ADC

VPX FIPS 设备

美国国家标准与技术研究所 (NIST) 正在对 NetScaler VPX FIPS 设备进行 FIPS 140-3 1 级验证(目前正在 IUT 中 https://csrc.nist.gov/projects/cryptographic-module-validation-program/modules-in-process/iut-list)。有关 FIPS 140-3 标准和验证计划的更多信息,请访问 NIST 和加拿大网络安全中心 (CCCS) 加密模块验证计划 (CMVP) 网站 https://csrc.nist.gov/projects/cryptographic-module-validation-program

注意

必备条件

  • 对于本地虚拟机管理程序,请从 Citrix 网站下载特殊版本。下载相应虚拟机管理程序的完整 VPX FIPS 软件包。

  • NetScaler VPX FIPS 设备需要 FIPS 实例许可证和带宽池才能在池化许可模式中按预期运行。对于非池化许可证,需要具有所需带宽容量的单个 VPX FIPS 许可证。

配置

该模块以软件包的形式提供,包括应用程序软件和操作系统。购买 NetScaler VPX FIPS 许可证后,从 Citrix 网站获取最新的 NetScaler VPX FIPS 图片。

请执行以下步骤:

  1. 将最新的 NetScaler VPX FIPS 映像上载到以下虚拟机管理程序之一:ESXi、Citrix Hypervisor、Hyper-V、KVM、AWS、Azure 或 GCP。

    注意

    VPX FIPS 计划在 ESXi 7.0.3 上获得资格认证。

  2. 申请 NetScaler VPX FIPS 平台许可证和 NetScaler VPX 带宽许可证,然后热重启设备。

  3. 设备启动后,在 CLI 上运行以下命令:

    > show system fipsStatus
    <!--NeedCopy-->
    

    您必须得到以下输出。

    FipsStatus: System is operating in FIPS mode
    Done
    <!--NeedCopy-->
    

    如果您得到以下输出,请参阅疑难解答部分以了解解决方法。

    FipsStatus: "System is operating in non FIPS mode"
    Done
    >
    <!--NeedCopy-->
    
  4. 按照《 安全部署指南》中的配置指南进行操作。

有关使用 RADIUS 进行远程身份验证的信息,请参阅使用 RADI US 配置远程身份验证

VPX FIPS 设备支持的密码

VPX FIPS 设备支持 NetScaler MPX/SDX 14000 FIPS 设备支持的所有密码,但 3DES 密码除外。有关 NetScaler VPX FIPS 设备支持的密码的完整列表,请参阅以下主题:

升级 VPX FIPS 设备

按照 升级 NetScaler 独立设备 中的步骤升级 VPX FIPS 设备。

重要:./installns 命令替换为 ./installns -F

注意:

升级到 13.1 FIPS Build 37.159 或更高版本时,使用 pfx 文件添加证书密钥对会失败。

解决办法:在升级之前,使用 FIPS 认证的密码(例如 AES256)创建 pfx 文件。

示例:

root@ns# cd /nsconfig/ssl/
root@ns# openssl pkcs12 -export -out example.name.pfx -inkey example.key -in example.pem -certpbe AES-256-CBC -keypbe AES-256-CBC
<!--NeedCopy-->

限制

  • VPX FIPS 设备不支持 TACACS 身份验证。

  • VPX FIPS 是一张单独的图像。不支持从 VPX 版本升级到 VPX FIPS 版本的软件版本。此外,VPX FIPS 软件版本无法降级或升级到 VPX 软件版本。

  • NetScaler SDX 和 NetScaler SDX FIPS 设备不支持 VPX FIPS 映像。

故障排除

当您运行 show system fipsStatus 命令时,输出如下所示:

FipsStatus: "System is operating in non FIPS mode"
Done
>
<!--NeedCopy-->

原因可能是以下之一;

  1. 许可证已过期或不正确。

  2. 系统无法在 FIPS 模式下启动。此错误可能是由于管理核心或数据包引擎上的 POST 故障造成的。

要解决:

  1. 检查是否安装了正确的 NetScaler VPX FIPS 许可证以及许可证是否已过期。

  2. 检查管理核心或数据包引擎上是否出现开机自检 (POST) 故障。请运行以下命令:

    >shell
    #nsconmsg -g drbg -g ssl_err -g fips -d statswt0
    <!--NeedCopy-->
    

    如果 POST 在数据包引擎启动期间失败,则 nsssl_err_fips_post_failed counter 增量。也就是说,数据层面出现故障。

    如果计数器没有增加,请检查日志文件中是否有失败 (/var/log/FIPS-post.log) 的算法测试条目。也就是说,检查管理核心上是否出现开机自检故障(控制平面故障)。

    在这两种情况下,请联系 NetScaler 支持人员。

VPX FIPS 设备