Actualizar el firmware a la versión 2.2 en una tarjeta FIPS
Importante. La plataforma FIPS MPX 9700/10500/12500/15500 ha llegado al final de su vida útil.
La versión 2.2 del firmware FIPS admite las versiones 1.1 y 1.2 del protocolo TLS. Desde la línea de comandos, puede actualizar la versión de firmware de la tarjeta FIPS de un dispositivo FIPS NetScaler MPX 9700/10500/12500/15500 de la versión 1.1 a la versión 2.2.
Para que la clave SIM se propague correctamente de la principal a la secundaria en un par de alta disponibilidad (HA), la versión del firmware de Cavium de cada dispositivo debe ser idéntica. Realice primero la actualización del firmware en el dispositivo secundario. Si se realiza primero en el dispositivo principal, el proceso de actualización de larga duración provoca una conmutación por error.
Limitaciones
- La renegociación segura solo se admite en los servidores virtuales SSL y los servicios SSL frontales.
- Se produce un error al crear una solicitud de firma de certificado mediante una clave creada en la versión 1.1 del firmware y actualizada a la versión 2.2 del firmware.
- No puede crear una clave RSA de 1024 bits en la versión 2.2 del firmware. Sin embargo, si ha importado o creado una clave FIPS de 1024 bits en la versión 1.1 del firmware y, a continuación, actualiza a la versión 2.2 del firmware, puede usar esa clave FIPS en la versión 2.2 del firmware.
- Solo se admiten claves RSA de 2048 bits.
-
No se admite el certificado de cliente de 4096 bits (si la autenticación de cliente está habilitada en el servidor back-end).
- No se admite la renegociación segura mediante el protocolo SSLv3.
- Tras actualizar el firmware, TLSv1.1 y TLSv1.2 se inhabilitan de forma predeterminada en los servicios existentes de servidor virtual, interno, de interfaz y de fondo. Para usar TLS 1.1/1.2, debe habilitar estos protocolos de forma explícita en las entidades SSL después de la actualización.
- Las claves FIPS que se crean en la versión 2.2 del firmware no están disponibles si se cambia el firmware a la versión 1.1.
Requisitos previos
Descargue los siguientes archivos de la página de descargas de www.citrix.com. Los archivos deben almacenarse en el directorio /var/nsinstall del dispositivo.
- Archivo FW 2.2: FW-2.2-130013
- Archivo de firma de FW 2.2: FW-2.2-130013.sign
La versión de firmware recomendada es FW-2.2-130013. Incluye correcciones para mejorar el DRBG.
Actualice el firmware de FIPS a la versión 2.2 en un dispositivo independiente
-
Inicie sesión en el dispositivo con las credenciales de administrador.
-
En la línea de comandos, escriba el siguiente comando para confirmar que la tarjeta FIPS está inicializada.
show fips FIPS HSM Info: HSM Label : NetScaler FIPS Initialization : FIPS-140-2 Level-2 HSM Serial Number : 3.0G1235-ICM000264 HSM State : 2 HSM Model : NITROX XL CN1620-NFBE Hardware Version : 2.0-G Firmware Version : 1.1 Firmware Release Date : Jun04,2010 Max FIPS Key Memory : 3996 Free FIPS Key Memory : 3992 Total SRAM Memory : 467348 Free SRAM Memory : 62512 Total Crypto Cores : 3 Enabled Crypto Cores : 1 Done <!--NeedCopy--> -
Guarde la configuración. En el símbolo del sistema, escriba:
save config <!--NeedCopy--> -
Realice la actualización. En el símbolo del sistema, escriba:
update ssl fips -fipsFW <path to the extracted contents>/CN16XX-NFBE-FW-2.2-1300013 <!--NeedCopy-->Pulse Y cuando aparezca el siguiente mensaje:
This command will update compatible version of the FIPS firmware. You must save the current configuration (saveconfig) before executing this command. You must reboot the system after execution of this command, for the firmware update to take effect. Do you want to continue?(Y/N)Y Done <!--NeedCopy-->
Nota: Solo necesita especificar el archivo de firmware, ya que el archivo de firma del firmware se encuentra en la misma ubicación.
La actualización tarda hasta 10 segundos. El comando de actualización está bloqueando, lo que significa que no se realizará ninguna otra acción hasta que finalice el comando. La línea de comandos vuelve a aparecer cuando se completa la ejecución del comando.
-
Reinicie el dispositivo. En el símbolo del sistema, escriba:
reboot Are you sure you want to restart NetScaler (Y/N)? [N]:Y <!--NeedCopy--> -
Compruebe que la actualización se ha realizado correctamente. En el símbolo del sistema, escriba:
show fips <!--NeedCopy-->La versión del firmware que se muestra en la salida debe ser la 2.2. Por ejemplo:
sh fips FIPS HSM Info: HSM Label : NetScaler FIPS Initialization : FIPS-140-2 Level-2 HSM Serial Number : 2.1G1207-IC002429 HSM State : 2 HSM Model : NITROX XL CN1620-NFBE Hardware Version : 2.0-G Firmware Version : 2.2 Firmware Build : NFBE-FW-2.2-130013 Max FIPS Key Memory : 3996 Free FIPS Key Memory : 3982 Total SRAM Memory : 467348 Free SRAM Memory : 50472 Total Crypto Cores : 3 Enabled Crypto Cores : 1 Done <!--NeedCopy-->
Actualice el firmware FIPS a la versión 2.2 en los dispositivos de un par de alta disponibilidad
-
Inicie sesión en el nodo secundario y realice la actualización como se describe en “Actualizar el firmware del FIPS a la versión 2.2 en un dispositivo independiente”.
Obliga al nodo secundario a convertirse en el principal. En el símbolo del sistema, escriba:
force failover <!--NeedCopy-->Pulse Y en el indicador de confirmación.
-
Inicie sesión en el nuevo nodo secundario (antiguo principal) y realice la actualización como se describe en “Actualizar el firmware del FIPS a la versión 2.2 en un dispositivo independiente”.
-
Haz que el nuevo nodo secundario vuelva a ser el principal. En el símbolo del sistema, escriba:
force failover <!--NeedCopy-->Pulse Y en el indicador de confirmación.
Actualice el firmware de FIPS a la versión 1.1 en un dispositivo independiente
-
Descargue los archivos nfb_firmware-r1235_100604 y nfb_firmware-r1235_100604.sign, al mismo directorio del dispositivo, desde la página de descargas de www.citrix.com.
-
Inicie sesión en el dispositivo con las credenciales de administrador.
-
En el símbolo del sistema, escriba:
update ssl fips -fipsFW /<full path to the file>/nfb_firmware-r1235_100604 <!--NeedCopy-->