ADC

FIPSアプライアンスの初回構成

  • FIPS FAQ はここにあります: FIPS FAQ

構成ユーティリティへのHTTPSアクセスおよびセキュアなリモートプロシージャコールには、証明書とキーのペアが必要です。RPCノードは、構成およびセッション情報のシステム間通信に使用される内部システムエンティティです。アプライアンスごとに1つのRPCノードが存在します。このノードに格納されるパスワードは、接続するアプライアンスによって提供されるパスワードと比較して調べられます。各アプライアンスがほかのNetScalerアプライアンスと通信するには、それらのアプライアンスについての知識(認証方法など)が必要です。RPCノードはこの情報を保持しており、それにはほかのNetScalerアプライアンスのIPアドレスや、認証に使用されるパスワードなどが含まれます。

NetScaler MPXアプライアンス仮想アプライアンスでは、証明書とキーのペアは内部サービスに自動的にバインドされます。FIPSアプライアンスでは、FIPSカードのハードウェアセキュリティモジュール(HSM)に証明書とキーのペアをインポートする必要があります。そのためには、FIPSカードを構成し、証明書とキーのペアを作成して、それを内部サービスにバインドする必要があります。

CLIを使用してセキュアなHTTPSの構成

CLIを使用してセキュアなHTTPSを構成するには、次の手順を実行します

  1. アプライアンスのFIPSカードでハードウェアセキュリティモジュール(HSM)を初期化します。HSM の初期化については、次のリンクのいずれかを参照してください。
  2. アプライアンスが高可用性セットアップの一部である場合は、SIMを有効にします。プライマリアプライアンスおよびセカンダリアプライアンスで SIM を有効にする方法については、「 高可用性セットアップでの FIPS アプライアンスの構成」を参照してください。

  3. FIPSキーをアプライアンスのFIPSカードのHSMにインポートします。コマンドプロンプトで入力します。

    import ssl fipskey serverkey -key ns-server.key -inform PEM

  4. 証明書とキーのペアを追加します。コマンドプロンプトで入力します。

    add certkey server -cert ns-server.cert -fipskey serverkey

  5. 前の手順で作成した証明書キーを次の内部サービスにバインドします。コマンドプロンプトで入力します。

    bind ssl service nshttps-127.0.0.1-443 -certkeyname server

    bind ssl service nshttps-::11-443 -certkeyname server

GUIを使用して安全なHTTPSを構成する

GUIを使用して安全なHTTPSを構成するには、次の手順に従います。

  1. アプライアンスのFIPSカードでハードウェアセキュリティモジュール(HSM)を初期化します。HSM の初期化については、次のリンクのいずれかを参照してください。
  2. アプライアンスが高可用性セットアップの一部である場合は、セキュア情報システム(SIM)を有効にします。プライマリアプライアンスおよびセカンダリアプライアンスで SIM を有効にする方法については、「 高可用性セットアップでの FIPS アプライアンスの構成」を参照してください。
  3. FIPSキーをアプライアンスのFIPSカードのHSMにインポートします。FIPS キーのインポートの詳細については、「 既存の FIPS キーのインポート 」セクションを参照してください。
  4. [Traffic Management ]> [SSL] > [Certificates] に移動します。
  5. 詳細ペインで、[Install]をクリックします。
  6. [Install Certificate]ダイアログボックスで、証明書の詳細を入力します。
  7. [Create] をクリックしてから、[Close] をクリックします。
  8. [Traffic Management]>[Load Balancing]>[Services] の順に移動します。
  9. 詳細ペインの[Action]タブで、[Internal Services]をクリックします。
  10. 一覧からnshttps-127.0.0.1-443を選択し、[Open]をクリックします。
  11. [Available]ペインの[SSL Settings]タブで、手順7で作成した証明書を選択して[Add]をクリックし、[OK]をクリックします。
  12. 一覧からnshttps-::11-443を選択し、[Open]をクリックします。
  13. [Available]ペインの[SSL Settings]タブで、手順7で作成した証明書を選択して[Add]をクリックし、[OK]をクリックします。
  14. [OK] をクリックします。

CLIを使用してセキュアRPCを構成する

CLIを使用してセキュアRPCを設定するには、次の手順に従います。

  1. アプライアンスのFIPSカードでハードウェアセキュリティモジュール(HSM)を初期化します。HSM の初期化については、次のリンクのいずれかを参照してください。
  2. 安全な情報システム(SIM)を有効にします。プライマリアプライアンスおよびセカンダリアプライアンスで SIM を有効にする方法については、「 高可用性セットアップでの FIPS アプライアンスの構成」を参照してください。

  3. FIPSキーをアプライアンスのFIPSカードのHSMにインポートします。コマンドプロンプトで入力します。

    import ssl fipskey serverkey -key ns-server.key -inform PEM

  4. 証明書とキーのペアを追加します。コマンドプロンプトで入力します。

    add certkey server -cert ns-server.cert -fipskey serverkey

  5. 証明書とキーのペアを次の内部サービスにバインドします。コマンドプロンプトで入力します。

    bind ssl service nsrpcs-127.0.0.1-3008 -certkeyname server

    bind ssl service nskrpcs-127.0.0.1-3009 -certkeyname server

    bind ssl service nsrpcs-::1l-3008 -certkeyname server

  6. セキュアRPCモードを有効にします。コマンドプロンプトで入力します。

    set ns rpcnode \<IP address\> -secure YES

    RPC ノードのパスワードの変更の詳細については、「 RPC ノードのパスワードを変更する」を参照してください。

GUIを使用してセキュアRPCを構成する

GUIを使用してセキュアRPCを設定するには、次の手順に従います。

  1. アプライアンスのFIPSカードでハードウェアセキュリティモジュール(HSM)を初期化します。HSM の初期化については、次のリンクのいずれかを参照してください。
  2. 安全な情報システム(SIM)を有効にします。プライマリおよびセカンダリアプライアンスで SIM を有効にする方法については、 高可用性セットアップで FIPS アプライアンスを構成します
  3. FIPSキーをアプライアンスのFIPSカードのHSMにインポートします。FIPS キーのインポートの詳細については、「 既存の FIPS キーのインポート 」セクションを参照してください。
  4. [Traffic Management ]> [SSL] > [Certificates] に移動します。
  5. 詳細ペインで、[Install]をクリックします。
  6. [Install Certificate]ダイアログボックスで、証明書の詳細を入力します。
  7. [Create] をクリックしてから、[Close] をクリックします。
  8. [Traffic Management]>[Load Balancing]>[Services] の順に移動します。
  9. 詳細ペインの[Action]タブで、[Internal Services]をクリックします。
  10. 一覧からnsrpcs-127.0.0.1-3008を選択し、[Open]をクリックします。
  11. [Available]ペインの[SSL Settings]タブで、手順7で作成した証明書を選択して[Add]をクリックし、[OK]をクリックします。
  12. 一覧からnskrpcs-127.0.0.1-3009を選択し、[Open]をクリックします。
  13. [Available]ペインの[SSL Settings]タブで、手順7で作成した証明書を選択して[Add]をクリックし、[OK]をクリックします。
  14. 一覧からnsrpcs-::11-3008を選択し、[Open]をクリックします。
  15. [Available]ペインの[SSL Settings]タブで、手順7で作成した証明書を選択して[Add]をクリックし、[OK]をクリックします。
  16. [OK] をクリックします。
  17. [ システム] > [ネットワーク] > [RPC] に移動します。
  18. 詳細ペインでIPアドレスを選択して、[Open] をクリックします。
  19. [Configure RPC Node]ダイアログボックスで、[Secure]を選択します。
  20. [OK] をクリックします。
FIPSアプライアンスの初回構成