inform SIM -exponent (F4 | 3) - show ssl fipskey <fipsKeyName>

Beispiel:

import fipskey Key-FIPS-2 -key Key-FIPS-2.key -inform SIM -exponent F4 show ssl fipskey key-FIPS-2 FIPS Key Name: Key-FIPS-2 Modulus: 2048 Public Exponent: F4 (Hex value 0x10001)

Importieren eines FIPS-Schlüssels mit der GUI

  1. Navigieren Sie zu Traffic Management > SSL > FIPS.

  2. Klicken Sie im Detailbereich auf der Registerkarte FIPS-Schlüssel auf Importieren.

  3. Wählen Sie im Dialogfeld Als FIPS-Schlüssel importieren die Option FIPS-Schlüsseldatei aus, und legen Sie Werte für die folgenden Parameter fest:

    • FIPS-Schlüsselname*
    • Schlüsseldateiname* - Um die Datei an einem anderen Speicherort als dem Standardspeicherort zu platzieren, können Sie entweder den vollständigen Pfad angeben oder auf Durchsuchen klicken und zu einem Speicherort navigieren.
    • Exponent*

    * Ein erforderlicher Parameter

  4. Klicken Sie auf Importierenund dann auf Schließen.

  5. Vergewissern Sie sich auf der Registerkarte FIPS-Tasten, dass die für den importierten FIPS-Schlüssel angezeigten Einstellungen korrekt sind.

Importieren eines externen Schlüssels

Sie können FIPS-Schlüssel übertragen, die im HSM der Citrix ADC Appliance erstellt wurden. Sie können auch externe private Schlüssel (wie Schlüssel, die mit einem Standard-Citrix ADC, Apache oder IIS erstellt wurden) auf eine Citrix ADC FIPS-Appliance übertragen. Externe Schlüssel werden außerhalb des HSM mit einem Werkzeug wie OpenSSL erstellt. Bevor Sie einen externen Schlüssel in das HSM importieren, kopieren Sie ihn auf das Flash-Laufwerk der Appliance unter /nsconfig/ssl.

Bei den MPX 9700/10500/12500/15500 FIPS-Appliances ist der Parameter -exponent im import ssl fipskey Befehl beim Importieren eines externen Schlüssels nicht erforderlich. Der richtige öffentliche Exponent wird automatisch erkannt, wenn der Schlüssel importiert wird, und der Wert des -exponent-Parameters wird ignoriert.

Die Citrix ADC FIPS-Appliance unterstützt keine externen Schlüssel mit einem anderen öffentlichen Exponenten als 3 oder F4.

Sie benötigen keinen Wrap Schlüssel für MPX 9700/10500/12500/15500 FIPS-Appliances.

Sie können einen externen, verschlüsselten FIPS-Schlüssel nicht direkt in eine MPX 9700/10500/12500/15500 FIPS-Appliance importieren. Um den Schlüssel zu importieren, müssen Sie zuerst den Schlüssel entschlüsseln und dann importieren. Um den Schlüssel zu entschlüsseln, geben Sie an der Shell-Eingabeaufforderung Folgendes ein:

openssl rsa -in <EncryptedKey.key> > <DecryptedKey.out>

Hinweis: Wenn Sie einen RSA-Schlüssel als FIPS-Schlüssel importieren, empfiehlt Citrix, den RSA-Schlüssel aus Sicherheitsgründen aus der Appliance zu löschen.

Importieren eines externen Schlüssels als FIPS-Schlüssel in eine MPX 9700/10500/12500/15500 FIPS-Appliance mit der CLI

  1. Kopieren Sie den externen Schlüssel auf das Flash-Laufwerk der Appliance.
  2. Wenn der Schlüssel im PFX-Format ist, müssen Sie ihn zuerst in das PEM-Format konvertieren. Geben Sie an der Eingabeaufforderung Folgendes ein:

    convert ssl pkcs12 <output file> -import -pkcs12File <input .pfx file name> -password <password>
  3. Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um den externen Schlüssel als FIPS-Schlüssel zu importieren und die Einstellungen zu überprüfen:

    import ssl fipsKey <fipsKeyName> -key <string> -informPEM show ssl fipskey<fipsKeyName>

Beispiel:

convert ssl pkcs12 iis.pem -password 123456 -import -pkcs12File iis.pfx import fipskey Key-FIPS-2 -key iis.pem -inform PEM show ssl fipskey key-FIPS-2 FIPS Key Name: Key-FIPS-2 Modulus: 0 Public Exponent: F4 (Hex value 0x10001)

Importieren eines externen Schlüssels als FIPS-Schlüssel in eine MPX 9700/10500/12500/15500 FIPS-Appliance mit der GUI

  1. Wenn der Schlüssel im PFX-Format ist, müssen Sie ihn zuerst in das PEM-Format konvertieren.

    1. Navigieren Sie zu Traffic Management > SSL.
    2. Klicken Sie im Detailbereich unter Tools auf PKCS #12 importieren.
    3. Legen Sie im Dialogfeld PKCS12-Datei importieren die folgenden Parameter fest:
      • Name der Ausgabedatei*
      • PKCS12 Dateiname* - Geben Sie den Dateinamen .pfx an.
      • Kennwort importieren*
      • Kodierungsformat *Ein erforderlicher Parameter
  2. Navigieren Sie zu Traffic Management > SSL > FIPS.

  3. Klicken Sie im Detailbereich auf der Registerkarte FIPS-Schlüssel auf Importieren.

  4. Wählen Sie im Dialogfeld Als FIPS-Schlüssel importieren die Option PEM-Datei aus, und legen Sie Werte für die folgenden Parameter fest:

    • FIPS-Schlüsselname*
    • Schlüsseldateiname* - Um die Datei an einem anderen Speicherort als dem Standardspeicherort zu platzieren, können Sie entweder den vollständigen Pfad angeben oder auf Durchsuchen klicken und zu einem Speicherort navigieren.

    * Ein erforderlicher Parameter

  5. Klicken Sie auf Importierenund dann auf Schließen.

  6. Vergewissern Sie sich auf der Registerkarte FIPS-Tasten, dass die für den importierten FIPS-Schlüssel angezeigten Einstellungen korrekt sind.

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.