首次配置 FIPS 设备
备注
- 可以在此处找到 FIPS 常见问题解答:FIPS 常见问题解答。
- 可以在此处找到 VPX FIPS 配置:Citrix ADC VPX FIPS 认证的设备。
要对配置实用程序进行 HTTPS 访问并保护远程过程调用,需要证书-密钥对。RPC 节点是内部系统实体,用于系统与系统之间的配置和会话信息通信。每个设备上都有一个 RPC 节点。此节点可存储密码,针对通过联系设备提供的密码进行核对。要与其他 Citrix ADC 设备通信,每个设备都需要了解其他设备,包括如何在其他设备上进行身份验证。RPC 节点维护该信息,包括其他 Citrix ADC 设备的 IP 地址以及用于在每台设备上进行身份验证的密码。
在 Citrix ADC MPX 设备虚拟设备上,证书-密钥对会自动绑定到内部服务。在 FIPS 设备上,必须将证书-密钥对导入到 FIPS 卡的硬件安全模块 (HSM) 中。要执行此操作,必须配置 FIPS 卡,创建证书-密钥对,并将其绑定到内部服务。
使用 CLI 配置安全 HTTPS
要使用 CLI 配置安全 HTTPS,请按照以下步骤进行操作
-
在设备的 FIPS 卡上初始化硬件安全模块 (HSM)。有关初始化 HSM 的信息,请参阅配置 HSM。
-
如果设备是高可用性设置的一部分,请启用 SIM。有关在主设备和辅助设备上启用 SIM 的信息,请参阅在高可用性设置中配置 FIPS 设备。
-
将 FIPS 密钥导入到设备的 FIPS 卡的 HSM 中。在命令提示符下,键入:
import ssl fipskey serverkey -key ns-server.key -inform PEM -
添加证书-密钥对。在命令提示符下,键入:
add certkey server -cert ns-server.cert -fipskey serverkey -
将上一步中创建的证书-密钥绑定到以下内部服务。在命令提示符下,键入:
bind ssl service nshttps-127.0.0.1-443 -certkeyname serverbind ssl service nshttps-::11-443 -certkeyname server
使用 GUI 配置安全 HTTPS
要使用 GUI 配置安全 HTTPS,请按照以下步骤进行操作:
-
在设备的 FIPS 卡上初始化硬件安全模块 (HSM)。有关初始化 HSM 的信息,请参阅配置 HSM。
- 如果设备是高可用性设置的一部分,请启用安全信息系统 (SIM)。有关在主设备和辅助设备上启用 SIM 的信息,请参阅在高可用性设置中配置 FIPS 设备。
- 将 FIPS 密钥导入到设备的 FIPS 卡的 HSM 中。有关导入 FIPS 密钥的详细信息,请参阅导入现有 FIPS 密钥部分。
- 导航到 Traffic Management(流量管理)> SSL > Certificates(证书)。
- 在详细信息窗格中,单击 Install(安装)。
- 在 Install Certificate(安装证书)对话框中,键入证书详细信息。
- 单击 Create(创建),然后单击 Close(关闭)。
- 导航到 Traffic Management(流量管理)> Load Balancing(负载平衡)> Services(服务)。
- 在详细信息窗格中的 Action(操作)选项卡上,单击 Internal Services(内部服务)。
- 从列表中选择
nshttps-127.0.0.1-443,然后单击 Open(打开)。 - 在 SSL Settings(SSL 设置)选项卡上的 Available(可用)窗格中,选择在步骤 7 中创建的证书,单击 Add(添加),然后单击 OK(确定)。
- 从列表中选择
nshttps-::11-443,然后单击 Open(打开)。 - 在 SSL Settings(SSL 设置)选项卡上的 Available(可用)窗格中,选择在步骤 7 中创建的证书,单击 Add(添加),然后单击 OK(确定)。
- 单击确定。
使用 CLI 配置安全 RPC
要使用 CLI 配置安全 RPC,请按照以下步骤进行操作:
-
在设备的 FIPS 卡上初始化硬件安全模块 (HSM)。有关初始化 HSM 的信息,请参阅配置 HSM。
-
启用安全信息系统 (SIM)。有关在主设备和辅助设备上启用 SIM 的信息,请参阅在高可用性设置中配置 FIPS 设备。
-
将 FIPS 密钥导入到设备的 FIPS 卡的 HSM 中。在命令提示符下,键入:
import ssl fipskey serverkey -key ns-server.key -inform PEM -
添加证书-密钥对。在命令提示符下,键入:
add certkey server -cert ns-server.cert -fipskey serverkey -
将证书-密钥对绑定到以下内部服务。在命令提示符下,键入:
bind ssl service nsrpcs-127.0.0.1-3008 -certkeyname serverbind ssl service nskrpcs-127.0.0.1-3009 -certkeyname serverbind ssl service nsrpcs-::1l-3008 -certkeyname server -
启用安全 RPC 模式。在命令提示符下,键入:
set ns rpcnode <IP address> -secure YES有关更改 RPC 节点密码的详细信息,请参阅更改 RPC 节点密码。
使用 GUI 配置安全 RPC
要使用 GUI 配置安全 RPC,请按照以下步骤进行操作:
- 在设备的 FIPS 卡上初始化硬件安全模块 (HSM)。有关初始化 HSM 的信息,请参阅配置 HSM。
- 启用安全信息系统 (SIM)。有关在主设备和辅助设备上启用 SIM 的信息,请参阅在高可用性设置中配置 FIPS 设备。
- 将 FIPS 密钥导入到设备的 FIPS 卡的 HSM 中。有关导入 FIPS 密钥的详细信息,请参阅导入现有 FIPS 密钥部分。
- 导航到 Traffic Management(流量管理)> SSL > Certificates(证书)。
- 在详细信息窗格中,单击 Install(安装)。
- 在 Install Certificate(安装证书)对话框中,键入证书详细信息。
- 单击 Create(创建),然后单击 Close(关闭)。
- 导航到 Traffic Management(流量管理)> Load Balancing(负载平衡)> Services(服务)。
- 在详细信息窗格中的 Action(操作)选项卡上,单击 Internal Services(内部服务)。
- 从列表中选择
nsrpcs-127.0.0.1-3008,然后单击 Open(打开)。 - 在 SSL Settings(SSL 设置)选项卡上的 Available(可用)窗格中,选择在步骤 7 中创建的证书,单击 Add(添加),然后单击 OK(确定)。
- 从列表中选择
nskrpcs-127.0.0.1-3009,然后单击 Open(打开)。 - 在 SSL Settings(SSL 设置)选项卡上的 Available(可用)窗格中,选择在步骤 7 中创建的证书,单击 Add(添加),然后单击 OK(确定)。
- 从列表中选择
nsrpcs-::11-3008,然后单击 Open(打开)。 - 在 SSL Settings(SSL 设置)选项卡上的 Available(可用)窗格中,选择在步骤 7 中创建的证书,单击 Add(添加),然后单击 OK(确定)。
- 单击确定。
- 导航到 System(系统)> Network(网络)> RPC。
- 在详细信息窗格中,选择“IP address”(IP 地址)并单击 Open(打开)。
- 在 Configure RPC Node(配置 RPC 节点)对话框中,选择 Secure(安全)。
- 单击确定。