首次配置 FIPS 设备

备注

要对配置实用程序进行 HTTPS 访问并保护远程过程调用,需要证书-密钥对。RPC 节点是内部系统实体,用于系统与系统之间的配置和会话信息通信。每个设备上都有一个 RPC 节点。此节点可存储密码,针对通过联系设备提供的密码进行核对。要与其他 Citrix ADC 设备通信,每个设备都需要了解其他设备,包括如何在其他设备上进行身份验证。RPC 节点维护该信息,包括其他 Citrix ADC 设备的 IP 地址以及用于在每台设备上进行身份验证的密码。

在 Citrix ADC MPX 设备虚拟设备上,证书-密钥对会自动绑定到内部服务。在 FIPS 设备上,必须将证书-密钥对导入到 FIPS 卡的硬件安全模块 (HSM) 中。要执行此操作,必须配置 FIPS 卡,创建证书-密钥对,并将其绑定到内部服务。

使用 CLI 配置安全 HTTPS

要使用 CLI 配置安全 HTTPS,请按照以下步骤进行操作

  1. 在设备的 FIPS 卡上初始化硬件安全模块 (HSM)。有关初始化 HSM 的信息,请参阅配置 HSM

  2. 如果设备是高可用性设置的一部分,请启用 SIM。有关在主设备和辅助设备上启用 SIM 的信息,请参阅在高可用性设置中配置 FIPS 设备

  3. 将 FIPS 密钥导入到设备的 FIPS 卡的 HSM 中。在命令提示符下,键入:

    import ssl fipskey serverkey -key ns-server.key -inform PEM

  4. 添加证书-密钥对。在命令提示符下,键入:

    add certkey server -cert ns-server.cert -fipskey serverkey

  5. 将上一步中创建的证书-密钥绑定到以下内部服务。在命令提示符下,键入:

    bind ssl service nshttps-127.0.0.1-443 -certkeyname server

    bind ssl service nshttps-::11-443 -certkeyname server

使用 GUI 配置安全 HTTPS

要使用 GUI 配置安全 HTTPS,请按照以下步骤进行操作:

  1. 在设备的 FIPS 卡上初始化硬件安全模块 (HSM)。有关初始化 HSM 的信息,请参阅配置 HSM

  2. 如果设备是高可用性设置的一部分,请启用安全信息系统 (SIM)。有关在主设备和辅助设备上启用 SIM 的信息,请参阅在高可用性设置中配置 FIPS 设备
  3. 将 FIPS 密钥导入到设备的 FIPS 卡的 HSM 中。有关导入 FIPS 密钥的详细信息,请参阅导入现有 FIPS 密钥部分。
  4. 导航到 Traffic Management(流量管理)> SSL > Certificates(证书)
  5. 在详细信息窗格中,单击 Install(安装)。
  6. 在 Install Certificate(安装证书)对话框中,键入证书详细信息。
  7. 单击 Create(创建),然后单击 Close(关闭)。
  8. 导航到 Traffic Management(流量管理)> Load Balancing(负载平衡)> Services(服务)
  9. 在详细信息窗格中的 Action(操作)选项卡上,单击 Internal Services(内部服务)。
  10. 从列表中选择 nshttps-127.0.0.1-443,然后单击 Open(打开)。
  11. SSL Settings(SSL 设置)选项卡上的 Available(可用)窗格中,选择在步骤 7 中创建的证书,单击 Add(添加),然后单击 OK(确定)。
  12. 从列表中选择 nshttps-::11-443,然后单击 Open(打开)。
  13. SSL Settings(SSL 设置)选项卡上的 Available(可用)窗格中,选择在步骤 7 中创建的证书,单击 Add(添加),然后单击 OK(确定)。
  14. 单击确定

使用 CLI 配置安全 RPC

要使用 CLI 配置安全 RPC,请按照以下步骤进行操作:

  1. 在设备的 FIPS 卡上初始化硬件安全模块 (HSM)。有关初始化 HSM 的信息,请参阅配置 HSM

  2. 启用安全信息系统 (SIM)。有关在主设备和辅助设备上启用 SIM 的信息,请参阅在高可用性设置中配置 FIPS 设备

  3. 将 FIPS 密钥导入到设备的 FIPS 卡的 HSM 中。在命令提示符下,键入:

    import ssl fipskey serverkey -key ns-server.key -inform PEM

  4. 添加证书-密钥对。在命令提示符下,键入:

    add certkey server -cert ns-server.cert -fipskey serverkey

  5. 将证书-密钥对绑定到以下内部服务。在命令提示符下,键入:

    bind ssl service nsrpcs-127.0.0.1-3008 -certkeyname server

    bind ssl service nskrpcs-127.0.0.1-3009 -certkeyname server

    bind ssl service nsrpcs-::1l-3008 -certkeyname server

  6. 启用安全 RPC 模式。在命令提示符下,键入:

    set ns rpcnode <IP address> -secure YES

    有关更改 RPC 节点密码的详细信息,请参阅更改 RPC 节点密码

使用 GUI 配置安全 RPC

要使用 GUI 配置安全 RPC,请按照以下步骤进行操作:

  1. 在设备的 FIPS 卡上初始化硬件安全模块 (HSM)。有关初始化 HSM 的信息,请参阅配置 HSM
  2. 启用安全信息系统 (SIM)。有关在主设备和辅助设备上启用 SIM 的信息,请参阅在高可用性设置中配置 FIPS 设备
  3. 将 FIPS 密钥导入到设备的 FIPS 卡的 HSM 中。有关导入 FIPS 密钥的详细信息,请参阅导入现有 FIPS 密钥部分。
  4. 导航到 Traffic Management(流量管理)> SSL > Certificates(证书)
  5. 在详细信息窗格中,单击 Install(安装)。
  6. Install Certificate(安装证书)对话框中,键入证书详细信息。
  7. 单击 Create(创建),然后单击 Close(关闭)。
  8. 导航到 Traffic Management(流量管理)> Load Balancing(负载平衡)> Services(服务)
  9. 在详细信息窗格中的 Action(操作)选项卡上,单击 Internal Services(内部服务)。
  10. 从列表中选择 nsrpcs-127.0.0.1-3008,然后单击 Open(打开)。
  11. SSL Settings(SSL 设置)选项卡上的 Available(可用)窗格中,选择在步骤 7 中创建的证书,单击 Add(添加),然后单击 OK(确定)。
  12. 从列表中选择 nskrpcs-127.0.0.1-3009,然后单击 Open(打开)。
  13. SSL Settings(SSL 设置)选项卡上的 Available(可用)窗格中,选择在步骤 7 中创建的证书,单击 Add(添加),然后单击 OK(确定)。
  14. 从列表中选择 nsrpcs-::11-3008,然后单击 Open(打开)。
  15. SSL Settings(SSL 设置)选项卡上的 Available(可用)窗格中,选择在步骤 7 中创建的证书,单击 Add(添加),然后单击 OK(确定)。
  16. 单击确定
  17. 导航到 System(系统)> Network(网络)> RPC
  18. 在详细信息窗格中,选择“IP address”(IP 地址)并单击 Open(打开)。
  19. Configure RPC Node(配置 RPC 节点)对话框中,选择 Secure(安全)。
  20. 单击确定
首次配置 FIPS 设备