FIPSアプライアンスの初回構成

メモ

構成ユーティリティへのHTTPSアクセスおよびセキュアなリモートプロシージャコールには、証明書とキーのペアが必要です。RPCノードは、構成およびセッション情報のシステム間通信に使用される内部システムエンティティです。アプライアンスごとに1つのRPCノードが存在します。このノードに格納されるパスワードは、接続するアプライアンスによって提供されるパスワードと比較して調べられます。各アプライアンスがほかのCitrix ADCアプライアンスと通信するには、それらのアプライアンスについての知識(他のアプライアンスでの認証方法など)が必要です。RPCノードはこの情報を保持しており、それにはほかのCitrix ADCアプライアンスのIPアドレスや、認証に使用されるパスワードなどが含まれます。

Citrix ADC MPXアプライアンス仮想アプライアンスでは、証明書とキーのペアは内部サービスに自動的にバインドされます。FIPSアプライアンスでは、FIPSカードのハードウェアセキュリティモジュール(HSM)に証明書とキーのペアをインポートする必要があります。そのためには、FIPSカードを構成し、証明書とキーのペアを作成して、それを内部サービスにバインドする必要があります。

CLIを使用してセキュアなHTTPSの構成

CLIを使用してセキュアなHTTPSを構成するには、次の手順を実行します

  1. アプライアンスのFIPSカードでハードウェアセキュリティモジュール(HSM)を初期化します。HSMの初期化について詳しくは、「HSMの構成」を参照してください。

  2. アプライアンスが高可用性セットアップの一部である場合は、SIMを有効にします。プライマリアプライアンスおよびセカンダリアプライアンス上でのSIMの有効化について詳しくは、「高可用性セットアップでのFIPSアプライアンスの構成」を参照してください。

  3. FIPSキーをアプライアンスのFIPSカードのHSMにインポートします。コマンドプロンプトで入力します。

    import ssl fipskey serverkey -key ns-server.key -inform PEM

  4. 証明書とキーのペアを追加します。コマンドプロンプトで入力します。

    add certkey server -cert ns-server.cert -fipskey serverkey

  5. 前の手順で作成した証明書キーを次の内部サービスにバインドします。コマンドプロンプトで入力します。

    bind ssl service nshttps-127.0.0.1-443 -certkeyname server

    bind ssl service nshttps-::11-443 -certkeyname server

GUIを使用して安全なHTTPSを構成する

GUIを使用して安全なHTTPSを構成するには、次の手順に従います。

  1. アプライアンスのFIPSカードでハードウェアセキュリティモジュール(HSM)を初期化します。HSMの初期化について詳しくは、「HSMの構成」を参照してください。

  2. アプライアンスが高可用性セットアップの一部である場合は、セキュア情報システム(SIM)を有効にします。プライマリアプライアンスおよびセカンダリアプライアンス上でのSIMの有効化について詳しくは、「高可用性セットアップでのFIPSアプライアンスの構成」を参照してください。
  3. FIPSキーをアプライアンスのFIPSカードのHSMにインポートします。FIPSキーのインポートについて詳しくは、「既存のFIPSキーのインポート」を参照してください。
  4. [Traffic Management ]> [SSL] > [Certificates] に移動します。
  5. 詳細ペインで、[Install] をクリックします。
  6. [Install Certificate]ダイアログボックスで、証明書の詳細を入力します。
  7. [Create] をクリックしてから、[Close] をクリックします。
  8. [Traffic Management]>[Load Balancing]>[Services] の順に移動します。
  9. 詳細ペインの [Action] タブで、[Internal Services] をクリックします。
  10. 一覧からnshttps-127.0.0.1-443を選択し、[Open] をクリックします。
  11. [Available] ペインの [SSL Settings] タブで、手順7で作成した証明書を選択して [Add] をクリックし、[OK] をクリックします。
  12. 一覧からnshttps-::11-443を選択し、[Open] をクリックします。
  13. [Available] ペインの [SSL Settings] タブで、手順7で作成した証明書を選択して [Add] をクリックし、[OK] をクリックします。
  14. [OK] をクリックします。

CLIを使用してセキュアRPCを構成する

CLIを使用してセキュアRPCを設定するには、次の手順に従います。

  1. アプライアンスのFIPSカードでハードウェアセキュリティモジュール(HSM)を初期化します。HSMの初期化について詳しくは、「HSMの構成」を参照してください。

  2. 安全な情報システム(SIM)を有効にします。プライマリアプライアンスおよびセカンダリアプライアンス上でのSIMの有効化について詳しくは、「高可用性セットアップでのFIPSアプライアンスの構成」を参照してください。

  3. FIPSキーをアプライアンスのFIPSカードのHSMにインポートします。コマンドプロンプトで入力します。

    import ssl fipskey serverkey -key ns-server.key -inform PEM

  4. 証明書とキーのペアを追加します。コマンドプロンプトで入力します。

    add certkey server -cert ns-server.cert -fipskey serverkey

  5. 証明書とキーのペアを次の内部サービスにバインドします。コマンドプロンプトで入力します。

    bind ssl service nsrpcs-127.0.0.1-3008 -certkeyname server

    bind ssl service nskrpcs-127.0.0.1-3009 -certkeyname server

    bind ssl service nsrpcs-::1l-3008 -certkeyname server

  6. セキュアRPCモードを有効にします。コマンドプロンプトで入力します。

    set ns rpcnode <IP address> -secure YES

    RPCノードのパスワードの変更の詳細については、「RPCノードのパスワードを変更」を参照してください。

GUIを使用してセキュアRPCを構成する

GUIを使用してセキュアRPCを設定するには、次の手順に従います。

  1. アプライアンスのFIPSカードでハードウェアセキュリティモジュール(HSM)を初期化します。HSMの初期化について詳しくは、「HSMの構成」を参照してください。
  2. 安全な情報システム(SIM)を有効にします。プライマリアプライアンスおよびセカンダリアプライアンス上でのSIMの有効化について詳しくは、「高可用性セットアップでのFIPSアプライアンスの構成」を参照してください。
  3. FIPSキーをアプライアンスのFIPSカードのHSMにインポートします。FIPSキーのインポートについて詳しくは、「既存のFIPSキーのインポート」を参照してください。
  4. [Traffic Management ]> [SSL] > [Certificates] に移動します。
  5. 詳細ペインで、[Install] をクリックします。
  6. [Install Certificate] ダイアログボックスで、証明書の詳細を入力します。
  7. [Create] をクリックしてから、[Close] をクリックします。
  8. [Traffic Management]>[Load Balancing]>[Services] の順に移動します。
  9. 詳細ペインの [Action] タブで、[Internal Services] をクリックします。
  10. 一覧からnsrpcs-127.0.0.1-3008を選択し、[Open] をクリックします。
  11. [Available] ペインの [SSL Settings] タブで、手順7で作成した証明書を選択して [Add] をクリックし、[OK] をクリックします。
  12. 一覧からnskrpcs-127.0.0.1-3009を選択し、[Open] をクリックします。
  13. [Available] ペインの [SSL Settings] タブで、手順7で作成した証明書を選択して [Add] をクリックし、[OK] をクリックします。
  14. 一覧からnsrpcs-::11-3008を選択し、[Open] をクリックします。
  15. [Available] ペインの [SSL Settings] タブで、手順7で作成した証明書を選択して [Add] をクリックし、[OK] をクリックします。
  16. [OK] をクリックします。
  17. [System]>[Network]>[RPC] の順に選択します。
  18. 詳細ペインでIPアドレスを選択して、[Open] をクリックします。
  19. [Configure RPC Node] ダイアログボックスで、[Secure] を選択します。
  20. [OK] をクリックします。
FIPSアプライアンスの初回構成