FIPSカードのファームウェアをバージョン2.2にアップデート
重要: MPX 9700/10500/12500/15500 FIPSプラットフォームは終焉を迎えている。
FIPS ファームウェアバージョン 2.2 では、TLS プロトコルバージョン 1.1 および 1.2 がサポートされています。コマンドラインから、NetScaler MPX 9700/10500/12500/15500 FIPSアプライアンスのFIPSカードのファームウェアバージョンをバージョン1.1からバージョン2.2に更新できます。
高可用性 (HA) ペアでプライマリからセカンダリに SIM キーを正常に伝達するには、各アプライアンスの Cavium ファームウェアのバージョンが同一である必要があります。まず、セカンダリアプライアンスでファームウェアの更新を実行します。プライマリアプライアンスで最初に実行すると、長時間実行される更新プロセスによってフェイルオーバーが発生します。
制限事項
- 安全な再ネゴシエーションは、SSL 仮想サーバーとフロントエンド SSL サービスでのみサポートされます。
- ファームウェアバージョン1.1で作成され、ファームウェアバージョン2.2にアップデートされたキーを使用して証明書署名要求を作成すると、失敗します。
- ファームウェアバージョン2.2では、1024ビットのRSAキーを作成することはできません。ただし、ファームウェアバージョン 1.1 で 1024 ビット FIPS キーをインポートまたは作成し、ファームウェアバージョン 2.2 に更新した場合は、ファームウェアバージョン 2.2 でその FIPS キーを使用できます。
- 2048 ビットの RSA キーのみがサポートされています。
-
4096 ビットのクライアント証明書はサポートされていません (バックエンドサーバーでクライアント認証が有効になっている場合)。
- SSLv3 プロトコルを使用した安全な再ネゴシエーションはサポートされていません。
- ファームウェアをアップグレードすると、既存の仮想サーバー、内部、フロントエンド、およびバックエンドサービスのTLSv1.1とTLSv1.2はデフォルトで無効になります。TLS 1.1/1.2 を使用するには、アップグレード後に SSL エンティティでこれらのプロトコルを明示的に有効にする必要があります。
- ファームウェアバージョン 2.2 で作成された FIPS キーは、ファームウェアをバージョン 1.1 にダウングレードすると使用できなくなります。
前提条件
www.citrix.comのダウンロードページから次のファイルをダウンロードします。ファイルはアプライアンスの /var/nsinstall ディレクトリに保存する必要があります。
- FW 2.2 ファイル:FW-2.2-130013
- FW 2.2 シグネチャーファイル:FW-2.2-130013.サイン
推奨ファームウェアバージョンはFW-2.2-130013です。DRBG を改善するための修正が含まれています。
スタンドアロンアプライアンスの FIPS ファームウェアをバージョン 2.2 に更新します
-
管理者の資格情報を使用して、アプライアンスにログオンします。
-
プロンプトで次のコマンドを入力して、FIPS カードが初期化されていることを確認します。
show fips FIPS HSM Info: HSM Label : NetScaler FIPS Initialization : FIPS-140-2 Level-2 HSM Serial Number : 3.0G1235-ICM000264 HSM State : 2 HSM Model : NITROX XL CN1620-NFBE Hardware Version : 2.0-G Firmware Version : 1.1 Firmware Release Date : Jun04,2010 Max FIPS Key Memory : 3996 Free FIPS Key Memory : 3992 Total SRAM Memory : 467348 Free SRAM Memory : 62512 Total Crypto Cores : 3 Enabled Crypto Cores : 1 Done <!--NeedCopy--> -
構成を保存します。プロンプトで、次のように入力します。
save config <!--NeedCopy--> -
更新を実行します。プロンプトで、次のように入力します。
update ssl fips -fipsFW <path to the extracted contents>/CN16XX-NFBE-FW-2.2-1300013 <!--NeedCopy-->次のプロンプトが表示されたら、Y キーを押します。
This command will update compatible version of the FIPS firmware. You must save the current configuration (saveconfig) before executing this command. You must reboot the system after execution of this command, for the firmware update to take effect. Do you want to continue?(Y/N)Y Done <!--NeedCopy-->
注: ファームウェアのシグネチャファイルは同じ場所にあるため、指定する必要があるのはファームウェアファイルのみです。
更新には最大 10 秒かかります。更新コマンドはブロックされています。つまり、コマンドが終了するまで他のアクションは実行されません。コマンドの実行が完了すると、コマンドプロンプトが再表示されます。
-
アプライアンスを再起動します。プロンプトで、次のように入力します。
reboot Are you sure you want to restart NetScaler (Y/N)? [N]:Y <!--NeedCopy--> -
更新が成功したことを確認します。プロンプトで、次のように入力します。
show fips <!--NeedCopy-->出力に表示されるファームウェアのバージョンは 2.2 でなければなりません。次に例を示します:
sh fips FIPS HSM Info: HSM Label : NetScaler FIPS Initialization : FIPS-140-2 Level-2 HSM Serial Number : 2.1G1207-IC002429 HSM State : 2 HSM Model : NITROX XL CN1620-NFBE Hardware Version : 2.0-G Firmware Version : 2.2 Firmware Build : NFBE-FW-2.2-130013 Max FIPS Key Memory : 3996 Free FIPS Key Memory : 3982 Total SRAM Memory : 467348 Free SRAM Memory : 50472 Total Crypto Cores : 3 Enabled Crypto Cores : 1 Done <!--NeedCopy-->
高可用性ペアのアプライアンスの FIPS ファームウェアをバージョン 2.2 に更新します
-
セカンダリノードにログオンし、「スタンドアロンアプライアンスの FIPS ファームウェアをバージョン 2.2 に更新する」の説明に従って更新を実行します。
セカンダリノードを強制的にプライマリにします。プロンプトで、次のように入力します。
force failover <!--NeedCopy-->確認プロンプトで Y を押します。
-
新しいセカンダリノード(古いプライマリ)にログオンし、「スタンドアロンアプライアンスの FIPS ファームウェアをバージョン 2.2 に更新する」の説明に従って更新を実行します。
-
新しいセカンダリノードを強制的に再びプライマリにします。プロンプトで、次のように入力します。
force failover <!--NeedCopy-->確認プロンプトで Y を押します。
スタンドアロンアプライアンスの FIPS ファームウェアをバージョン 1.1 に更新します
-
www.citrix.comのダウンロードページから、nfb_firmware-r1235_100604ファイルとnfb_firmware-r1235_100604.signファイルをアプライアンスの同じディレクトリにダウンロードします。
-
管理者の資格情報を使用して、アプライアンスにログオンします。
-
プロンプトで、次のように入力します。
update ssl fips -fipsFW /<full path to the file>/nfb_firmware-r1235_100604 <!--NeedCopy-->