Konfigurieren von FIPS auf Appliances in einer Hochverfügbarkeitseinrichtung
Wichtig! Die FIPS-Plattform MPX 9700/10500/12500/15500 hat das Lebensende erreicht.
Sie können zwei Appliances in einem High Availability (HA) -Paar als FIPS-Appliances konfigurieren.
Voraussetzungen
- Das Hardware Security Module (HSM) muss auf beiden Appliances konfiguriert sein. Weitere Informationen finden Sie unter Konfigurieren des HSM.
- Stellen Sie bei Verwendung der GUI sicher, dass sich die Appliances bereits in einem HA-Setup befinden. Weitere Informationen zum Konfigurieren eines HA-Setups finden Sie unter Hochverfügbarkeit.
Hinweis: Citrix empfiehlt die Verwendung des Konfigurationsdienstprogramms (GUI) für dieses Verfahren. Wenn Sie die Befehlszeile (CLI) verwenden, stellen Sie sicher, dass Sie die im Verfahren aufgeführten Schritte sorgfältig ausführen. Das Ändern der Reihenfolge der Schritte oder das Angeben einer falschen Eingabedatei kann zu einer Inkonsistenz führen, die einen Neustart der Appliance erfordert. Wenn Sie die CLI verwenden, wird der create ssl fipskey
Befehl außerdem nicht an den sekundären Knoten weitergegeben. Wenn Sie den Befehl mit den gleichen Eingabewerten für Modulusgröße und Exponent auf zwei verschiedenen FIPS-Appliances ausführen, sind die generierten Schlüssel nicht identisch. Erstellen Sie den FIPS-Schlüssel auf einem der Knoten und übertragen Sie ihn dann auf den anderen Knoten. Wenn Sie jedoch das Konfigurationsdienstprogramm verwenden, um FIPS-Appliances in einem HA-Setup zu konfigurieren, wird der von Ihnen erstellte FIPS-Schlüssel automatisch an den sekundären Knoten übertragen. Der Prozess der Verwaltung und Übertragung der FIPS-Schlüssel wird als Secure Information Management (SIM) bezeichnet.
Wichtig: Das HA-Setup muss innerhalb von sechs Minuten abgeschlossen sein. Wenn die Prozedur bei einem Schritt fehlschlägt, gehen Sie folgendermaßen vor:
- Starten Sie die Appliance neu oder warten Sie 10 Minuten.
- Entfernen Sie alle durch die Prozedur erstellten Dateien.
- Wiederholen Sie den HA-Einrichtungsvorgang
Verwenden Sie keine vorhandenen Dateinamen wieder.
Im folgenden Verfahren ist Appliance A der primäre Knoten und Appliance B der sekundäre Knoten.
Konfigurieren von FIPS auf Appliances in einem Hochverfügbarkeitssetup über die CLI
Das folgende Diagramm fasst den Übertragungsprozess auf der CLI zusammen.
Abbildung 1. Übertragen der FIPS-Schlüsselübersicht
-
Öffnen Sie auf Appliance A eine SSH-Verbindung zur Appliance mithilfe eines SSH-Clients, z. B. PuTTY.
-
Melden Sie sich mit den Administratoranmeldeinformationen bei der Appliance an.
-
Initialisieren Sie Appliance A als Quell-Appliance. Geben Sie an der Eingabeaufforderung Folgendes ein:
init ssl fipsSIMsource <certFile> <!--NeedCopy-->
Beispiel:
init fipsSIMsource /nsconfig/ssl/nodeA.cert
-
Kopieren Sie diese Datei
<certFile>
in Appliance B im Ordner /nconfig/ssl.Beispiel:
scp /nsconfig/ssl/nodeA.cert nsroot@198.51.100.10:/nsconfig/ssl
-
Öffnen Sie auf Appliance B eine SSH-Verbindung zur Appliance mithilfe eines SSH-Clients, z. B. PuTTY.
-
Melden Sie sich mit den Administratoranmeldeinformationen bei der Appliance an.
-
Initialisieren Sie Appliance B als Ziel-Appliance. Geben Sie an der Eingabeaufforderung Folgendes ein:
init ssl fipsSIMtarget <certFile> <keyVector> <targetSecret> <!--NeedCopy-->
Beispiel:
init fipsSIMtarget /nsconfig/ssl/nodeA.cert /nsconfig/ssl/nodeB.key /nsconfig/ssl/nodeB.secret
-
Kopieren Sie diese Datei
<targetSecret>
in Appliance A.Beispiel:
scp /nsconfig/ssl/fipslbdal0801b.secret nsroot@198.51.100.20:/nsconfig/ssl
-
Aktivieren Sie auf Appliance A die Appliance A als Quell-Appliance. Geben Sie an der Eingabeaufforderung Folgendes ein:
enable ssl fipsSIMSource <targetSecret> <sourceSecret> <!--NeedCopy-->
Beispiel:
enable fipsSIMsource /nsconfig/ssl/nodeB.secret /nsconfig/ssl/nodeA.secret
-
Kopieren Sie diese Datei
<sourceSecret>
in Appliance B.Beispiel:
scp /nsconfig/ssl/fipslbdal0801b.secret nsroot@198.51.100.10:/nsconfig/ssl
-
Aktivieren Sie auf Appliance B die Appliance B als Ziel-Appliance. Geben Sie an der Eingabeaufforderung Folgendes ein:
enable ssl fipsSIMtarget <keyVector> <sourceSecret> <!--NeedCopy-->
Beispiel:
enable fipsSIMtarget /nsconfig/ssl/nodeB.key /nsconfig/ssl/nodeA.secret
-
Erstellen Sieauf Appliance Aeinen FIPS-Schlüssel, wie unter Erstellen eines FIPS-Schlüsselsbeschrieben.
-
Exportieren Sie den FIPS-Schlüssel auf die Festplatte der Appliance, wie unter Einen FIPS-Schlüssel exportierenbeschrieben.
-
Kopieren Sie den FIPS-Schlüssel auf die Festplatte der sekundären Appliance mithilfe eines sicheren Dateiübertragungsdienstprogramms, z. B. SCP.
-
Importieren Sieauf Appliance Bden FIPS-Schlüssel von der Festplatte in das HSM der Appliance, wie unter Vorhandenen FIPS-Schlüssel importierenbeschrieben.
Konfigurieren von FIPS auf Appliances in einem Hochverfügbarkeitssetup über die GUI
- Navigieren Sie auf der Appliance, die als primäre Quell-Appliance konfiguriert werden soll, zu Traffic Management > SSL > FIPS.
- Klicken Sie im Detailbereich auf der Registerkarte FIPS-Info auf SIM aktivieren.
- Geben Sie im Dialogfeld “SIM für HA-Pair aktivieren “ im Textfeld Zertifikatsdateiname den Dateinamen ein. Der Dateiname muss den Pfad zu dem Speicherort enthalten, an dem das FIPS-Zertifikat auf der Quell-Appliance gespeichert werden muss.
- Geben Sie im Textfeld Schlüsselvektordateiname den Dateinamen ein. Der Dateiname muss den Pfad zu dem Speicherort enthalten, an dem der FIPS-Schlüsselvektor auf der Quell-Appliance gespeichert werden muss.
- Geben Sie im Textfeld Target Secret File Name den Speicherort für die geheimen Daten auf der Ziel-Appliance ein.
- Geben Sie im Textfeld Source Secret File Name den Speicherort für die geheimen Daten auf der Quell-Appliance ein.
- Geben Sie unter Secondary System Login Credentialdie Werte für Benutzername und Kennwort ein.
- Klicken Sie auf OK. Die FIPS-Appliances sind jetzt im HA-Modus konfiguriert.
Hinweis: Erstellen Sie nach der Konfiguration der Appliances in HA einen FIPS-Schlüssel, wie unter Erstellen eines FIPS-Schlüsselsbeschrieben. Der FIPS-Schlüssel wird automatisch von der primären auf die sekundäre Appliance übertragen.