Configurar FIPS en dispositivos en una configuración de alta disponibilidad
Importante. La plataforma FIPS MPX 9700/10500/12500/15500 ha llegado al final de su vida útil.
Puede configurar dos dispositivos en un par de alta disponibilidad (HA) como dispositivos FIPS.
Requisitos previos
- El módulo de seguridad de hardware (HSM) debe configurarse en ambos dispositivos. Para obtener más información, consulte Configurar el HSM.
- Cuando utilice la GUI, asegúrese de que los dispositivos ya están en una configuración de alta disponibilidad. Para obtener más información sobre cómo configurar una configuración de alta disponibilidad, consulte Alta disponibilidad.
Nota: Citrix recomienda utilizar la utilidad de configuración (GUI) para este procedimiento. Si utiliza la línea de comandos (CLI), asegúrese de seguir cuidadosamente los pasos enumerados en el procedimiento. Cambiar el orden de los pasos o especificar un archivo de entrada incorrecto puede provocar una incoherencia que requiere el reinicio del dispositivo. Además, si utiliza la CLI, el create ssl fipskey
comando no se propaga al nodo secundario. Cuando ejecuta el comando con los mismos valores de entrada para el tamaño del módulo y el exponente en dos dispositivos FIPS diferentes, las claves generadas no son las mismas. Cree la clave FIPS en uno de los nodos y, a continuación, transfiérala al otro nodo. Pero si utiliza la utilidad de configuración para configurar dispositivos FIPS en una configuración de alta disponibilidad, la clave FIPS que cree se transfiere automáticamente al nodo secundario. El proceso de gestión y transferencia de las claves FIPS se conoce como gestión segura de la información (SIM).
Importante: La configuración de alta disponibilidad debe completarse en un plazo de seis minutos. Si el procedimiento falla en cualquier paso, haga lo siguiente:
- Reinicie el dispositivo o espere 10 minutos.
- Elimine todos los archivos creados por el procedimiento.
- Repita el procedimiento de configuración de HA.
No vuelva a utilizar los nombres de archivo existentes.
En el procedimiento siguiente, el dispositivo A es el nodo principal y el dispositivo B es el nodo secundario.
Configurar FIPS en dispositivos en una configuración de alta disponibilidad mediante la CLI
El siguiente diagrama resume el proceso de transferencia en la CLI.
Ilustración 1. Transferir el resumen clave FIPS
-
En el dispositivo A, abra una conexión SSH al dispositivo mediante un cliente SSH, como PuTTY.
-
Inicie sesión en el dispositivo con las credenciales de administrador.
-
Inicialice el dispositivo A como dispositivo de origen. En el símbolo del sistema, escriba:
init ssl fipsSIMsource <certFile> <!--NeedCopy-->
Ejemplo:
init fipsSIMsource /nsconfig/ssl/nodeA.cert
-
Copie este archivo
<certFile>
en el dispositivo B, en la carpeta /nconfig/ssl.Ejemplo:
scp /nsconfig/ssl/nodeA.cert nsroot@198.51.100.10:/nsconfig/ssl
-
En el dispositivo B, abra una conexión SSH con el dispositivo a través de un cliente SSH, como PuTTY.
-
Inicie sesión en el dispositivo con las credenciales de administrador.
-
Inicialice el dispositivo B como dispositivo de destino. En el símbolo del sistema, escriba:
init ssl fipsSIMtarget <certFile> <keyVector> <targetSecret> <!--NeedCopy-->
Ejemplo:
init fipsSIMtarget /nsconfig/ssl/nodeA.cert /nsconfig/ssl/nodeB.key /nsconfig/ssl/nodeB.secret
-
Copie este archivo
<targetSecret>
en el dispositivo A.Ejemplo:
scp /nsconfig/ssl/fipslbdal0801b.secret nsroot@198.51.100.20:/nsconfig/ssl
-
En el dispositivo A, habilite el dispositivo A como dispositivo de origen. En el símbolo del sistema, escriba:
enable ssl fipsSIMSource <targetSecret> <sourceSecret> <!--NeedCopy-->
Ejemplo:
enable fipsSIMsource /nsconfig/ssl/nodeB.secret /nsconfig/ssl/nodeA.secret
-
Copie este archivo
<sourceSecret>
en el dispositivo B.Ejemplo:
scp /nsconfig/ssl/fipslbdal0801b.secret nsroot@198.51.100.10:/nsconfig/ssl
-
En el dispositivo B, habilite el dispositivo B como dispositivo de destino. En el símbolo del sistema, escriba:
enable ssl fipsSIMtarget <keyVector> <sourceSecret> <!--NeedCopy-->
Ejemplo:
enable fipsSIMtarget /nsconfig/ssl/nodeB.key /nsconfig/ssl/nodeA.secret
-
En el dispositivo A, cree una clave FIPS, tal como se describe en Crear una clave FIPS.
-
Exporte la clave FIPS al disco duro del dispositivo, tal como se describe en Exportar una clave FIPS.
-
Copie la clave FIPS en el disco duro del dispositivo secundario mediante una utilidad de transferencia segura de archivos, como SCP.
-
En el dispositivo B, importe la clave FIPS del disco duro al HSM del dispositivo, tal como se describe en Importar una clave FIPS existente.
Configurar FIPS en dispositivos en una configuración de alta disponibilidad mediante la interfaz gráfica de usuario
- En el dispositivo que se configurará como dispositivo de origen (principal), vaya a Administración del tráfico > SSL > FIPS.
- En el panel de detalles, en la ficha Información FIPS, haga clic en Habilitar SIM.
- En el cuadro de diálogo Habilitar SIM para pares de HA, en el cuadro de texto Nombre de archivo de certificado, escriba el nombre del archivo. El nombre de archivo debe contener la ruta de acceso a la ubicación en la que debe almacenarse el certificado FIPS en el dispositivo de origen.
- En el cuadro de texto Nombre de archivo de vector clave, escriba el nombre del archivo. El nombre de archivo debe contener la ruta de acceso a la ubicación en la que se debe almacenar el vector de clave FIPS en el dispositivo de origen.
- En el cuadro de texto Nombre de archivo secreto de destino, escriba la ubicación para almacenar los datos secretos en el dispositivo de destino.
- En el cuadro de texto Nombre de archivo secreto de origen, escriba la ubicación para almacenar los datos secretos en el dispositivo de origen.
- En Credencial de inicio de sesión del sistema secundario, introduzca los valores de Nombre de usuario y Contraseña.
- Haga clic en Aceptar. Los dispositivos FIPS ahora están configurados en modo HA.
Nota: Después de configurar los dispositivos en HA, cree una clave FIPS, tal como se describe en Crear una clave FIPS. La clave FIPS se transfiere automáticamente del dispositivo primario al secundario.