产品文档
ADC
14.1 - Current Release 13.1 13.0 12.1
查看 PDF

在高可用性设置中的设备上配置 FIPS 设备

August 15, 2023
投稿者: 
C

重要提示!MPX 9700/10500/12500/15500 FIPS 平台已经到达使用寿命的终点。

您可以将高可用性 (HA) 对中的两个设备配置为 FIPS 设备。

必备条件

  • 必须在两台设备上配置硬件安全模块 (HSM)。有关详细信息,请参阅 配置 HSM
  • 使用 GUI 时,请确保设备已处于高可用性设置中。有关配置 HA 设置的更多信息,请参阅 高可用性

注意: Citrix 建议您使用配置实用程序 (GUI) 执行此过程。如果您使用命令行 (CLI),请确保仔细遵循过程中列出的步骤。更改步骤顺序或指定错误的输入文件可能会导致不一致,需要重新启动设备。此外,如果使用 CLI,则该 create ssl fipskey 命令不会传播到辅助节点。在两个不同的 FIPS 设备上使用相同的模数大小和指数输入值运行命令时,生成的密钥将不相同。在其中一个节点上创建 FIPS 密钥,然后将其传输到另一个节点。但是,如果使用配置实用程序在 HA 设置中配置 FIPS 设备,则创建的 FIPS 密钥将自动传输到辅助节点。管理和传输 FIPS 密钥的过程称为安全信息管理 (SIM)。

重要提示: HA 设置必须在六分钟内完成。如果该过程在任何步骤失败,请执行以下操作:

  1. 重新启动设备或等待 10 分钟。
  2. 删除该过程创建的所有文件。
  3. 重复 HA 设置过程。

不要重复使用现有的文件名。

在以下过程中,设备 A 是主节点,设备 B 是辅助节点。

使用 CLI 在高可用性设置中的设备上配置 FIPS

下图总结了 CLI 上的传输过程。

图 1. 转移 FIPS 密钥摘要

SIM 流程详细信息

  1. 在设备 A 上,使用 SSH 客户端(如 PuTTY)打开与设备的 SSH 连接。

  2. 使用管理员凭据登录设备。

  3. 将设备 A 初始化为源设备。在命令提示符下,键入:

    init ssl fipsSIMsource <certFile>
<!--NeedCopy-->

    示例:

    init fipsSIMsource /nsconfig/ssl/nodeA.cert

  4. 将此 <certFile> 文件复制到 /nconfig/ssl 文件夹中的装置 B。

    示例:

    scp /nsconfig/ssl/nodeA.cert nsroot@198.51.100.10:/nsconfig/ssl

  5. 在设备 B 上,使用 SSH 客户端(如 PuTTY)打开与设备之间的 SSH 连接。

  6. 使用管理员凭据登录设备。

  7. 将装置 B 初始化为目标装置。在命令提示符下,键入:

    init ssl fipsSIMtarget <certFile> <keyVector> <targetSecret>
<!--NeedCopy-->

    示例:

    init fipsSIMtarget /nsconfig/ssl/nodeA.cert /nsconfig/ssl/nodeB.key /nsconfig/ssl/nodeB.secret

  8. 将此 <targetSecret> 文件复制到装置 A。

    示例:

    scp /nsconfig/ssl/fipslbdal0801b.secret nsroot@198.51.100.20:/nsconfig/ssl

  9. 在设备 A上,启用设备 A 作为源设备。在命令提示符下,键入:

    enable ssl fipsSIMSource <targetSecret> <sourceSecret>
<!--NeedCopy-->

    示例: enable fipsSIMsource /nsconfig/ssl/nodeB.secret /nsconfig/ssl/nodeA.secret

  10. 将此 <sourceSecret> 文件复制到装置 B。

    示例: scp /nsconfig/ssl/fipslbdal0801b.secret nsroot@198.51.100.10:/nsconfig/ssl

  11. 在设备 B上,启用装置 B 作为目标设备。在命令提示符下,键入:

    enable ssl fipsSIMtarget <keyVector> <sourceSecret>
<!--NeedCopy-->

    示例: enable fipsSIMtarget /nsconfig/ssl/nodeB.key /nsconfig/ssl/nodeA.secret

  12. 设备 A 上,创建 FIPS 密钥,如 创建 FIPS 密钥中所述。

  13. 如导出 FIPS 密钥中所述,将 FIPS 密钥导出到设备的硬盘。

  14. 使用安全文件传输实用程序(如 SCP)将 FIPS 密钥复制到辅助设备的硬盘。

  15. 装置 B 上,将 FIPS 密钥从硬盘导入到设备的 HSM 中,如 导入现有 FIPS 密钥中所述。

在高可用性设置中使用 GUI 在设备上配置 FIPS

  1. 在要配置为源(主)设备的设备上,导航到“流量管理”>“SSL”>“FIPS”。
  2. 在详细信息窗格的 FIPS 信息选项卡上,单击 启用 SIM卡。
  3. 在“为 HA Pair 启用 SIM 卡”对 话框的“证书文件名”文本框中,键入文件名。文件名必须包含 FIPS 证书必须存储在源设备上的位置的路径。
  4. 在关 键矢量文件名 文本框中,键入文件名。文件名必须包含 FIPS 密钥矢量必须存储在源设备上的位置的路径。
  5. 目标密钥文件名文 本框中,键入用于在目标设备上存储机密数据的位置。
  6. 源密钥文件名文 本框中,键入用于在源设备上存储密钥数据的位置。
  7. 辅助系统登录凭据下,输入用 户名密码的值。
  8. 单击确定。FIPS 设备现在配置为 HA 模式。

注意: 在 HA 中配置设备后,请创建 FIPS 密钥,如 创建 FIPS 密钥中所述。FIPS 密钥会自动从主设备传输到辅助设备。

在高可用性设置中的设备上配置 FIPS 设备
August 15, 2023
投稿者: 
C
August 15, 2023
投稿者: 
C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.