ADC

MPX FIPS 设备

NetScaler MPX 8900 FIPS、MPX 9100 FIPS 和 MPX 15000-50G FIPS 设备正在接受第三方实验室的验证(目前在 IUT https://csrc.nist.gov/projects/cryptographic-module-validation-program/modules-in-process/iut-list 中),以满足 FIPS 140-3 第 1 级的安全要求。有关 FIPS 140-3 标准和验证计划的更多信息,请访问美国国家标准与技术研究所 (NIST) 和加拿大网络安全中心 (CCCS) 加密模块验证计划 (CMVP) 网站 https://csrc.nist.gov/projects/cryptographic-module-validation-program

备注

必备条件

  • 除带宽许可证外,还有 FIPS 平台许可证。

MPX 8900 FIPS、MPX 9100 FIPS 和 MPX 15000-50G FIPS 设备支持的密码

MPX 8900、MPX 9100 FIPS 和 MPX 15000-50G FIPS 设备支持 NetScaler MPX/SDX 14000 FIPS 设备支持的所有密码,但 3DES 密码除外。有关这些设备支持的密码的完整列表,请参阅 NetScaler VPX FIPS 和 MPX FIPS 设备上的密码支持

升级 MPX FIPS 设备

按照 升级 NetScaler 独立 设备中的步骤升级 MPX FIPS 设备。

注意:

升级到 13.1 FIPS Build 37.159 或更高版本时,使用 pfx 文件添加证书密钥对会失败。

解决办法:在升级之前,使用 FIPS 认证的密码(例如 AES256)创建 pfx 文件。

示例:

root@ns# cd /nsconfig/ssl/
root@ns# openssl pkcs12 -export -out example.name.pfx -inkey example.key -in example.pem -certpbe AES-256-CBC -keypbe AES-256-CBC
<!--NeedCopy-->

限制

MPX FIPS 设备不支持 TACACS 身份验证。

配置

  1. 设备启动后,在 CLI 上运行以下命令:

    > show system fipsStatus
    <!--NeedCopy-->
    
  2. 您必须得到以下输出。

    FipsStatus: "System is operating in FIPS mode"
    Done
    >
    <!--NeedCopy-->
    
  3. 如果您得到以下输出,请检查许可证。

    FipsStatus: "System is operating in non FIPS mode"
    Done
    >
    <!--NeedCopy-->
    

执行以下步骤将 MPX 设备初始化为 FIPS 操作模式。

  1. 强制执行严格的密码短语要求。
  2. 替换默认 TLS 证书。
  3. 禁用 HTTP 对 Web GUI 的访问。
  4. 初始配置后,禁用本地身份验证并使用 LDAP 配置远程身份验证。

使用 GUI 强制执行严格的密码短语要求

密码短语用于使用 PBKDF2 派生密钥。作为管理员,使用 GUI 启用严格的密码要求。

  1. 导航到 System(系统)> Settings(设置)
  2. 在“设置”部分中,单击“更改全局系统设置”
  3. 在“强密码”字段中,选择“全部启用”。
  4. 在“最小密码长度”字段中,键入“8。“
  5. 单击确定

替换默认 TLS 证书

默认情况下,MPX FIPS 设备包含出厂预置的 TLS 连接的 RSA 证书(和)。ns-server.certns-server.key 此证书不适用于生产部署,必须更换。初始安装后,将默认证书替换为新证书。

要替换默认 TLS 证书,请执行以下操作:

  1. 在命令提示符处,键入以下命令以设置设备的主机名。

    set ns hostName <hostname>

使用 GUI 创建证书签名请求 (CSR)

  1. 导航到“流量管理”>“SSL”>“SSL 文件”。
  2. CSR 选项卡中,单击 创建证书签名请求 (CSR)
  3. 输入值,然后单击 创建

    注意:

    公用名 字段包含使用 ADC CLI 设置的主机名值。

  4. 将 CSR 文件提交给可信证书颁发机构 (CA)。CSR 文件在 /nsconfig/ssl 目录中可用。
  5. 收到来自 CA 的证书后,将文件复制到 /nsconfig/ssl 目录中。
  6. 导航到 流量管理 > SSL > 证书 > 服务器证书
  7. 选择 ns-server 证书
  8. 单击更新
  9. 单击“更新证书和密钥”。
  10. 在“证书文件名”字段中,选择从证书颁发机构 (CA) 收到的证书文件。如果文件位于您的 本地 计算机上,请选择“本地”。否则,请选择“设备”。
  11. 在“密钥文件名”字段中,指定默认私钥文件名 (ns-server.key)。
  12. 选择“不进行域名检查”选项。
  13. 单击确定

禁用 HTTP 对 Web GUI 的访问

要保护流向管理界面和 Web GUI 的流量,必须将设备配置为使用 HTTPS。添加新证书后,使用 CLI 禁用对 GUI 管理界面的 HTTP 访问。

在命令提示符下,键入:

set ns ip <NSIP> -gui SECUREONLY

禁用本地身份验证并使用 LDAP 配置远程身份验证

超级用户帐户是具有初始配置所需的根 CLI 访问权限的默认帐户。在初始配置期间,禁用本地系统身份验证以阻止对所有本地帐户(包括超级用户帐户)的访问,并确保未将超级用户权限分配给任何用户帐户。

要使用 CLI 禁用本地系统身份验证和启用外部系统身份验证,请执行以下操作:

在命令提示符下,键入:

set system parameter -localauth disabled

按照 配置 LDAP 身份验证 中的说明将外部系统身份验证配置为使用 LDAP。

使用 RADIUS 配置远程身份验证

您可以在 FIPS 环境中配置 RADIUS 身份验证。

注意:

RADIUS 不支持“测试 RADIUS 可访问性”选项。

使用 CLI 配置基于 TLS 的 RADIUS

在命令提示符下,键入:

add authentication radiusAction <name> [-serverIP] [-serverPort ] [-transport <transport>] [-targetLBVserver <string>]
<!--NeedCopy-->

示例

add authentication radiusAction RadAction -serverIP 1.1.1.1 -radkey 123 -transport TLS -targetLBVserver rad-lb
<!--NeedCopy-->

注意:

  • 对于 TLS 传输类型,请配置 TCP 类型的目标负载平衡虚拟服务器,然后将 SSL_TCP 类型的服务绑定到此虚拟服务器。
  • 不支持服务器名称。
  • 为 RADIUS 操作配置的 IP 地址和端口号必须与已配置的目标负载平衡虚拟服务器的 IP 地址和端口号匹配。

使用 GUI 配置基于 TLS 的 RADIUS

  1. 导航到“安全”>“AAA-应用程序流量”>“策略”>“身份验证”>“高级策略”>“操作”>“服务器”。
  2. 选择现有服务器或者创建一个服务器。

    有关创建服务器的详细信息,请参阅使用 GUI 配置 RADIUS 服务器

    RADIUS TLS 传输

  3. 传输中,选择 TLS
  4. 目标负载平衡虚拟服务器中,选择虚拟服务器。有关创建负载平衡虚拟服务器的详细信息,请参阅 创建虚拟服务器

    注意:

    • 对于 TLS 传输类型,请配置 TCP 类型的目标负载平衡虚拟服务器,然后将 SSL_TCP 类型的服务绑定到此虚拟服务器。
    • 不支持服务器名称。
    • 为 RADIUS 操作配置的 IP 地址和端口号必须与已配置的目标负载平衡虚拟服务器的 IP 地址和端口号匹配。
  5. 单击“创建”。
MPX FIPS 设备