MPX FIPS 设备
NetScaler MPX 8900 FIPS、MPX 9100 FIPS 和 MPX 15000-50G FIPS 设备正在接受第三方实验室的验证(目前在 IUT https://csrc.nist.gov/projects/cryptographic-module-validation-program/modules-in-process/iut-list 中),以满足 FIPS 140-3 第 1 级的安全要求。有关 FIPS 140-3 标准和验证计划的更多信息,请访问美国国家标准与技术研究所 (NIST) 和加拿大网络安全中心 (CCCS) 加密模块验证计划 (CMVP) 网站 https://csrc.nist.gov/projects/cryptographic-module-validation-program。
备注
- MPX 8900 FIPS、MPX 9100 FIPS 和 MPX 15000-50G FIPS 设备不再使用第三方硬件安全模块。需要进行 FIPS 验证的要求已内置到系统中。
- MPX 8900 FIPS、MPX 9100 FIPS、MPX 15000-50G FIPS 和 VPX FIPS 平台仅支持 NetScaler 下载页面中“NetScaler 版本 13.1-FIPS”下列出的固件版本。
- 如果您在运行 12.1-FIPS 软件版本的 NetScaler FIPS 设备上配置了经典策略,请在升级到 13.1-FIPS https://support.citrix.com/article/CTX234821/citrix-adc-deprecated-classic-policy-based-features-and-functionalities-faqs 之前参见。
- 13.1-FIPS 上的 TLS 1.3 只能使用增强型 SSL 配置文件进行配置。有关如何使用配置文件配置 TLS 1.3 的更多信息,请参阅 RFC 8446 中定义的 TLS 1.3 协议支持。
必备条件
- 除带宽许可证外,还有 FIPS 平台许可证。
MPX 8900 FIPS、MPX 9100 FIPS 和 MPX 15000-50G FIPS 设备支持的密码
MPX 8900、MPX 9100 FIPS 和 MPX 15000-50G FIPS 设备支持 NetScaler MPX/SDX 14000 FIPS 设备支持的所有密码,但 3DES 密码除外。有关这些设备支持的密码的完整列表,请参阅 NetScaler VPX FIPS 和 MPX FIPS 设备上的密码支持。
升级 MPX FIPS 设备
按照 升级 NetScaler 独立 设备中的步骤升级 MPX FIPS 设备。
注意:
升级到 13.1 FIPS Build 37.159 或更高版本时,使用 pfx 文件添加证书密钥对会失败。
解决办法:在升级之前,使用 FIPS 认证的密码(例如 AES256)创建 pfx 文件。
示例:
root@ns# cd /nsconfig/ssl/ root@ns# openssl pkcs12 -export -out example.name.pfx -inkey example.key -in example.pem -certpbe AES-256-CBC -keypbe AES-256-CBC <!--NeedCopy-->
限制
MPX FIPS 设备不支持 TACACS 身份验证。
配置
-
设备启动后,在 CLI 上运行以下命令:
> show system fipsStatus <!--NeedCopy--> -
您必须得到以下输出。
FipsStatus: "System is operating in FIPS mode" Done > <!--NeedCopy--> -
如果您得到以下输出,请检查许可证。
FipsStatus: "System is operating in non FIPS mode" Done > <!--NeedCopy-->
执行以下步骤将 MPX 设备初始化为 FIPS 操作模式。
- 强制执行严格的密码短语要求。
- 替换默认 TLS 证书。
- 禁用 HTTP 对 Web GUI 的访问。
- 初始配置后,禁用本地身份验证并使用 LDAP 配置远程身份验证。
使用 GUI 强制执行严格的密码短语要求
密码短语用于使用 PBKDF2 派生密钥。作为管理员,使用 GUI 启用严格的密码要求。
- 导航到 System(系统)> Settings(设置)。
- 在“设置”部分中,单击“更改全局系统设置”。
- 在“强密码”字段中,选择“全部启用”。
- 在“最小密码长度”字段中,键入“8。“
- 单击确定。
替换默认 TLS 证书
默认情况下,MPX FIPS 设备包含出厂预置的 TLS 连接的 RSA 证书(和)。ns-server.certns-server.key 此证书不适用于生产部署,必须更换。初始安装后,将默认证书替换为新证书。
要替换默认 TLS 证书,请执行以下操作:
-
在命令提示符处,键入以下命令以设置设备的主机名。
set ns hostName <hostname>
使用 GUI 创建证书签名请求 (CSR)
- 导航到“流量管理”>“SSL”>“SSL 文件”。
- 在 CSR 选项卡中,单击 创建证书签名请求 (CSR)。
- 输入值,然后单击 创建。
注意:
公用名 字段包含使用 ADC CLI 设置的主机名值。
- 将 CSR 文件提交给可信证书颁发机构 (CA)。CSR 文件在
/nsconfig/ssl目录中可用。 - 收到来自 CA 的证书后,将文件复制到
/nsconfig/ssl目录中。 - 导航到 流量管理 > SSL > 证书 > 服务器证书。
- 选择 ns-server 证书。
- 单击更新。
- 单击“更新证书和密钥”。
- 在“证书文件名”字段中,选择从证书颁发机构 (CA) 收到的证书文件。如果文件位于您的 本地 计算机上,请选择“本地”。否则,请选择“设备”。
- 在“密钥文件名”字段中,指定默认私钥文件名 (
ns-server.key)。 - 选择“不进行域名检查”选项。
- 单击确定。
禁用 HTTP 对 Web GUI 的访问
要保护流向管理界面和 Web GUI 的流量,必须将设备配置为使用 HTTPS。添加新证书后,使用 CLI 禁用对 GUI 管理界面的 HTTP 访问。
在命令提示符下,键入:
set ns ip <NSIP> -gui SECUREONLY
禁用本地身份验证并使用 LDAP 配置远程身份验证
超级用户帐户是具有初始配置所需的根 CLI 访问权限的默认帐户。在初始配置期间,禁用本地系统身份验证以阻止对所有本地帐户(包括超级用户帐户)的访问,并确保未将超级用户权限分配给任何用户帐户。
要使用 CLI 禁用本地系统身份验证和启用外部系统身份验证,请执行以下操作:
在命令提示符下,键入:
set system parameter -localauth disabled
按照 配置 LDAP 身份验证 中的说明将外部系统身份验证配置为使用 LDAP。
使用 RADIUS 配置远程身份验证
您可以在 FIPS 环境中配置 RADIUS 身份验证。
注意:
RADIUS 不支持“测试 RADIUS 可访问性”选项。
使用 CLI 配置基于 TLS 的 RADIUS
在命令提示符下,键入:
add authentication radiusAction <name> [-serverIP] [-serverPort ] [-transport <transport>] [-targetLBVserver <string>]
<!--NeedCopy-->
示例
add authentication radiusAction RadAction -serverIP 1.1.1.1 -radkey 123 -transport TLS -targetLBVserver rad-lb
<!--NeedCopy-->
注意:
- 对于 TLS 传输类型,请配置 TCP 类型的目标负载平衡虚拟服务器,然后将 SSL_TCP 类型的服务绑定到此虚拟服务器。
- 不支持服务器名称。
- 为 RADIUS 操作配置的 IP 地址和端口号必须与已配置的目标负载平衡虚拟服务器的 IP 地址和端口号匹配。
使用 GUI 配置基于 TLS 的 RADIUS
- 导航到“安全”>“AAA-应用程序流量”>“策略”>“身份验证”>“高级策略”>“操作”>“服务器”。
-
选择现有服务器或者创建一个服务器。
有关创建服务器的详细信息,请参阅使用 GUI 配置 RADIUS 服务器。
- 在 传输中,选择 TLS。
-
在目标负载平衡虚拟服务器中,选择虚拟服务器。有关创建负载平衡虚拟服务器的详细信息,请参阅 创建虚拟服务器。
注意:
- 对于 TLS 传输类型,请配置 TCP 类型的目标负载平衡虚拟服务器,然后将 SSL_TCP 类型的服务绑定到此虚拟服务器。
- 不支持服务器名称。
- 为 RADIUS 操作配置的 IP 地址和端口号必须与已配置的目标负载平衡虚拟服务器的 IP 地址和端口号匹配。
- 单击“创建”。